Übergabe und Löschung 
von 
DSGVO-relevanten Kundendaten 

Ausschnitt und Richtlinie der daraus resultierenden Vorgehensweise...

Datenübergabe und Datenlöschung von DSGVO-relevanten Kundendaten.
Nach langjährigem Datenmanagement und Auftragsdatenverarbeitung durch die profidata-IT als externer IT-Dienstleister.
Basierend und als Anforderung nach der fristgerechten Kündigung des IT-Dienstleistungs-Vertrages.

Bedeutung und Ablauf-Szenario für die gesetzeskonforme Kundendaten-Übergabe und Daten-Löschung...

Die Datenaufbereitung und die Datenübergabe sind komplexe Prozesse, die eine sorgfältige Planung und Durchführung erfordern. 
Fehler oder Nachlässigkeiten können rechtliche Konsequenzen nach sich ziehen und zusätzlich, durch Melde- und Veröffentlichungspflichten, zu einem erheblichen Imageverlust führen
Daher ist es unerlässlich, alle Schritte gründlichst und gesetzeskonform durchzuführen.

-1-

Vertrags-Prüfung: 

Wirüberprüfen, gemeinsam mit unserem Kunden, den Vertrag, um sicherzustellen, dass alle vertraglichen Verpflichtungen bezüglich der Datenübergabe und Datenlöschung erfüllt werden.

-2-

Backups durchsuchen:

Wir überprüfen unsere gesamte Backup-Strategie und stellen für Sie sicher, dass alle relevanten Daten regelmäßig gesichert wurden und an welchen Stellen sie gespeichert wurden.

-3-

Daten-Sicherungen durchsuchen:

Wir durchsuchen und strukturieren alle vorhandenen Daten-Sicherungen nach den benötigten und mit dem Kunden vorher definierten Daten, Dateien und Kunden-Datenbanken.

-4-

Diverse Server durchsuchen:

Wir analysieren und erstellen eine Liste aller Server, auf denen die relevanten Kunden-Daten und Kunden-Dateien gespeichert sein könnten.

-5-

SQL-Server-Dateien:

Wir führen die relevanten Daten aus den verschiedenen SQL-Server-Backups wieder zusammen, um eine vollständige und konsistente Daten-Sammlung zu generieren.  

-6-

Dateien entschlüsseln:

Wirprüfen im Team, ob und wie die Dateien und Dokumente verschlüsselt wurden. Anschließend erfolgt das eigentliche Entschlüsseln der Dateien und Dokumente. 

-7-

Daten strukturiert Ablegen:

Wirlegen die strukturierten Daten in  sicheren und zugänglichen Formaten auf unseren internen Daten-Servern ab. Zur weiteren Verarbeitung.

-8-

Daten-Übergabe in Teilschritten:

Wir erstellen, gemeinsam mit unserem Kunden, einen Ablauf-Plan für die schrittweise Übergabe aller Kunden-Daten und Dateien. 

-9-

Kontrolle der Daten-Übergabe:

Es erfolgt eine beidseitige Daten-Übergabe-Kontrolle in einem fest definierten Prüfungs-Zeitraum.  Mit einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt übertragen.

-10-

nach Daten-Übergabe löschen:

Wir erstellen, ein ganzheitliches Konzept zur sicheren Löschung der Daten aus unseren Systemen, Backup-Servern und sonstigen kooperierenden IT-Systemen. 

-11-

Engpässe und Herausforderungen​:

Es müssen diverse Engpässe einkalkuliert werden, darunter fallen Punkte wie das ​ große Daten-Volumen, 
die Daten-Konsistenz, Sicherheits-Risiken und alle ergänzenden und rechtlichen Anforderungen und Vorgaben.

-12-

Weiteres von Kundenseite:

...

Daten-Übergabe als PDF... 

Konkretes Szenario - Datenübergabe nach Vertrags-Ende mit Pharma-Konzern...

