Datenschutz-Grundverordnung: Teil 3 – Das Recht auf Vergessen
Ist Ihr Unternehmen schon bereit für die neue Datenschutz-Grundverordnung (kurz: DSGVO)? Security Today gibt Ihnen in dieser Reihe von fünf Beiträgen unverbindliche Tipps an die Hand, die Sie bei der Umsetzung beachten sollten. Der zweite Teil der Beitragsreihe dreht sich um das Recht auf Vergessen.
Artikel 17 der DSGVO sichert allen Nutzern zu, dass ihre personenbezogenen Daten auf Anfrage aus der Datenbank des jeweiligen Unternehmens gelöscht werden müssen. Außerdem können Nutzer verlangen, dass Unternehmen ihre Daten nicht weiterverarbeiten oder an Dritte zur Weiterverarbeitung geben lassen dürfen. Hier werden auch Daten eingeschlossen, die nicht mehr für den ursprünglichen Zweck der Erhebung erfasst wurden. Das Recht auf Vergessen ist zwar nicht völlig neu, dennoch gilt es einige neue Aspekte zu bedenken.
Handlungsempfehlung: Unternehmen müssen die Nachverfolgbarkeit sämtlicher nutzerbezogenen Daten und Metadaten gewährleisten können. Werden die Daten im Vorfeld bereits entsprechend aufbereitet und gebündelt, stellt auch eine vollständige Löschung kein Problem dar. Wichtig: Beim Löschen oder entsorgen der Daten reicht es nicht, einfach nur die Datenträger in den Müll zu werfen. Stattdessen müssen diese physisch zerstört werden und auch Verknüpfungen und Codierungen gilt es zu löschen. Gegebenenfalls sollte bei wiederbeschreibbaren Datenträgern, wie beispielsweise einer Festplatte, eine besondere Löschsoftware verwendet werden.
Key Facts
DSGVO-Umsetzung: Nur 28 Prozent der deutschen Unternehmen sehen sich als vollständig DSGVO-konform.
Höchste Einzelstrafe: 1,2 Milliarden Euro gegen Meta (2023) — die höchste DSGVO-Strafe bisher.
Häufige Fragen
Welche Strafen drohen bei DSGVO-Verstößen?
Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Schadensersatzforderungen von Betroffenen.
Was ist eine Datenschutz-Folgenabschätzung?
Eine DSFA ist eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen. Sie ist Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt — etwa bei Profiling, Videoüberwachung oder der Verarbeitung besonderer Datenkategorien.
Gilt die DSGVO auch für kleine Unternehmen?
Ja, die DSGVO gilt größenunabhängig für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet. Kleine Unternehmen profitieren von wenigen Erleichterungen (z.B. kein Verarbeitungsverzeichnis unter 250 Mitarbeitern bei nicht-risikobehafteter Verarbeitung), müssen aber alle Grundprinzipien einhalten.
Verwandte Artikel
- DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen
- So wird Machine Learning in der IT-Sicherheit eingesetzt
- Was ist eigentlich ein EU-Datenschutzkoordinator?
Mehr aus dem MBF Media Netzwerk
- Mehr IT-Sicherheits-Trends auf mybusinessfuture.com
- IT-Strategien für Entscheider auf digital-chiefs.de
Quelle Titelbild: iStock / simpson33
Fakt: Die durchschnittliche Verweildauer eines Angreifers im Netzwerk beträgt laut Mandiant 10 Tage.
Fakt: 95 Prozent aller Cybersecurity-Vorfälle sind laut IBM auf menschliche Fehler zurückzuführen.
Das Wichtigste in Kürze
- Artikel 17 der DSGVO sichert allen Nutzern zu, dass ihre personenbezogenen Daten auf Anfrage aus der Datenbank des jeweiligen Unternehmens gelöscht werden müssen.
- Außerdem können Nutzer verlangen, dass Unternehmen ihre Daten nicht weiterverarbeiten oder an Dritte zur Weiterverarbeitung geben lassen dürfen.
- Handlungsempfehlung: Unternehmen müssen die Nachverfolgbarkeit sämtlicher nutzerbezogenen Daten und Metadaten gewährleisten können.
- Ist Ihr Unternehmen schon bereit für die neue Datenschutz-Grundverordnung (kurz: DSGVO)?
