Suche
Contact
Symbolbild zum Lebenszyklus von Daten: digitaler Monitor
08.02.2024 | KPMG Law Insights

Der Lebenszyklus von Daten und seine Bedeutung aus rechtlicher Sicht

Teil 2 der Beitragsserie „Profitipps zum Data Compliance Management“

 

Nachdem im ersten Teil der Beitragsserie die Grundlagen der Datenkategorisierung beschrieben wurden, betrachten wir nun den gesamten Lebenszyklus der Daten von Unternehmen. Die Compliance-Anforderungen variieren nämlich je nachdem, ob es gerade um die Datenerhebung, -verarbeitung, -speicherung oder -löschung geht. Ein durchdachtes Vorgehen ist daher essenziell, um regulatorische Fallstricke zu vermeiden.

Phase 1 des Lebenszyklus von Daten: Datenerhebung

Unternehmen erheben Daten aus den verschiedensten Gründen, sei es zur Kundenkommunikation, zur Produktentwicklung, zur Verwaltung, zur Vertragsabwicklung oder zur Erfüllung gesetzlicher Pflichten. Die Zweckbestimmung spielt aus regulatorischer Sicht eine fundamentale Rolle.

Wenn es sich um bereits vorhandene Daten handelt, die ursprünglich zu einem anderen Zweck generiert worden sind, kann es sein, dass schon dieser Umstand die geplante Neuerhebung der Daten vereitelt oder zumindest deutlich erschwert.

Manche Daten dürfen aber unter Umständen grundsätzlich schon gar nicht erst erhoben werden, etwa wenn dies einen Verstoß gegen gesetzliche oder vertragliche Verpflichtungen des Unternehmens bedeuten würde. In der Praxis betrifft das zum Beispiel häufig Dienstleister, die Daten im Auftrag ihrer Kunden verarbeiten. Was nicht alle wissen: Aufgrund der Regelungen der DSGVO dürfen diese Daten noch nicht einmal zur Erhöhung des Sicherheitsniveaus, und erst recht nicht zur Verbesserung der eigenen Prozesse oder Produkte verwendet werden.

Manche Daten sind urheberrechtlich geschützt und dürfen nur mit der ausdrücklichen Erlaubnis des Rechteinhabers erhoben und verwertet werden Und: Nicht nur Gesetze, sondern auch vertragliche Verpflichtungen können die Datenerhebung verbieten. Vertraulichkeitsvereinbarungen, Kooperationsverträge und Lizenzbestimmungen sind weitere potenzielle Stolpersteine.

Aber selbst bei der Neugenerierung von Daten sind gesetzliche und regulatorische Aspekte zu berücksichtigen. So können Einwilligungen von Betroffenen, behördliche Genehmigungen und andere Voraussetzungen erforderlich sein. Die Herkunft von Daten spielt eine wesentliche Rolle, da sie den rechtlichen Rahmen mitdefiniert. Sie sollte daher unbedingt dokumentiert werden, um die Einhaltung regulatorischer Vorgaben zu belegen und die Rechtmäßigkeit der Datennutzung zu gewährleisten.

Phase 2 des Lebenszyklus von Daten: Datenverarbeitung

Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden. Das ergibt sich aus den Prinzipien der Datenminimierung der der Zweckbindung der DSGVO. Das gilt ganz besonders für die Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO, wie etwa Gesundheitsdaten, da hier höhere Schutzstandards gelten. Auch die Weitergabe von Daten an Dritte oder die Verarbeitung für neue, ursprünglich nicht vorgesehene Zwecke, kann regulatorische Implikationen haben. In diesen Fällen ist eine sorgfältige Prüfung der Rechtsgrundlagen und gegebenenfalls eine erneute Zustimmung der Betroffenen erforderlich. Und das hat sehr praktische Auswirkungen. Eine vor Jahren erteilte Einwilligung kann ihre legitimierende Wirkung schlicht durch Zeitablauf verlieren, was unter Umständen eine ganze Marketing-Kampagne zu einem Haftungsfall werden lassen kann. Typischerweise sind es aber gesetzliche Änderungen oder geänderte behördliche Ansichten, die dazu führen, dass Unternehmen eine langjährige Praxis der Datenverarbeitung überprüfen sollten.

Phase 3 des Lebenszyklus von Daten: Datenspeicherung

In der dritten Lebenszyklusphase, der Datenspeicherung, stellt sich vor allem die Frage, wie lange Daten gespeichert werden dürfen. Hier kollidieren die gesetzlichen Anforderungen: Während das Datenschutzrecht eine Löschung verlangt, sobald Daten nicht mehr für ihren ursprünglichen Zweck gebraucht werden, verlangen unter anderem handels- und steuerrechtliche Regelungen eine längerfristige Archivierung. Unternehmen sollten daher die Aufbewahrungsfristen klar und spezifisch für jede betroffene Jurisdiktion definieren und für jede Datenkategorie individuell festlegen. Hierbei ist eine transparente und effiziente Datenarchitektur entscheidend, um den Überblick zu behalten und Compliance-Anforderungen auch über nationale Grenzen hinweg verlässlich zu erfüllen.

Auch sollten Unternehmen klären, wo die Daten gespeichert werden. Denn jede Übermittlung von Daten erfordert nach den Regelungen der DSGVO eine Rechtsgrundlage – sei es zu einem lokalen Rechenzentrum oder direkt in die Cloud. Wenn grenzüberschreitend gearbeitet wird – was gerade bei multinationalen Konzernen keine Seltenheit ist – sind weitere gesetzliche Anforderungen zu beachten. Zum Beispiel wären dann gegebenenfalls weitere Verträge abzuschließen. Auch die Dokumentation kann dann aufwändiger sein.

Phase 4 des Lebenszyklus von Daten: Datenlöschung

Am Ende des Lebenszyklus der Daten steht die systematische Löschung. Gründe für die Löschung sind der Ablauf der Aufbewahrungsfristen und Anfragen der Betroffenen. Automatisierte Löschprozesse können dabei helfen, die Einhaltung der Löschfristen sicherzustellen und das Risiko von Datenschutzverletzungen zu minimieren. Hierfür ist es essenziell, die Löschprozesse sorgfältig zu dokumentieren, um das Einhalten der gesetzlichen Regelungen belegen zu können. Wenn dritte Dienstleister mit der Löschung oder Vernichtung von Daten beauftragt werden, müssen ebenfalls robuste vertragliche Grundlagen geschaffen werden, um die Vertraulichkeit der Daten auch auf ihrem letzten Weg sicherzustellen.

Fazit

Wenn Unternehmen ihre Daten im Vorfeld sauber kategorisieren, können sie sie in den verschiedenen Lebenszyklen differenziert betrachten und handhaben. Dies bietet einen umfassenden Rahmen für das Daten-Compliance-Management. Durch eine tiefergehende Auseinandersetzung mit den Anforderungen jeder einzelnen Phase und dem Implementieren von entsprechenden Prozessen können Unternehmen ihre Maßnahmen zur Sicherstellung der Rechtskonformität optimieren und regulatorische Risiken minimieren.

Der dritte und letzte Teil dieser Beitragsserie befasst sich mit dem Data Compliance Management und den damit verbundenen praktischen Herausforderungen für Unternehmen.

 

Explore #more

11.10.2024 |

Entwaldungsverordnung: Die häufigsten Irrtümer von Unternehmen

Schon der Name der Verordnung ist irreführend. „Entwaldungsverordnung“ klingt eher nach einem Regelwerk für die Land- oder Forstwirtschaft. Das ist sie aber nicht,…

11.10.2024 | In den Medien

Gastbeitrag im Asset Management Guide 2024: Das Fondsmarktstärkungsgesetz – Flexibilisierung und Debt Fund reloaded

Am 5. August 2024 veröffentlichte das Bundesministerium für Finanzen den Referentenentwurf des Gesetzes zur Stärkung des deutschen Fondmarktes und zur Umsetzung der Richtlinie (EU) 2024/927…

07.10.2024 | KPMG Law Insights

Kommunale Wärmeplanung – so gelingt die Umsetzung Schritt für Schritt

Städte und Gemeinden stehen derzeit vor der großen Herausforderung, die Vorgaben der kommunalen Wärmeplanung innerhalb der ambitionierten Fristen umzusetzen. Das Gesetz für die Wärmeplanung und…

04.10.2024 | In den Medien

Gastbeitrag in Der Bauunternehmer zum Thema: Wettbewerb bringt Klimaschutz besser voran als starre Vorgaben“

Regulierung ist einer der maßgeblichen Kostentreiber im Bau. Statt durch starre Vorgaben lassen sich Nachhaltigkeitsziele und Klimaschutz aber besser durch die systematische Nutzung von Daten…

04.10.2024 | Dealmeldungen

KPMG Law begleitet die HWP Handwerkspartner Gruppe beim Erwerb von Manfred Teckenburg Elektroanlagen

KPMG Law hat für die HWP Handwerkspartner Gruppe beim Erwerb von Teckenburg Elektroanlagen eine umfassende Legal Due-Diligence durchgeführt und die Kaufvertragsverhandlungen begleitet. Hierbei arbeitete KPMG…

04.10.2024 | Dealmeldungen

KPMG Law und KPMG beraten die Forterro-Gruppe beim Erwerb der alltrotec

KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben die Forterro-Gruppe bei der Due Diligence, Strukturierung und Umsetzung im Rahmen des Erwerbs…

04.10.2024 | Dealmeldungen

KPMG Law und KPMG beraten HWP Handwerkspartner Gruppe beim Erwerb der Elektro Fastabend-Gruppe

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben gemeinsam die HWP Handwerkspartner Gruppe (HWP) beim Erwerb der Fastabend Elektro-Gebäudetechnik…

02.10.2024 | Dealmeldungen

KPMG Law begleitet die HWP Handwerkspartner Gruppe beim Erwerb einer Mehrheitsbeteiligung an der Unternehmensgruppe Schalm

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die HWP Handwerkspartner Gruppe  beim Erwerb der Schalm Gruppe beraten. KPMG Law hat dabei eine umfassende Legal…

02.10.2024 | KPMG Law Insights

Bürokratieentlastungsgesetz: Textform statt Schriftform für Gewerbemietverträge

Am 26. September 2024 hat der Bundestag das Vierte Bürokratieentlastungsgesetz beschlossen. Eine der zahlreichen Änderungen betrifft das gesetzliche Schriftformgebot für langfristige Mietverhältnisse: Bisher galt für…

01.10.2024 | Pressemitteilungen

KPMG Law erneut unter den TOP 5 beim Kanzleimonitor 2024

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) belegt einen hervorragenden fünften Platz in der Gesamtauswertung der TOP-100-Kanzleien im aktuellen Kanzleimonitor des diruj. KPMG Law dominiert…

Kontakt

Dr. Jyn Schultze-Melling, LL.M.

Partner

Heidestraße 58
10557 Berlin

tel: +49 30 530199 410
jschultzemelling@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll