Ausgabe 4 - Magazin - Seite 68
DATA PRIVACY & SECURITY
„End of Purpose“ –
und dann?
Philipp Kupfer, Senior Consultant, Natuvion GmbH
S
chon Artikel 18 der Datenschutzgrundverordnung (DSGVO) sieht einen „End
of Purpose“ für Daten vor. Den Zeitpunkt also,
an dem Daten gesetzlich nicht länger genutzt
werden dürfen. Wie Sie Ihre Daten und
den Datenlebenszyklus am besten im Auge
behalten und welche Lösungen SAP HCM
bietet, darüber berichten unsere HCMExperten Erik Siegfried und Philipp Kupfer.
Es gibt zeitlich und gesetzlich festgelegte
Verordnungen für den Lebenszyklus von Daten
(Art. 18 DSGVO). Nach Ablauf des Verwendungszwecks ist der Zugriff auf personenbezogene
Daten nicht mehr zulässig. Daten müssen
dann gesperrt werden. Diese Sperre muss sicherstellen, dass keine Verarbeitung der Daten mehr
möglich ist. Es besteht zwar weiterhin die
Möglichkeit, für Recherchezwecke Zugriff auf
die gesperrten Daten zu erhalten. Diese Dateneinsicht ist dann jedoch nur einem expliziten/
eingeschränkten Personenkreis erlaubt.
So funktioniert der Datenlebenszyklus für prozessuales Sperren
Aufbewahrungsfrist
Verweildauer
EoB
Sperrzeitraum
EoP
Phase 1
Phase 2
aktiv
Produktivzeit
Phase 3
inaktiv
Verweildauer
- Verarbeitung im Rahmen der Zweckbestimmung
- Daten im Produktivsystem verfügbar
- Veränderbar
Sperre für personenbezogene Daten
- Gesperrt, unveränderbar, nicht vernichtbar
- Daten können zu Recherchezwecken von einem
expliziten Personenkreis noch verwendet werden,
sofern vom Geschäftszweck abgedeckt
Aufbewahrungsperiode (ggf. inkl. Ausnahmebedingung, z.B. Legal Hold)
Aufbewahrungspflicht nach HGB/AO/GDPdU (Compliance)
Aufbewahrungsmanagement (Information Life Cycle)
Die Grafik zeigt die Phasen, die Daten durchlaufen, und die gesetzlichen Anforderungen der jeweiligen Phasen.
68
Datenvernichtung