GDPR: Löschen/Anonymisieren von Kunden- und Mitarbeiterdaten

Die Datenschutzgrundverordnung (DSGVO, engl.: GDPR) verlangt die Löschung von Daten für die HSBC Germany keine rechtlichen Grundlagen (mehr) hat. Das trifft z.B. auf persönliche Daten von Kunden zu, zu denen HSBC Germany seit mehr als 10 Jahren keine Geschäftsbeziehung mehr hat und für Jahrgänge, zu denen die Steuerprüfung abgeschlossen ist. Im Projekt wird in einem zentralen System ("Omniscience") festgestellt, welche Entitäten (Kunden, Mitarbeiter, ...) dieses betrifft. Die identifizierenden Informationen, wie z.B. Stamm- oder Kundennummern, werden gesammelt, und anhand konfigurierbarer Business rules wird überprüft, ob noch Gründe gegen die Löschung bestehen. Die Stamm- oder Kundennummern aller zu löschenden Entitäten werden den betroffenen Zielsystemen in Form von Lösch- oder Anonymisierungsaufträgen zur Verfügung gestellt. Zielsysteme sind dabei solche, in denen die persönlich identifizierbaren Informationen (PII) verwaltet werden. Das sind z.B. Kunden- oder Kontenverwaltung aber auch Handelssysteme, wie im vorliegenden Fall, in denen Handelsaktivitäten des Kunden und ein Teil seiner Stammdaten verwaltet werden. Die betroffenen Zielsysteme sind gehalten, ihre Löschaufträge vom zentralen System abzuholen, zu bearbeiten und eine Bestätigungsmeldung an Omniscience zu senden.