Rahmenbedingungen für ein Löschkonzept von personenbezogenen Daten

Grundüberlegungen für die Erstellung eines Löschkonzepts

Sofern die Notwendigkeit besteht, dass personenbezogene Daten in profairs gelöscht werden müssen, sollte ein Löschkonzepts aufgestellt werden. Damit dieses auch umgesetzt werden kann, muss geklärt werden, welche Daten wann von wem gelöscht werden müssen.

Ansprechpersonen können vollständig in profairs gelöscht werden, heißt, eine Psydonomisierung ist nicht erforderlich. Zu berücksichtigen ist, dass mit dem Löschen von Personen auch alle möglicherweise vorhandenen Verknüpfungen ebenfalls gelöscht werden. Das betrifft Onlinemedien, Vorträge oder Jobangebote, hier fehlen dann die verknüpften Ansprechpersonen.

In welchen Instanzen befinden sich personenbezogene Daten?

1. Zunächst einmal liegen alle Daten in der produktiven Instanz (https://<veranstalter>.profairs.de)
2. Für jeden Veranstalter gibt es eine Staging Instanz (https://<veranstalter>.staging.profairs.de), auf der normalerweise eine Kopie der Daten liegt. Auf diese Instanz hat der Veranstalter ebenso einen Zugriff . Die Zugangsdaten sind identisch mit denen der produktiven Instanz.
3. Für einige Veranstalter gibt es zusätzlich noch eine eigene Testinstanz (https://<veranstalter>.testing.profairs.de), in der ebenfalls eine Kopie des Datenbestands liegen. Auch hierauf hat der Veranstalter vollen Zugriff.
4. Backups der Datenbanken sind immer für die letzten 14 Tage verfügbar. Heißt, zwei Wochen nachdem die Daten in den profairs Instanzen gelöscht wurden, sind auch in den Backups keine zu löschenden personenbezogenen Daten mehr vorhanden.   

Wo innerhalb der Software werden personenbezogene Daten gespeichert?

1. Annahme: Personenbezogene Daten sind solche Daten, die im Control entweder unter dem Menüpunkt Ansprechpersonen oder in der Benutzerverwaltung verwaltet werden.
2. Weitere personenbezogene Daten sind in den profairs Logs vorhanden sein. Um Benutzeraktionen in den Accounts nachvollziehen zu können, werden hier die Mailadressen der angemeldeten Benutzer gespeichert.
3. Und schließlich speichern wir (aussschließlich) die Mailadressen der Benutzer noch im Authentifizierungsserver.

Daten werden durch den Veranstalter (Auftraggeber) im Control gelöscht

Grundsätzlich lassen sich alle Ansprechpersonen im Control löschen. Damit der Veranstalter die zu löschenden Daten nicht auf zwei bzw. drei Instanzen löschen muss, können wir die bereinigte Produktivinstanz auf die Staging bzw. Testing Instanz neu übernehmen.

Sollen Benutzer gelöscht werden, kann das nur dann im Control erledigt werden, solange diese Benutzer noch keine Aktionen  im Control durchgeführt haben, da anderernfalls im log nicht mehr nachvollziehbar ist, welcher Benutzer welche Aktion im Control durchgeführt hat. Daher empfehlen wir in diese Fall die entsprechenden Benutzer zu psydomisieren.

Die gespeicherten Mailadressen in den Logs und im Authentifizierungsserver können ausschließlich von uns gelöscht werden.

Auftraggeber weist den Auftragnehmer an, die Daten zu löschen

1. Ansprechpersonen
   In diesem Fall benötigen wir eine Liste der zu löschenden personenbezogenen Daten mit den ID's der Ansprechpersonen (kann über einen JSON Export erzeugt werden; die zu löschenden Personen sind dann entsprechend zu markieren). Über ein Script werden dann die Daten gelöscht und anschließend die bereinigte Produktivinstanz auf die Staging bzw. Testing Instanz neu übernommen
2. Benutzerverwaltung
   Auch hier benötigen wir die Namen der Personen, die gelöscht werden sollen
3. Mailadressen in den Logdaten 
   Die Mailadressen der Logs können nicht einzeln gelöscht werden, in diesem Fall muss das gesamte Log gelöscht werden.
4. Mailadressen im Authentifizierungsserver
   Die Mailadressen im Authentifizierungsserver können nur einzeln gelöscht werden, in diesem Fall benötigen wir eine Liste der zu löschenden Mailadressen.