(Chronologisch dokumentierte Umsetzungs-Schritte und weiterhin ungeklärte Kosten-Aufteilung)

Stand: 12.05.2025

Der Vertag zur Auftragsdatenverarbeitung und DSGVO-konformen Datenverarbeitung wurde vom Pharma-Konzern fristegerecht am 15.11.2024 gekündigt.
Dienstleitungs-Vertrags-Ende war offiziell somit der 31.12.2024.
Sämtliche Veranstaltungs-, Teilnehmer- und Online-Registrierungsdaten befanden  sich bis zum 31.12.2024 auf einer gehosteten und komplex kooperierenden, MSD-individualisierten Server-Landschaft.

 Farbe GRÜN = ERLEDIGT / Erfolgt / Abgearbeitet

 Farbe ROT = OFFEN / Geplant / on hold

 Farbe BLAU = AUFWAND / Man-Power / Kosten

01) Offizielles Vertrags-Ende
(6 Wochen vor Jahresende)

0 Mann-Tage

31.12.2024

02) Neue Serverumgebung (GrundMicrosoft Support-Ende)

0 Mann-Tage

15.12.2024 - 05.01.2025

03) DNS-Umleitung auf neuen Server (Anfrage, Kommu. etc.)

2 Mann-Tage

18.12.2024 - 09.01.2025

04) Ablehnung DNS-Umleitung
(Meetings, Kommu., Feedback)

2 Mann-Tage

09.01.2025 - 25.01.2025

05) Kommunikation und Machbarkeitsanalysen

2 Mann-Tage

26.01.2025 - 15.02.2025

06) Tec-Telko, Analysen und Ergebnis-Umsetzungs-Protokoll

2 Mann-Tage

17.02.2025 - 20.02.2025

07) Analysen, Management und Umsetzung gemäß Protokoll

3 Mann-Tage

20.02.2025 - 10.03.2025

08) Deploy von Data-Server und VERA-NT Transfer-Tool 2025

3 Mann-Tage

05.03.2025 - 20.03.2025

09) MSD-Testphase und Data-Check, Kommunikation etc.

1 Mann-Tag

15.03.2025 - 30.03.2025

10) (Telko) Kosten-Transparenz und Kosten-Aufschlüsselung

0 Mann-Tage

31.03.2025 - 31.03.2025

11) Verbindliche (vertragliche) Fixierung der Kostenübernahmen
- Achtung Showstopper !!! -

1,0 Mann-Tage

01.04.2025 - 16.05.2025

12) Aufarbeitung und Deploy VERA-Tool-Daten: 2019 - 2020

1,5 Mann-Tage

10.04.2025 - 21.04.2025

 
MSD-Seitige Unterbrechung  / Showstopper...

Ungeplante Unterbrechung; abweichend vom gemeinsam definierten Ablauf-Plan bzw. Protokoll; weiterhin ungeklärte Kosten-Fixierung (siehe Stepp 11); Auftraggeber fortwährend abwesend/nicht erreichbar; Mitwirkungspflicht langfristig ignoriert; Schriftwechsel und Anfragen an MSD kontinuierlich unbeantwortet
Deshalb bleibt die offizielle (DSGVO-konforme) Koordination und Umsetzung weiterhin ausstehend / on hold.

13) MSD-FTP-Server, ca. 49.000 E-Mails und 350 Datei-Ordner

1 Mann-Tag

22.04.2025 - 24.04.2025

14) Aufarbeitung und Deploy VERA-Tool-Daten: 2021 - 2022

1,5 Mann-Tage

19.05.2025 - 30.05.2025

15) Aufarbeitung und Deploy VERA-Tool-Daten: 2023 - 2024

1,5 Mann-Tage

02.06.2025 - 16.06.2025

16) FTP-Transfer aller Dateien auf bereitgestellten MSD-Server

1 Mann-Tag

02.06.2025 - 16.06.2025

17) Ggf. Zusatz-Anforderung von MSD oder sonstige Engpässe

X Mann-Tag

10.06.2025 - 15.06.2025

18) Rücksetzen der VERA-Server-Umgebung und VERA-Tools

16.06.2025 - 30.06.2025

19) Komplette Daten-Löschung und Abnahme-Protokoll

16.06.2025 - 30.06.2025

Ergebnis: 
Vollständige Daten-Übertragung und Daten-Löschung

01.07.2025

Gesamt-Zeitraum der Datentransfer-Arbeiten
 - Ca. 6 Monate -

01.01.2025 - 30.06.2025

Man-Power - bereits erfolgt und zukünftig ausstehend
- 2 IT-Professionals -

24 Mann-Tage

Kosten für ausführende 
profidata-IT GmbH & Co. KG (Mann-Tage x Tagessatz):

~ 19.000 Euro

Daten-Übergabe als PDF... 

(1) Vertrags-Prüfung und Datenbasis-Check

  1. Vertragsprüfung
    • Wir überprüfen, gemeinsam mit unserem Kunden, den Vertrag, um sicherzustellen, dass alle vertraglichen Verpflichtungen bezüglich der Datenübergabe und Datenlöschung erfüllt werden.
    • Ferner wird eine ggf. vertraglich vorgesehene Terminierung geprüft bzw. für die anstehende Umsetzung neu definiert.
  1. Datenidentifikation
    • Wir identifizieren für Sie, oder mit Ihnen gemeinsam, alle relevanten Daten, die übergeben und später gelöscht werden müssen
    • Dazu gehören zum Beispiel Teilnehmer-Listen, Teilnahme-Bestätigungen, TN-E-Mails, Verträge, Referenten-Verträge, Anschreiben, Kosten-Berechnungen, Adressen, Kontodaten, Opt-IN/OUT, Excel-Listen, Word-Dateien, PDF-Dokumente, Bilder, Fotos, Skizzen, Hotelinfos und ggf. Rohdatendateien als SQL-Datenbank mit dazugehörigen, gespeicherten Prozeduren.
  1. Datenquellen durchsuchen
    • Um gründlich und rechtssicher vorzugehen, durchsuchen wir alle relevanten Datenquellen, einschließlich Backup-Server, verschlüsselte Acronis-Backups, Datenbanken, Dateisysteme, Ordnerstrukturen und Cloud-Speicher usw., um sicherzustellen, dass alle erforderlichen Daten erfasst und weiterbearbeitet werden können.

(2) Backups durchsuchen

  1. Backup-Strategie prüfen
    • Wir überprüfen unsere gesamte Backup-Strategie und stellen für Sie sicher, dass alle relevanten Daten regelmäßig gesichert wurden und wo sie anschließend abgelegt/gespeichert sind.
  1. Backups durchsuchen
    • Anschließend durchsuchen wir alle vorhandenen Backups nach allen benötigten Daten.
    • Dies kann sowohl lokale als auch die beschriebenen Cloud-Backups umfassen.
  1. Datenwiederherstellung
    • Wir versuchen nun auch sicher zu stellen, dass alle relevanten Daten aus den Backups wiederhergestellt werden können.
    • Bei technischen Problemen werden wir diese so gut wie möglich beheben.

(3) Daten-Sicherungen durchsuchen

  1. Sicherungs-Protokolle prüfen
    • Zuerst überprüfen wir die vorhandenen Sicherungs-Protokolle der verfügbaren Datensicherungen, um sicherzustellen, dass alle relevanten Daten korrekt gesichert wurden.
  1. Sicherungen durchsuchen
    • Wir durchsuchen und strukturieren alle vorhandenen Sicherungen nach den benötigten und mit dem Kunden vorher definierten Daten, Dateien und Kunden-Datenbanken.
  1. Daten-Wiederherstellung
    • Wir vergewissern uns und Stellen anschließend sicher, dass alle relevanten Daten aus den Sicherungen wiederhergestellt werden können.

