Das Löschkonzept löst das Dilema zwischen Speicherbegrenzung und Aufbewahrungspflichten

Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.

Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch

Die EU-Datenschutz-Grundverordnung (DSGVO) zwingt Unternehmen zur umfassenden Dokumentation von Verarbeitungsvorgängen und beinhaltet zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele personenbezogene Daten zu dauerhaft speichern. Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.

Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoß gegen die DSGVO führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute personenbezogene Daten eines Betroffenen, legen die Datenschutzgrundsätze in Art. 5 Abs. 1e DSGVO ausdrücklich fest, dass Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Verarbeitung fällt auch die bloße Speicherung von personenbezogenen Daten), wie es für den Zweck der Erhebung weiterhin erforderlich ist.

Rechtsgrundlage und Zweck der Verarbeitung

Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit personenbezogener Daten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Verarbeitungszwecks klar abgegrenzt werden:

Speicherbegrenzung, sprich Löschung von personenbezogenen Daten ist dann erforderlich, wenn die Rechtsgrundlage der Verarbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die datenschutzrechtliche Erlaubnis zur Verarbeitung von Login-Daten eines Mitarbeiters darstellte, Anlass diese Informationen zu entfernen. Mit Wegfall der Rechtsgrundlage fällt ebenfalls der ursprüngliche Zweck der Verarbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.

Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Der Verantwortliche sollte sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen Ihrem Unternehmen zugehörige Mitarbeiter, Kundenarbeitnehmer und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als personenbezogene Daten gewertet und müssen entsprechend geschützt werden.

Weil vielerlei personenbezogene Daten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Sie Vorkehrungen treffen, um die unter der DSGVO stark erhöhten Geldbußen von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, welches höher (!) ist) abzuwenden.

Das Löschkonzept als datenschutzkonforme Lösung

Ein systematisches Vorgehen zur Entfernung von personenbezogenen Daten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmäßige Entfernung von personenbezogenen Daten beschränken oder auch Datenbestände ohne Personenbezug umfassen. Eine gute Orientierung bietet die DIN 66398.

Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Verarbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

Implementierung eines Löschkonzeptes im Unternehmen

Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht abschließend im Unternehmen implementiert. Folgende Punkte sind zusätzlich erforderlich:

  • Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzbeauftragten eindeutig festgelegt werden.
  • Mitarbeiter benötigen Schulungen zur Einordnung von Daten.
  • Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschungen sollten technisch erzwungen werden.
  • Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmäßige Aktualisierungen der Datenarten und Löschklassen erfordert.
  • Durch CRM-Lösungen lassen sich Datensätze besser voneinander trennen, um eine zielgenaue und isolierte Löschung personenbezogener Daten zu gewährleisten.

Achtung: Gelöscht ist nicht gleich gelöscht!

Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.

Um die Identifizierbarkeit von Betroffenen gänzlich ausschließen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.

Beispiel: Das Betriebssystem Windows markiert standardmäßig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoß lauert.

Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermaßen bei analogen Dokumenten (siehe unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Fazit: Nur Löschen mit System ist datenschutzkonform

Um erhöhten Strafen zu entgehen und Betroffenen ihr Grundrecht auf informationelle Selbstbestimmung wirksam einzuräumen, sollten Unternehmen eine systematische Vorgehensweise zur Löschung von Daten etablieren, diese leben und regelmäßig Anpassungen vornehmen. Ein Löschkonzept ist dafür der ideale Ausgangspunkt.

Bitte bewerten Sie diese Inhalte!
[20 Bewertung(en)/ratings]
12 Kommentare
  1. Hans Huber
    Hans Huber sagte:

    Was ist denn mit Backups? Aus dem Live System Daten zu löschen ist das eine, die diversen Backupsätze, die teilweise auch außer Haus aufbewahrt werden und natürlich auch die zu löschenden personenbezogenen Daten beinhalten, durchzugehen und die Daten dort ebenfalls zu löschen ist meist realistisch nicht zu bewältigen.

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Danke für Ihren konstruktiven Beitrag.

      In der Tat stellt die Löschung von personenbezogenen Daten eine Herausforderung dar, die nach aktuellem Stand der Technik kaum zu bewältigen ist. Momentan wird erwogen die Speicherung von personenbezogenen Daten auf die Rechtsgrundlage des berechtigten Interesses zu stützen (Art. 6 Abs. 1 lit. f DSGVO), da eine selektive Löschung aus Backups impraktikabel/unzumutbar erscheint. Hier kann allerdings momentan noch keine rechtssichere Aussage getroffen werden. Es bleibt abzuwarten wie die Datenschutzbehörden dieses Thema in der Zukunft angehen.

