Abheben in die Atlassian Cloud mit dem 5-Schritte Flugplan

Willkommen zu einem weiteren Teil unserer Flugplan-Reihe rund um wichtige Datenschutz-Themen in Zusammenhang mit der Migration in die Atlassian Cloud! Wenn du unsere Artikel und Beiträge in den letzten Monaten verfolgt hast, dann ist dir bereits klar, dass der Datenschutz umfangreiche Anforderungen an ein Atlassian-Cloud-Projekt stellt. Dazu gehören viele selbstverständliche Themen, wie der Schutz aller Daten gemäß aktuellem Stand der Technik (Zugangsschutz, Back-up usw.). Neben diesem allgemeinen, technischen Schutz ergeben sich projektspezifische Ansprüche aus den Daten, die du in der Cloud für bestimmte Geschäftsprozesse speichern und verwenden möchtest. Wir empfehlen, diese Anforderungen individuell für dein Projekt und gemeinsam mit deiner eigenen Datenschutz-Abteilung zu ermitteln.

Wenn das allerdings nicht möglich ist, kann dir unsere Artikel-Reihe (Teil 1, Teil 2 und Teil 3 sind bereits online) dabei helfen, einige wichtige Anforderungen in Bezug auf den Datenschutz zu berücksichtigen, die erfahrungsgemäß bei vielen Atlassian-Cloud-Projekten bestehen. Schau gemeinsam mit uns durch die Datenschutz-Brille und begleite uns heute auf einem Exkurs in Sachen Löschkonzept!

Datenschutz-Experte Thomas Rosin

Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.

Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de

Bürokratie wird in Deutschland großgeschrieben und es scheint viele triftige Gründe zu geben, um Akten einzulagern und Daten langfristig zu speichern. Allerdings verpflichtet das heutige Datenschutzrecht die Unternehmen, personenbezogene Daten rechtzeitig zu löschen. Die Eigentümer der Daten erhalten überdies vom Gesetzgeber spezielle Rechte und können eine Datenlöschung auch aktiv einfordern. Du stehst vor dem nächsten Schritt in die Cloud und bist unsicher, wie du den Überblick über alle Daten wahren und wann du dich von ihnen trennen kannst? Wir erklären dir hier, wie du diese Herausforderung optimal meisterst.

Warum bewahren Unternehmen Daten auf?

Benötigst du einen bestimmten Grund, um Daten aus deinem operativen Tagesgeschäft oder deinen Projekten aufzubewahren? Oder genügt die vage Vermutung, dass du demnächst noch etwas davon gebrauchen könntest?

Tatsächlich ist diese Sichtweise in Unternehmen sehr verbreitet und führt häufig dazu, dass Arbeitsvorgaben, Prozessbeschreibungen oder auch einfach nur das „intuitive“ Arbeiten zu einem umfassenden Daten- und Akten-Sammelsurium werden.

Eine Verpflichtung, Daten oder bestimmte Dokumente aufzubewahren, ergibt sich zunächst aus der operativen Notwendigkeit. Unternehmen erheben Daten, um ihre geschäftlichen Aktivitäten durchzuführen. Bei personenbezogenen Daten sind hierbei spezielle gesetzliche Vorgaben im Datenschutz zu beachten.

Aber auch wenn Daten für das operative Geschäft nicht mehr erforderlich sind, werden sie gegebenenfalls noch benötigt. Häufig bestehen allgemeine steuerliche, handelsrechtliche oder sozialversicherungsrechtliche Aufbewahrungspflichten. In bestimmten Tätigkeitsbereichen, etwa der Medizin oder bei Versicherungen, bestehen diverse weitere gesetzliche Anforderungen zur Aufbewahrung. Weitere Pflichten können sich aus Kundenverträgen und den dort definierten Haupt- oder Nebenleistungen (z. B. Dokumentationspflichten) ergeben. Nicht zuletzt gibt es immer wieder unternehmensinterne Bedürfnisse, die gegen die Löschung von Daten sprechen könnten – wenn beispielsweise ehemalige Kunden “reaktiviert” werden sollen oder um sich bei eventuellen, zukünftigen Rechtsstreitigkeiten verteidigen zu können.

Typische Aufbewahrungsfristen liegen im Bereich von Monaten oder mehreren Jahren. In bestimmten Fällen können diese aber auch wesentlich kürzer oder sogar lebenslang sein. Du siehst: Es ist tatsächlich gar nicht banal und lässt sich auch nicht nur einfach auflisten.

Warum müssen Daten gelöscht werden?

Es gehört zu den gesetzlich festgelegten Grundprinzipien im Datenschutz, dass personenbezogene Daten nur für bestimmte legitime (rechtskonforme) Zwecke verarbeitet werden dürfen. Ist der jeweilige Verwendungszweck nicht mehr vorhanden (z. B. wenn Verträge oder Projekte beendet sind), dann müssen diese Daten gelöscht werden. Eine Löschung ist nur dann noch nicht geboten, wenn andere Erlaubnisse oder Pflichten zur Aufbewahrung bestehen. Hierzu gehören unter anderem die gesetzlichen Aufbewahrungspflichten. Aber nichts ist für die Ewigkeit: Am Ende ist für die meisten Daten in Unternehmen die Zeit gekommen, um gelöscht zu werden.

Datenleichen im Keller

Vermutlich würde das Thema „Datenlöschung“ gar nicht so groß sein, wenn die Akten- und Datenberge der Unternehmen unangetastet in den Lagerkellern verbleiben würden. In der Praxis kommen viele Unternehmen aber auf die Idee, den vermeintlichen “Datenschatz” wieder auszugraben und den alten Daten einen neuen Sinn zu geben. Beliebt sind hier Kontaktdaten aus früheren Zeiten, die man noch einmal zu Werbezwecken nutzen möchte.

