Aufgrund einer Datenpannenmeldung wurde die Datenschutzaufsicht darüber informiert, dass aus einem abgeschlossenen Hortraum eine externe (unverschlüsselte) Festplatte entwendet wurde, auf der auch personenbezogene Daten gespeichert waren.
Es waren dabei schwerpunktlich zwei Punkte zu klären. Auf der Festplatte sollen Daten der letzten zehn Jahre vorhanden gewesen sein. Es stellte sich die Frage, warum die Daten für einen derartig langen Zeitraum gespeichert wurden. Nach Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, solange diese für die Zwecke, für die sie verarbeitet werden, erforderlich sind. Offensichtlich wurde die Speicherdauer im vorliegenden Fall bislang noch nicht kritisch hinterfragt. Dieses soll nunmehr geschehen, so dass entsprechende Festlegungen sowie Dokumentationen (Löschkonzept) erarbeitet werden.
Neben den fehlenden Regelungen zur Speicherbegrenzung wurde auch weiteren Gewährleistungszielen (hier insbesondere die Integrität und Vertraulichkeit) nicht in einem angemessenen Umfang Rechnung getragen. Dies betrifft sowohl die Aufbewahrung derartiger Speichermedien als auch die Frage nach einer Festplattenverschlüsselung.
Die Hinweise durch die Aufsichtsbehörde führten dazu, dass die Speichermedien nunmehr verschlüsselt und verschlossen in dazu vorgesehenen Räumen aufbewahrt werden. Außerdem werden entsprechende Dienstvereinbarungen mit klaren Regelungen zum Umgang mit Datenträgern erarbeitet.
Quelle: LfDI M-V
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks