Übergabe und Löschung 
von 
DSGVO-relevanten Kundendaten 

Ausschnitt und Richtlinie der daraus resultierenden Vorgehensweise...

Datenübergabe und Datenlöschung von DSGVO-relevanten Kundendaten.
Nach langjährigem Datenmanagement und Auftragsdatenverarbeitung durch die profidata-IT als externer IT-Dienstleister.
Basierend und als Anforderung nach der fristgerechten Kündigung des IT-Dienstleistungs-Vertrages.

Bedeutung gründlicher und gesetzeskonformer Kundendaten-Übergabe und Löschung...

Die Datenaufbereitung und die Datenübergabe sind komplexe Prozesse, die eine sorgfältige Planung und Durchführung erfordern. 
Fehler oder Nachlässigkeiten können rechtliche Konsequenzen nach sich ziehen und bei den Kunden des Auftraggebers zu einem erheblichen Imageverlust führen
Daher ist es wichtig, alle Schritte gründlichst und gesetzeskonform durchzuführen.

1

Vertrags-Prüfung: 

Wirüberprüfen, gemeinsam mit unserem Kunden, den Vertrag, um sicherzustellen, dass alle vertraglichen Verpflichtungen bezüglich der Datenübergabe und Datenlöschung erfüllt werden.

2

Backups durchsuchen:

Wir überprüfen unsere gesamte Backup-Strategie und stellen für Sie sicher, dass alle relevanten Daten regelmäßig gesichert wurden und an welchen Stellen sie gespeichert wurden.

3

Daten-Sicherungen durchsuchen:

Wir durchsuchen und strukturieren alle vorhandenen Daten-Sicherungen nach den benötigten und mit dem Kunden vorher definierten Daten, Dateien und Kunden-Datenbanken.

4

Diverse Server durchsuchen:

Wir analysieren und erstellen eine Liste aller Server, auf denen die relevanten Kunden-Daten und Kunden-Dateien gespeichert sein könnten.

5

SQL-Server-Dateien:

Wir führen die relevanten Daten aus den verschiedenen SQL-Server-Backups wieder zusammen, um eine vollständige und konsistente Daten-Sammlung zu generieren.  

6

Dateien entschlüsseln:

Wirprüfen im Team, ob und wie die Dateien und Dokumente verschlüsselt wurden. Anschließend erfolgt das eigentliche Entschlüsseln der Dateien und Dokumente. 

7

Daten strukturiert Ablegen:

Wirlegen die strukturierten Daten in  sicheren und zugänglichen Formaten auf unseren internen Daten-Servern ab. Zur weiteren Verarbeitung.

8

Daten-Übergabe in Teilschritten:

Wir erstellen, gemeinsam mit unserem Kunden, einen Ablauf-Plan für die schrittweise Übergabe aller Kunden-Daten und Dateien. 

9

Kontrolle der Daten-Übergabe:

Es erfolgt eine beidseitige Daten-Übergabe-Kontrolle in einem fest definierten Prüfungs-Zeitraum.  Mit einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt übertragen.

10

nach Daten-Übergabe löschen:

Wir erstellen, ein ganzheitliches Konzept zur sicheren Löschung der Daten aus unseren Systemen, Backup-Servern und sonstigen kooperierenden IT-Systemen. 

11

Engpässe und Herausforderungen​:

Es müssen diverse Engpässe einkalkuliert werden, darunter fallen Punkte wie das ​ große Daten-Volumen, 
die Daten-Konsistenz, Sicherheits-Risiken und alle ergänzenden und rechtlichen Anforderungen und Vorgaben.

12

Weiteres von Kundenseite:

...

Daten-Übergabe als PDF... 
Daten-Übergabe als PDF... 

(1) Vertrags-Prüfung und Datenbasis-Check

  1. Vertragsprüfung
    • Wir überprüfen, gemeinsam mit unserem Kunden, den Vertrag, um sicherzustellen, dass alle vertraglichen Verpflichtungen bezüglich der Datenübergabe und Datenlöschung erfüllt werden.
    • Ferner wird eine ggf. vertraglich vorgesehene Terminierung geprüft bzw. für die anstehende Umsetzung neu definiert.
  1. Datenidentifikation
    • Wir identifizieren für Sie, oder mit Ihnen gemeinsam, alle relevanten Daten, die übergeben und später gelöscht werden müssen
    • Dazu gehören zum Beispiel Teilnehmer-Listen, Teilnahme-Bestätigungen, TN-E-Mails, Verträge, Referenten-Verträge, Anschreiben, Kosten-Berechnungen, Adressen, Kontodaten, Opt-IN/OUT, Excel-Listen, Word-Dateien, PDF-Dokumente, Bilder, Fotos, Skizzen, Hotelinfos und ggf. Rohdatendateien als SQL-Datenbank mit dazugehörigen, gespeicherten Prozeduren.
  1. Datenquellen durchsuchen
    • Um gründlich und rechtssicher vorzugehen, durchsuchen wir alle relevanten Datenquellen, einschließlich Backup-Server, verschlüsselte Acronis-Backups, Datenbanken, Dateisysteme, Ordnerstrukturen und Cloud-Speicher usw., um sicherzustellen, dass alle erforderlichen Daten erfasst und weiterbearbeitet werden können.

(2) Backups durchsuchen

  1. Backup-Strategie prüfen
    • Wir überprüfen unsere gesamte Backup-Strategie und stellen für Sie sicher, dass alle relevanten Daten regelmäßig gesichert wurden und wo sie anschließend abgelegt/gespeichert sind.
  1. Backups durchsuchen
    • Anschließend durchsuchen wir alle vorhandenen Backups nach allen benötigten Daten.
    • Dies kann sowohl lokale als auch die beschriebenen Cloud-Backups umfassen.
  1. Datenwiederherstellung
    • Wir versuchen nun auch sicher zu stellen, dass alle relevanten Daten aus den Backups wiederhergestellt werden können.
    • Bei technischen Problemen werden wir diese so gut wie möglich beheben.

(3) Daten-Sicherungen durchsuchen

  1. Sicherungs-Protokolle prüfen
    • Zuerst überprüfen wir die vorhandenen Sicherungs-Protokolle der verfügbaren Datensicherungen, um sicherzustellen, dass alle relevanten Daten korrekt gesichert wurden.
  1. Sicherungen durchsuchen
    • Wir durchsuchen und strukturieren alle vorhandenen Sicherungen nach den benötigten und mit dem Kunden vorher definierten Daten, Dateien und Kunden-Datenbanken.
  1. Daten-Wiederherstellung
    • Wir vergewissern uns und Stellen anschließend sicher, dass alle relevanten Daten aus den Sicherungen wiederhergestellt werden können.

(4) Die verschiedenen Server durchsuchen

  1. Server-Liste erstellen
    • Wir analysieren und erstellen eine Liste aller Server, auf denen relevante Daten gespeichert sein könnten.
    • Hierbei handelt es sich auch um kommerzielle Backup-Systeme und intern/extern gehostete „NAS“-Systeme.
    • Diese Server-Liste dient unseren Kollegen als Basis für das weitere Daten-Management.
  1. Server-Liste durchsuchen
    • Mit der o.a. internen Server-Liste (IP-Adressen, Kennwörter, Verschlüsselung, Daten-Ablage-Struktur, Firewall etc.) durchsuchen wir jeden Server nach den benötigten Kunden-Daten.
    • Dies kann sowohl die physischen als auch etliche virtuelle Server umfassen.
  1. Daten-Extraktion
    • Es wird erfahrungsgemäß in vielen Fällen notwendig sein die relevanten Daten auf den Servern (oder einem identischen Puffer-System) zu extrahieren.
    • Das ist für uns ein sehr zeitaufwendiger und daten-kritischer Prozess.
    • Anschließend erfolg eine Prüfung, ob nach dem Extrahieren alle relevanten Daten von den Servern wiederhergestellt, vollständig und korrekt sind

(5) SQL-Server-Dateien zusammenführen und Backups wiederherstellen

  1. SQL-Server-Backups prüfen
    • Wir überprüfen alle relevanten Backups der unterschiedlichen, verwendeten SQL-Server-Datenbanken.
    • Hierbei beachten und verarbeiten wir die unterschiedlichen Backup-Varianten; Vollbackup, inkrementelles Backup und differenzielles Backup.
  1. SQL-Daten zusammenführen
    • Wir führen die relevanten Daten aus den verschiedenen SQL-Server-Backups wieder zusammen, um eine vollständige Datensammlung zu erstellen.
  1. SQL-Daten wiederherstellen
    • Wir testen die kumulierten SQL-Backups und stellen damit sicher, dass alle relevanten Daten aus den SQL-Server-Backups wiederhergestellt werden können.

(6) Dateien und Dokumente entschlüsseln

  1. Verschlüsselung prüfen
    • Wir prüfen im Team, ob und wie die Dateien und Dokumente verschlüsselt wurden.
    • Da der Daten(be)stand bis zu 10 Jahre zurück liegen kann, sind hierbei die unterschiedlichsten Verschlüsselungen und Verschlüsselungs-Systeme zu erwarten.
  1. Entschlüsselungs-Schlüssel und Authentifikations-Methoden bereitstellen
    • Wir versuchen sicher zu stellen, dass alle notwendigen Schlüssel und Methoden zur Entschlüsselung der Dateien und Dokumente zur Verfügung stehen.
  1. Dateien entschlüsseln
    • Anschließend erfolgt das eigentliche Entschlüsseln der Dateien und Dokumente, um sicherzustellen, dass sie anschließend vom Auftraggeber lesbar und vollständig sind.

(7) Daten strukturieren und lokal ablegen

  1. Daten-Strukturierung
    • Wir organisieren und dokumentieren die Daten in einer logischen Struktur, z.B. nach Veranstaltung, Teilnehmer oder Datum.
    • Die Organisation der eigentlichen VA- und TN-Daten erfolgt in SQL-Tabellen mit entsprechenden Beziehungen und u.a. Primär-Schlüsseln.
  1. Daten-Validierung
    • Die so generierten Datenstrukturen und Daten-Tabellen werden auf ihre Richtigkeit, Konsistenz und ggf. referentielle Integritäten geprüft.
  1. Daten-Ablage
    • Wir legen danach die strukturierten Basis-Daten in einem sicheren und zugänglichen Format auf unseren internen Daten-Servern, zur weiteren Verarbeitung und Verteilung, ab.

(8) Daten-Übergabe in Teilschritten

  1. Übergabe-Plan erstellen
    • Wir erstellen, gemeinsam mit unserem Kunden, einen Ablauf-Plan für die schrittweise Übergabe der Daten.
    • Dieser Übergabe-Plan wird schriftlich erstellt und von beiden Parteien bestätigt.
  1. Teil-Schritte definieren
    • Gemeinsam werden auch die einzelnen Schritte der Datenübergabe definiert.
    • z.B. nach Datenkategorien oder Zeiträumen.
  1. Daten-Übergabe durchführen
    • Wir führen die Daten-Übergabe, in den vorab definierten Teilschritten, durch.
    • Jede Phase der Übergabe wird dabei schriftlich bestätigt.

(9) Kontrolle der Daten-Übergabe

  1. Dokumentation
    • Wir dokumentieren gemeinsam den gesamten Prozess der Datenübergabe.
    • Einschließlich der Art und Weise, wie und wann die Daten übertragen wurden.
    • Ferner, wer den jeweiligen Zugang zu den Daten hatte.
  1. Audit-Trail
    • Auf Kundenwunsch und einer entsprechenden Zusatz-Kosten-Übernahme führen wir einen Audit-Trail durch, um die Nachvollziehbarkeit der Datenübergabe zu gewährleisten.
  1. Überprüfung
    • Gemeinsam mit dem Kunden überprüfen wir, ob alle Daten korrekt und vollständig übergeben wurden.
    • Dazu wird mit dem Kunden ein Prüfungs-Zeitraum definiert.
    • Nach Ende des Prüfungszeitraums und einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt übertragen.

(10) Daten nach der Übertragung löschen

  1. Lösch-Konzept entwickeln
    • Wir erstellen, mit unseren erfahrenen Daten-Managern, ein ganzheitliches Konzept zur sicheren Löschung der Daten aus unseren Systemen.
    • Wir erstellen weitere Lösch-Konzepte, die gewährleisten, dass auf allen Satelliten-Systemen, Backup-Servern und sonstigen kooperierenden Systemen eine sichere Datenlöschung stattfinden kann.
    • Daten-Löschung durchführen
    • Wir nutzen kommerzielle und individuelle Tools und Methoden, um alle Kunden-Daten sicher zu löschen.
    • Dieses wird auch das Überschreiben der Daten und die physische Zerstörung von Backup- Speichermedien umfassen.
  1. Lösch-Bestätigung
    • Es wird mit dem Kunden ein Daten-Lösch-Zeitraum definiert.
    • Nach Ende des eigentlichen Lösch-Vorgangs und einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt gelöscht.

(11) Potenzielle Engpässe und Herausforderungen

  1. Daten-Volumen
    • Die großen und langjährig angefallenen Datenmengen werden die Datenaufbereitung und -übertragung verlangsamen.
    • Es müssen ausreichend Zeit und Ressourcen eingeplant und bereitgestellt werden.
    • Daten-Konsistenz
    • Die unterschiedlichen Datenformate und -quellen werden zu Inkonsistenzen führen.
    • Eine gründliche und professionelle Daten-Bereinigung, Daten-Aufbereitung und Daten-Management sind für das Ergebnis fundamental entscheidend und eine Voraussetzung.
  1. Sicherheits-Risiken
    • Die sichere Übertragung und Zwischen-Speicherung der Daten ist essenziell, um Datenschutzverletzungen zu vermeiden.
    • Gerade in der Daten-Aufbereitungs-Phase, in denen u.a. die Daten unverschlüsselt weiterverarbeitet werden, muss mit allergrößter Sorgfalt vorgegangen werden.
    • Nach Ende des eigentlichen Lösch-Vorgangs und einer schriftlichen Abschluss-Bestätigung gelten die Daten als komplett und korrekt gelöscht.
  1. Rechtliche Anforderungen
    • Während des gesamten Workflows müssen beide Vertrags-Seiten sicherstellen, dass alle Schritte im Einklang mit der DSGVO und anderen relevanten Datenschutzgesetzen erfolgen.

(12) Weiteres von Kundenseite

Daten-Übergabe als PDF...