Mit zunehmender Digitalisierung gibt es den genannten Lagerkeller nicht mehr. Dann verbleiben viele Daten – wenn nicht aktiv gegengesteuert wird – auf unabsehbare Zeit dort, wo sie Kollege F. oder Kollegin M. abgelegt haben: In Vertriebsinformationssystemen, Personalsystemen, Abteilungs- und Projektverzeichnissen oder auch einfach in den persönlichen Datenablagen von Mitarbeiter*innen (inklusive E-Mail-Postfach). Hierbei handelt es sich um sog. “operative Ablageorte”.

Ohne spezielle Maßnahmen, wie z. B. vorgegebene Dokumentationsstrukturen oder regelmäßige Kontrollen, kann der Mitarbeitende an den operativen Ablageorten nicht mehr verlässlich unterscheiden, welche Daten gar nicht mehr vorhanden sein dürften. Wer hier mutig Daten wiederverwendet und beispielsweise für Werbung einsetzt, kann Beschwerden, Abmahnungen oder Bußgelder provozieren. Eine solche Perspektive verunsichert das Management und die Mitarbeitenden.

Zuletzt sei hier erwähnt, dass, auch ohne aktive Verwendung, Dritte immer wieder davon erfahren, dass Unternehmen Daten unzulässigerweise speichern. Hier haben Sicherheitslücken, Hackerangriffe oder auch rechtliche Auseinandersetzungen vor den Arbeitsgerichten immer wieder zu teuren Einblicken geführt.

Nach welchen Standards oder „Best Practices“ kann ich mich richten?

Von Weitem betrachtet ist es ganz einfach: Wenn du keinen legitimen Grund mehr hast, personenbezogene Daten aufzubewahren, dann sind diese zu löschen.

Wenn dein Unternehmen aber bereits viele Jahre besteht, ist es in der Praxis nicht ganz so einfach. In der Atlassian-Produkt-Welt kannst du an dieser Stelle einmal über dein Confluence-System nachdenken. Kannst du beschreiben, welche Daten deine User hier ablegen? Auf diese Frage hören wir oft die Antwort: „alle“ – und damit ist meist auch wirklich „alles“ an Daten des Unternehmens gemeint.

Die schlechte Nachricht: Ohne wesentliche Anstrengungen geht es gar nicht. Die gute Nachricht: Es gibt ein bewährtes Konzept, das in der DIN-Norm 66398 („Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“) beschrieben ist und das dir hier weiterhelfen kann.

Diese DIN-Norm stellt eine Vorgehensweise vor, mit der du in einem Löschkonzept die Anforderungen an die Aufbewahrung von Daten erfassen und in einem Regelsystem dokumentieren kannst. Hierbei ist sowohl Know-how aus dem Unternehmen als auch fachlicher Rat zu den gesetzlichen Aufbewahrungsanforderungen erforderlich. Daher solltest du bei der Erstellung eines Löschkonzepts alle einbeziehen, die über in dieser Hinsicht relevantes Wissen verfügen,. Wenn dein Unternehmen das unterstützt, kann der Prozess der Konzepterstellung durch eine erfahrende Beraterin bzw. einen erfahrenen Berater moderiert werden.

Ziel eines Löschkonzepts nach DIN 66398 ist es, eine verlässliche Dokumentation aller Aufbewahrungsanforderungen zu besitzen. Damit sind rechtliche Aufbewahrungsfristen gemeint, zudem Aspekte wie die Pflichten aus Kundenverträgen oder die (legitimen) Anforderungen aus der Marketing- und Vertriebsabteilung.

Im Rahmen einer technischen und organisatorischen Umsetzung dieser Anforderungen fällt es dann wesentlich leichter, sich von den (nun objektiv nicht mehr erforderlichen) Daten zu trennen. Bei der Planung der Umsetzung sollten, soweit möglich, automatische Löschprozesse in den IT-Systemen in Betracht gezogen werden. Aber auch manuelle Löschungen, die im Abteilungskalender als Serientermin eingetragen werden, können eine wirksame Form der Umsetzung darstellen.

Wie fange ich am besten mit dem Löschkonzept an?

Vorab: Löschkonzepte sind ein Thema für den Fachbereich und nicht für die IT. Die IT kann gegebenenfalls unterstützen, wenn es um die Analyse von Datenbeständen oder automatisierte Löschfunktionen geht. Aber die Entscheidung, welche Daten wie lange benötigt werden, sollte aus „dem Business“ kommen.

Löschkonzepte können unternehmensweit erstellt werden. Das ist je nach Unternehmensgröße ein äußerst umfangreiches Projekt. Solche Konzepte können aber auch nur für einzelne Geschäftsprozesse oder IT-Anwendungen definiert werden. Lege zuerst fest, welchen Bereich du betrachten möchtest.

Erstelle für deinen festgelegten Konzeptionsbereich eine Datenlandkarte. Betrachtest du einen Geschäftsprozess, dann lohnt es sich, entlang dieses Geschäftsprozesses Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“) beschrieben ist und das dir hier weiterhelfen kann.

Zum Abschluss

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Erfahre noch mehr – auf dem Atlassian Cloud Day am 28. März

Am 28. März 2023 veranstalten wir für alle, die einen Umzug in die Cloud in Erwägung ziehen, aber noch eine Menge Fragen haben, einen Tag, der die Atlassian Cloud “in a nutshell” thematisiert: den Atlassian Cloud Day! Melde dich jetzt noch an (kostenfrei) und sichere dir eine große Portion Wissensvorsprung in Sachen “Reibungslos in die Cloud”.

Die Zukunft ist oben!

Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.

Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.