Unternehmen sind laut dem Schweizer Datenschutzgesetz und der EU-DSGVO verpflichtet, Personendaten zu löschen, sobald sie nicht mehr benötigt werden – ein zentraler Bestandteil des Prinzips der Datenminimierung. Die praktische Umsetzung dieser Anforderung stellt viele Firmen jedoch vor grosse Herausforderungen. In einem Erfahrungsbericht beleuchten wir, wie Schweizer Versicherer diese Hürde gemeistert haben – und liefern übertragbare Erkenntnisse für andere Unternehmen mit komplexer IT-Landschaft.
Ausgangslage und Herausforderungen
Die rechtliche Verpflichtung, Personendaten nur so lange aufzubewahren, wie nötig, ist seit Jahren gesetzlich verankert. Doch erst in den letzten Jahren hat diese Anforderung an Bedeutung gewonnen – und stellt Versicherer heute vor neue, komplexe Herausforderungen:
-
Schweizer Versicherer nehmen «Datenminimierung» ernst
-
Datenminimierung stellt Unternehmen vor eine vielschichtige Herausforderung
-
Datenminimierung ist insbesondere eine Architektur-Herausforderung
-
Zum Start ist die Auftraggeberschaft zu klären
Konzeption
Der erste Schritt ist die Erarbeitung eines unternehmensweiten Löschkonzepts inklusive Löscharchitektur:
- Die Löschkonzeptphase legt die Basis für die Umsetzung
- Das Löschkonzept übersetzt die gesetzlichen Vorgaben in umsetzbare Regeln
- Versicherer entscheiden sich zur «zentralen Löschorchestrierung»
Umsetzung
Nach der Konzeption kann die Umsetzung in den Applikationen erfolgen und – wo noch nicht geschehen – die Aufbewahrungsfristen erhoben werden:
- Die Umsetzung benötigt mehrere Jahre
- Anonymisieren ist aufwendiger als Löschen
- Reporting- und Analytics-Applikationen sind eine besondere Herausforderung
- Mit der Umsetzung ergibt sich das neue Risiko der «Falschlöschung»
