Heute schon gelöscht?
Die Telekommunikationsbranche boomt. Insbesondere der Glasfaserausbau erzeugt aktuell einen Run auf Kunden in den Versorgungsgebieten. Aber egal, ob Strom, Gas, Wasser oder eben Telekommunikation – Versorger stehen vor großen Herausforderungen im Bereich der Datenschutzgrundverordnung (DSGVO) und dem Telekommunikationsgesetz (TKG).
Hierbei geht es nicht nur um die Datenerfassung – hauptsächlich wird das Thema Datenlöschung häufig stark vernachlässigt. In einer Zeit, in der Datenschutz und Compliance immer wichtiger werden, ist ein durchdachtes Löschkonzept unerlässlich.
Warum ein Löschkonzept so wichtig ist
Viele Unternehmen kämpfen mit der Intransparenz beim Umgang mit personenbezogenen Daten. Oft weiß man nicht genau, welche Systeme im Einsatz sind und welche externen Dienstleister Daten verarbeiten.
Arbeitet das Marketing beispielsweise mit Excel-Abzügen aus dem CRM?
Wie gehen die Vermittlungspartner mit Altverträgen um?
Was passiert im Glasfaserbereich nach einer erfolglosen Vorvermarktung mit den Vorverträgen und den dort enthaltenen Daten?
Halten wir alle Löschfristen ein?
Diese Unsicherheiten können zu echten Problemen führen, insbesondere wenn es um die Einhaltung der Datenschutzgrundverordnung und des Telekommunikationsgesetzes geht. Ein klar definiertes Löschkonzept hilft, diese Herausforderungen zu meistern und sorgt dafür, dass Daten sicher und gesetzeskonform gelöscht (oder pseudonymisiert) werden.
Neben der Kenntnis über die betroffenen Daten, Prozesse und IT-Systeme, geht es speziell über die internen Richtlinien im Umgang mit Datenlöschung.
Wer löst diese aus?
Wer muss über eine Löschung informiert werden?
Wie kann ein Nachweis über die Löschung protokolliert werden?
Es geht hier um klare, definierte und transparente Prozesse in Ihrer Organisation. Und natürlich um die Einhaltung der gesetzlichen Vorgaben.
Prozesse und IT-Systeme
Grundlage der Betrachtung sind Ihre Prozesse und IT-Systeme, in denen personenbezogene Daten verarbeitet werden. Eben diese sollten Sie gründlichen unter die Lupe nehmen.
So gewinnen Sie ein klares Bild von der aktuellen Situation und identifizieren mögliche Schwachstellen. Sofern Sie bereits ein etabliertes Enterprise Architecture Management (EAM) haben, sollte die IT-Systemanalyse schnell erledigt sein, falls nicht, empfiehlt es sich, die verwendeten IT-Systeme über Prozessanalysen direkt zu erheben.
Wichtig: Vergessen Sie hierbei insbesondere externe Partner und die Vielzahl von “Excel-Listen” oder anderen Datenabzügen nicht.
Achten Sie bei Ihrer Prozessanalyse unbedingt auf Datenquellen und Datenschnittstellen zu Dritten. Ob im Marketing oder im Door-2-Door-Vertrieb – Schnittstellen zu externen Dienstleistern werden Sie im Versorgungsumfeld sicher schnell finden können.
Ein wichtiger Teil ist die Definition eines Datenlöschprozesses, der den Anforderungen des TKG und der DSGVO gerecht wird. Legen Sie hier fest, welche Daten wann und wie gelöscht werden müssen und sorgen Sie dafür, dass diese Löschung nachvollziehbar und sicher erfolgt. Hieraus ergeben sich oft diverse technische und organisatorische Maßnahmen (TOM), die zur Umsetzung des Konzeptes notwendig sind.
Was ist Pseudonymisierung oder Anonymisierung?
Beim Begriff „Löschen“ schrecken viele Entscheider zurück. Stimmen meine Reports und KPIs nach einer Löschung noch? Verfälscht das nicht das Ergebnis meiner Kennzahlen?
Nicht zwingend.
Daten können im Sinne der DSGVO oder des TKG auch „pseudonymisiert“ werden. Angenommen, ein Telekommunikationsunternehmen bietet Glasfaserverträge an und verarbeitet dabei personenbezogene Daten von Kunden, wie Namen, Adressen und Kontaktdaten. Um die Datenschutzanforderungen der DSGVO zu erfüllen, könnte das Unternehmen die Kundendaten pseudonymisieren, indem es die direkten Identifikatoren durch Codes ersetzt.
So wird zum Beispiel der Name des Kunden durch eine zufällige Kennnummer ersetzt.
Auch Anonymisierung kann so durchgeführt werden. Letztendlich können somit alle für die Kennzahlen relevanten Daten behalten werden, ohne personenbezogene Daten weiter zu speichern. Häufig werden so beispielsweise in Feldern für Geburtsdaten der Tag und Monat auf „01“ gesetzt, das Jahr wiederum behalten. Somit liegt ein Datensatz vor, bei dem man nicht mehr auf die Person referenzieren kann (da der Name durch ein Pseudonym wie „Max Mustermann“ ersetzt wurde), aber eine Statistik über das Alter der nicht gewonnenen Leads weiter geführt werden.
Technische Umsetzung
Neben Löschkonzept und definierten Löschprozessen für die Organisation sollten natürlich konkrete technische Umsetzungen vorgenommen werden. Diese sind abhängig von den verwendeten IT-Systemen. Häufig gibt es von den Herstellern bereits „DSGVO-Module“, welche eine kaskadierende Löschung von Daten vornehmen lassen. Falls nicht, können auch hier technische Implementierungen vorgenommen werden.
Bedenken Sie neben den eigentlichen produktiven Systemen die Systemumgebung. Qualitäts- oder Testsysteme, welche regelmäßig einen produktiven Datenabzug erhalten, müssen ebenso berücksichtigt werden wie Backups und BI-Datenbanken (Data Warehouse).
Letztendlich gilt es natürlich sicherzustellen, dass nicht nur Systeme implementiert sind, sondern Mitarbeiter geschult und die entsprechenden Prozesse etabliert sind.
Ausblick: Ihr Weg zur konformen Datenlöschung
Klingt alles logisch, aber auch sehr herausfordernd?
Kein Problem. Gerne unterstützen wir Sie wie immer auch sehr pragmatisch dabei, die entsprechenden Prozesse aufzusetzen und Klarheit zu schaffen.
Gemeinsam mit unseren Partnern, möchten wir unseren Kunden nicht nur helfen, gesetzliche Vorgaben zu erfüllen, sondern auch ein höheres Maß an Datenschutz und Datensicherheit zu erreichen. In einer Welt, in der Daten das neue Gold sind, ist es entscheidend, dass Unternehmen transparent und verantwortungsvoll mit ihren Daten umgehen.
Gerne helfen wir Ihnen auf diesem Weg.