(4) Die verschiedenen Server durchsuchen

  1. Server-Liste erstellen
    • Wir analysieren und erstellen eine Liste aller Server, auf denen relevante Daten gespeichert sein könnten.
    • Hierbei handelt es sich auch um kommerzielle Backup-Systeme und intern/extern gehostete „NAS“-Systeme.
    • Diese Server-Liste dient unseren Kollegen als Basis für das weitere Daten-Management.
  1. Server-Liste durchsuchen
    • Mit der o.a. internen Server-Liste (IP-Adressen, Kennwörter, Verschlüsselung, Daten-Ablage-Struktur, Firewall etc.) durchsuchen wir jeden Server nach den benötigten Kunden-Daten.
    • Dies kann sowohl die physischen als auch etliche virtuelle Server umfassen.
  1. Daten-Extraktion
    • Es wird erfahrungsgemäß in vielen Fällen notwendig sein die relevanten Daten auf den Servern (oder einem identischen Puffer-System) zu extrahieren.
    • Das ist für uns ein sehr zeitaufwendiger und daten-kritischer Prozess.
    • Anschließend erfolg eine Prüfung, ob nach dem Extrahieren alle relevanten Daten von den Servern wiederhergestellt, vollständig und korrekt sind

(5) SQL-Server-Dateien zusammenführen und Backups wiederherstellen

  1. SQL-Server-Backups prüfen
    • Wir überprüfen alle relevanten Backups der unterschiedlichen, verwendeten SQL-Server-Datenbanken.
    • Hierbei beachten und verarbeiten wir die unterschiedlichen Backup-Varianten; Vollbackup, inkrementelles Backup und differenzielles Backup.
  1. SQL-Daten zusammenführen
    • Wir führen die relevanten Daten aus den verschiedenen SQL-Server-Backups wieder zusammen, um eine vollständige Datensammlung zu erstellen.
  1. SQL-Daten wiederherstellen
    • Wir testen die kumulierten SQL-Backups und stellen damit sicher, dass alle relevanten Daten aus den SQL-Server-Backups wiederhergestellt werden können.

(6) Dateien und Dokumente entschlüsseln

  1. Verschlüsselung prüfen
    • Wir prüfen im Team, ob und wie die Dateien und Dokumente verschlüsselt wurden.
    • Da der Daten(be)stand bis zu 10 Jahre zurück liegen kann, sind hierbei die unterschiedlichsten Verschlüsselungen und Verschlüsselungs-Systeme zu erwarten.
  1. Entschlüsselungs-Schlüssel und Authentifikations-Methoden bereitstellen
    • Wir versuchen sicher zu stellen, dass alle notwendigen Schlüssel und Methoden zur Entschlüsselung der Dateien und Dokumente zur Verfügung stehen.
  1. Dateien entschlüsseln
    • Anschließend erfolgt das eigentliche Entschlüsseln der Dateien und Dokumente, um sicherzustellen, dass sie anschließend vom Auftraggeber lesbar und vollständig sind.

(7) Daten strukturieren und lokal ablegen

  1. Daten-Strukturierung
    • Wir organisieren und dokumentieren die Daten in einer logischen Struktur, z.B. nach Veranstaltung, Teilnehmer oder Datum.
    • Die Organisation der eigentlichen VA- und TN-Daten erfolgt in SQL-Tabellen mit entsprechenden Beziehungen und u.a. Primär-Schlüsseln.
  1. Daten-Validierung
    • Die so generierten Datenstrukturen und Daten-Tabellen werden auf ihre Richtigkeit, Konsistenz und ggf. referentielle Integritäten geprüft.
  1. Daten-Ablage
    • Wir legen danach die strukturierten Basis-Daten in einem sicheren und zugänglichen Format auf unseren internen Daten-Servern, zur weiteren Verarbeitung und Verteilung, ab.