      Antworten
  2. Michael Gellner
    Michael Gellner sagte:

    Was ist eigentlich mit dauerhaften Beziehungen? Eigentlich bildet IT-Syteme doch Kommunikation ab. Man trifft jemanden, etwa auf einer Konferenz, tauscht Visitenkarten aus. Dann hat man vielleicht eine E-Mail hin und hergeschickt und erst einmal ist nichts weiter.
    Jahre später ergibt sich allerdings Bedarf an genau dem, was die andere Person erzählt hat – die zudem auch prima dargestellt hat, dass sie das könnte. So kommen zahlreiche meiner heutigen Aufträge zustande – mit langen Phasen dazwischen, weil man eben für manche Personen erst das richtige Problem braucht.
    Nicht anders als mit entfernten Verwandten letzten Endes. Bisher lösche ich solche Daten nicht, weil für vieles einfach das Umfeld gerade nicht da ist. Ist das berechtigtes Interesse? Wie bilde ich solche Dauerverhältnisse in einem Löschkonzept ab?

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Das von Ihnen beschriebene Vorgehen kann man als vorvertragliche Phase sehen, was die Speicherung der Visitenkartendaten rechtfertigen kann. Wie lange die vorvertragliche Phase andauert kommt ganz auf den Geschäftsbereich an, in dem Sie tätig sind. Die Vorvertragsphase für Verbraucherprodukte wird in der Regel weitaus kürzer sein als die für z.B. einem Baumaschinenhersteller, der nur wenige Stückzahlen vertreibt. Pauschal lässt sich hier keine Frist setzen, da das auf den Einzelfall ankommt.
      Alternativ zur Rechtsgrundlage „Vorvertrag“ könnten Sie sich auf das berechtigte Interesse stützen, was aber eine detaillierte Abwägung der Grundrechte und Grundfreiheiten der betroffenen Person mit den Interessen des Verantwortlichen verlangt.

      Antworten
  3. A. B. Neuhaus
    A. B. Neuhaus sagte:

    Alles viel zu kompliziert für eine Einzelunternehmerin. Für mich sind Daten gelöscht wenn ich sie lösche. Anschließend haue ich mit dem Hammer drauf bei den externen Datenträgern, bevor ich sie in die Elektroverwertung gebe. Die Daten stellt keiner mehr her.
    Wie sollen das die Kleinunternehmer eines Büdchens schaffen? Ich bin froh, wenn gerade mal 1000 Euro übrig bleiben. Wer soll da bezahlen? Meine Herren und meine Damen, wer hat sich so etwas einfallen lassen? Als wenn die Unternehmen nichts anderes zu tun hätten, als Löschkonzepte zu befolgen. Für Google und Facebook gilt das natürlich auch, aber was Mark Zuckerberg angeht, haben wir ja erlebt, wie der damit umgeht. Für mich sieht das nach einem Krieg der Old Economy gegen die New Economy aus. Ich kenne bereits 3 Blogger, die aufgegeben haben. Sind jetzt arbeitslos.

    Antworten
  4. Horst Rauprich
    Horst Rauprich sagte:

    Wir sind eine Religionsgemeinschaft, die in diversen Stadtzentren primär Seminare anbietet. Neben Mitgliedern haben wir eine „Stammkundschaft“, die mehr oder weniger regelmäßig unsere Seminare besucht. Wir Informieren diese „Kunden“ regelmäßig über unsere Angebote und löschen aus diesem Grund diese personenbezogenen Daten nicht. Könnte man diese Verfahrensweise als vorvertragliche Phase ansehen und ein berechtigtes Interesse geltend machen?

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Danke für Ihre Anfrage. Als vorvertragliche Phase kann man das Verhältnis zu den Seminarteilnehmern nicht ansehen, es sei denn es gäbe eine Vereinbarung die vorsieht, dass die Betroffenen im Rahmen eines vertraglichen Verhältnisses alle X Monate ein Seminar bei Ihnen besuchen können. Auf das berechtigte Interesse könnte man abstellen, ist aber momentan noch mit Rechtsunsicherheit verbunden.

      Deshalb sehe ich als einfachste Lösung (mittels einer Einwilligungserklärung) das Einverständnis von den „Stammteilnehmern“ einzuholen, sie bewerben zu dürfen. Einholen könnten Sie die Einwilligung wenn „Stammkunden“ das nächste Mal bezüglich einer Ihrer Leistungen anfragen.

      Beste Grüße
      Aaron Nourbakhsh

      Antworten
  5. Andrea Nießen
    Andrea Nießen sagte:

    Wir sind ein Installationsbetrieb. Unseren Kundenstamm ist über die letzten 15 Jahre beträchtlich gewachsen. Einige alte Kunden bedienen wir bis heute, von manchen sind wir beispielsweise seit 10 Jahren nicht mehr beauftragt worden, möglicherweise ist der Kunde verzogen, verstorben o. ä,…. Stellt sich die Frage, wie mit diesen alten Kundendaten verfahren werden muss. „Mal eben löschen“ vereinbart sich bislang nicht mit unserer Software, dürfen diese Daten für den „Bedarfsfall“ gespeichert bleiben, Fragen über Fragen….

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Vielen Dank für Ihren Beitrag. Die Daten die Sie beschreiben, sollten nicht gespeichert werden. Sofern der Kundenkontakt gänzlich abgebrochen ist, kann nicht mehr mit einem bestehenden (Vor-)Vertragsverhältnis gerechnet werden. Da Ihnen die Rechtsgrundlage zur Verarbeitung fehlt, sollten Sie die beschriebenen Kontakte definitiv löschen.

      Fundamental wäre es für Ihre Organisation, die im Artikel beschriebenen Löschfristen für genau solche Fälle einzuführen. Ein geregeltes Vorgehen könnte Ihnen die Löschung wesentlich vereinfachen. In der Zukunft führt datenschutzrechtlich kein Weg mehr daran vorbei.

      Beste Grüße
      Aaron Nourbakhsh

      Antworten
    • Iwan Spiess
      Iwan Spiess sagte:

      Dies ist eine Fragestellung die ich oft zu hören bekomme. Hier gibt es auch Lösungswege, um mehr Rechtssicherheit in ihrer Datenhaltung zu erlangen. Dem Gesetzgeber ist bewusst, dass heute im Markt befindliche Software, aufgrund der langen Doktrin Daten für zb. Finanzämter vorzuhalten, nicht in der Lage ist, vorerst ganz zu löschen.

      Was bedeutet dies?
      Mir stehen auch andere Möglichkeit offen, zum Beispiel mit Ausdünnung der Daten und Dokumenten, Kontakt oder Sperrvermerk zu erfassen in Form eines einfachen Merkmals wie „@@@“ in einem Anrede oder Namensfeld. Solche Merkmale können auch später als identifikationsmerkmal bei der endgültigen Löschung verwendet werden.

      Wichtig:
      Solche WorkARound`s stehen nur kleinen Unternehmen wirklich offen, wo eine Zumutung der Monetären aufwände die Möglichkeiten überschreiten. Bei größeren Unternehmungen verwehrt so ein Vorgehen der Gesetzgeber.

      Antworten
  6. Lorenz Lorenzen
    Lorenz Lorenzen sagte:

    Hallo,

    ich arbeite im Bereich Finanzdienstleistungen. Wir tauschen jede Menge Informationen mit Kollegen und auch Externen (z.B. Kunden, Vermittler) per E-Mail aus. Jeder unserer Mitarbeiter hat dabei ein eigenes E-Mail Postfach. Die E-Mails enthalten zum Teil auch personenbezogene Daten von Kunden oder anderen natürlichen Personen. Einige E-Mails fallen unter gesetzliche Aufbewahrungspflichten, weil sie z.B. steuer- oder handelsrechtliche Relevanz haben. Und letztlich enthält jede E-Mail immer die Mail-Adresse des Absenders und Empfängers.
    Muss ein Löschkonzept für E-Mails jeden dieser Punkte betrachten? Das ist aus meiner Sicht in der Praxis nicht umsetzbar.
    Oder kann man eine allg. Frist (z.B. 10 Jahre) als Aufbewahrungsfrist definieren und alle älteren E-Mails dann ohne weitere Prüfung des Inhalts löschen. Wäre das berechtigte Interesse die dafür passende Rechtsgrundlage?

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Danke für Ihren konstruktiven Beitrag. Die Aufbewahrung von E-Mails bereitet so ziemlich allen Datenschützern großes Kopfzerbrechen und ist eine Frage, die noch nicht vollkommen geklärt ist. Es gibt Stimmen die sagen, dass E-Mails in Backups unter die Rechtsgrundlage des berechtigten Interesses fallen können.

      Streng gesehen müssten Sie E-Mails mit steuer- oder handelsrechtlicher Relevanz archivieren und entsprechend der Löschfrist (nach 6 bzw. 10 Jahren) entfernen. Archivierte E-Mails sollten vom Laufwerk gelöscht werden, da diese nun zentral im Archiv aufzufinden sind. Zentralisierung hilft dabei, die festgelegten Fristen flächendeckend einzuhalten.

      Es ergibt sich also, dass eine allgemeine Frist für alle E-Mails nicht den datenschutzrechtlichen Anforderungen der DSGVO gerecht wird. Vielmehr muss nach dem Bestehen einer steuer- oder handelsrechtlichen Relevanz (oder einem anderen Gesetz das die Aufbewahrung vorgibt) gezielt gelabelt werden. E-Mails, die keiner Aufbewahrungspflicht unterliegen, gehören gelöscht sobald Sie nicht mehr der Anbahnung, Abwicklung oder Beendigung eines Rechtsgeschäfts zuträglich sind. Hier sollte man sicherlich eine Frist setzen. Diese liegt meines Erachtens aber weit unter 10 Jahren und misst sich besser in Monaten.

      Antworten

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.