(8) Daten-Übergabe in Teilschritten

  1. Übergabe-Plan erstellen
    • Wir erstellen, gemeinsam mit unserem Kunden, einen Ablauf-Plan für die schrittweise Übergabe der Daten.
    • Dieser Übergabe-Plan wird schriftlich erstellt und von beiden Parteien bestätigt.
  1. Teil-Schritte definieren
    • Gemeinsam werden auch die einzelnen Schritte der Datenübergabe definiert.
    • z.B. nach Datenkategorien oder Zeiträumen.
  1. Daten-Übergabe durchführen
    • Wir führen die Daten-Übergabe, in den vorab definierten Teilschritten, durch.
    • Jede Phase der Übergabe wird dabei schriftlich bestätigt.

(9) Kontrolle der Daten-Übergabe

  1. Dokumentation
    • Wir dokumentieren gemeinsam den gesamten Prozess der Datenübergabe.
    • Einschließlich der Art und Weise, wie und wann die Daten übertragen wurden.
    • Ferner, wer den jeweiligen Zugang zu den Daten hatte.
  1. Audit-Trail
    • Auf Kundenwunsch und einer entsprechenden Zusatz-Kosten-Übernahme führen wir einen Audit-Trail durch, um die Nachvollziehbarkeit der Datenübergabe zu gewährleisten.
  1. Überprüfung
    • Gemeinsam mit dem Kunden überprüfen wir, ob alle Daten korrekt und vollständig übergeben wurden.
    • Dazu wird mit dem Kunden ein Prüfungs-Zeitraum definiert.
    • Nach Ende des Prüfungszeitraums und einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt übertragen.

(10) Daten nach der Übertragung löschen

  1. Lösch-Konzept entwickeln
    • Wir erstellen, mit unseren erfahrenen Daten-Managern, ein ganzheitliches Konzept zur sicheren Löschung der Daten aus unseren Systemen.
    • Wir erstellen weitere Lösch-Konzepte, die gewährleisten, dass auf allen Satelliten-Systemen, Backup-Servern und sonstigen kooperierenden Systemen eine sichere Datenlöschung stattfinden kann.
    • Daten-Löschung durchführen
    • Wir nutzen kommerzielle und individuelle Tools und Methoden, um alle Kunden-Daten sicher zu löschen.
    • Dieses wird auch das Überschreiben der Daten und die physische Zerstörung von Backup- Speichermedien umfassen.
  1. Lösch-Bestätigung
    • Es wird mit dem Kunden ein Daten-Lösch-Zeitraum definiert.
    • Nach Ende des eigentlichen Lösch-Vorgangs und einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt gelöscht.

(11) Potenzielle Engpässe und Herausforderungen

  1. Daten-Volumen
    • Die großen und langjährig angefallenen Datenmengen werden die Datenaufbereitung und -übertragung verlangsamen.
    • Es müssen ausreichend Zeit und Ressourcen eingeplant und bereitgestellt werden.
    • Daten-Konsistenz
    • Die unterschiedlichen Datenformate und -quellen werden zu Inkonsistenzen führen.
    • Eine gründliche und professionelle Daten-Bereinigung, Daten-Aufbereitung und Daten-Management sind für das Ergebnis fundamental entscheidend und eine Voraussetzung.
  1. Sicherheits-Risiken
    • Die sichere Übertragung und Zwischen-Speicherung der Daten ist essenziell, um Datenschutzverletzungen zu vermeiden.
    • Gerade in der Daten-Aufbereitungs-Phase, in denen u.a. die Daten unverschlüsselt weiterverarbeitet werden, muss mit allergrößter Sorgfalt vorgegangen werden.
    • Nach Ende des eigentlichen Lösch-Vorgangs und einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt gelöscht.
  1. Rechtliche Anforderungen
    • Während des gesamten Workflows müssen beide Vertrags-Seiten sicherstellen, dass alle Schritte im Einklang mit der DSGVO und anderen relevanten Datenschutzgesetzen erfolgen.

(12) Weiteres von Kundenseite

Daten-Übergabe als PDF...