Das datenschutzkonforme Löschkonzept

,

Das Löschkonzept löst das Dilema zwischen Speicherbegrenzung und Aufbewahrungspflichten

Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.

Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch

Die EU-Datenschutz-Grundverordnung (DSGVO) zwingt Unternehmen zur umfassenden Dokumentation von Verarbeitungsvorgängen und beinhaltet zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele personenbezogene Daten zu dauerhaft speichern. Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.

Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoß gegen die DSGVO führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute personenbezogene Daten eines Betroffenen, legen die Datenschutzgrundsätze in Art. 5 Abs. 1e DSGVO ausdrücklich fest, dass Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Verarbeitung fällt auch die bloße Speicherung von personenbezogenen Daten), wie es für den Zweck der Erhebung weiterhin erforderlich ist.

Rechtsgrundlage und Zweck der Verarbeitung

Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit personenbezogener Daten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Verarbeitungszwecks klar abgegrenzt werden:

Speicherbegrenzung, sprich Löschung von personenbezogenen Daten ist dann erforderlich, wenn die Rechtsgrundlage der Verarbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die datenschutzrechtliche Erlaubnis zur Verarbeitung von Login-Daten eines Mitarbeiters darstellte, Anlass diese Informationen zu entfernen. Mit Wegfall der Rechtsgrundlage fällt ebenfalls der ursprüngliche Zweck der Verarbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.

Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Der Verantwortliche sollte sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen Ihrem Unternehmen zugehörige Mitarbeiter, Kundenarbeitnehmer und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als personenbezogene Daten gewertet und müssen entsprechend geschützt werden.

Weil vielerlei personenbezogene Daten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Sie Vorkehrungen treffen, um die unter der DSGVO stark erhöhten Geldbußen von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, welches höher (!) ist) abzuwenden.

Das Löschkonzept als datenschutzkonforme Lösung

Ein systematisches Vorgehen zur Entfernung von personenbezogenen Daten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmäßige Entfernung von personenbezogenen Daten beschränken oder auch Datenbestände ohne Personenbezug umfassen. Eine gute Orientierung bietet die DIN 66398.

Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Verarbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

Implementierung eines Löschkonzeptes im Unternehmen

Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht abschließend im Unternehmen implementiert. Folgende Punkte sind zusätzlich erforderlich:

  • Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzbeauftragten eindeutig festgelegt werden.
  • Mitarbeiter benötigen Schulungen zur Einordnung von Daten.
  • Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschungen sollten technisch erzwungen werden.
  • Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmäßige Aktualisierungen der Datenarten und Löschklassen erfordert.
  • Durch CRM-Lösungen lassen sich Datensätze besser voneinander trennen, um eine zielgenaue und isolierte Löschung personenbezogener Daten zu gewährleisten.

Achtung: Gelöscht ist nicht gleich gelöscht!

Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.

Um die Identifizierbarkeit von Betroffenen gänzlich ausschließen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.

Beispiel: Das Betriebssystem Windows markiert standardmäßig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoß lauert.

Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermaßen bei analogen Dokumenten (siehe unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Fazit: Nur Löschen mit System ist datenschutzkonform

Um erhöhten Strafen zu entgehen und Betroffenen ihr Grundrecht auf informationelle Selbstbestimmung wirksam einzuräumen, sollten Unternehmen eine systematische Vorgehensweise zur Löschung von Daten etablieren, diese leben und regelmäßig Anpassungen vornehmen. Ein Löschkonzept ist dafür der ideale Ausgangspunkt.

Bitte bewerten Sie diese Inhalte!
[10 Bewertung(en)/ratings]
4 Kommentare
  1. Hans Huber
    Hans Huber sagte:

    Was ist denn mit Backups? Aus dem Live System Daten zu löschen ist das eine, die diversen Backupsätze, die teilweise auch außer Haus aufbewahrt werden und natürlich auch die zu löschenden personenbezogenen Daten beinhalten, durchzugehen und die Daten dort ebenfalls zu löschen ist meist realistisch nicht zu bewältigen.

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Danke für Ihren konstruktiven Beitrag.

      In der Tat stellt die Löschung von personenbezogenen Daten eine Herausforderung dar, die nach aktuellem Stand der Technik kaum zu bewältigen ist. Momentan wird erwogen die Speicherung von personenbezogenen Daten auf die Rechtsgrundlage des berechtigten Interesses zu stützen (Art. 6 Abs. 1 lit. f DSGVO), da eine selektive Löschung aus Backups impraktikabel/unzumutbar erscheint. Hier kann allerdings momentan noch keine rechtssichere Aussage getroffen werden. Es bleibt abzuwarten wie die Datenschutzbehörden dieses Thema in der Zukunft angehen.

      Antworten
  2. Michael Gellner
    Michael Gellner sagte:

    Was ist eigentlich mit dauerhaften Beziehungen? Eigentlich bildet IT-Syteme doch Kommunikation ab. Man trifft jemanden, etwa auf einer Konferenz, tauscht Visitenkarten aus. Dann hat man vielleicht eine E-Mail hin und hergeschickt und erst einmal ist nichts weiter.
    Jahre später ergibt sich allerdings Bedarf an genau dem, was die andere Person erzählt hat – die zudem auch prima dargestellt hat, dass sie das könnte. So kommen zahlreiche meiner heutigen Aufträge zustande – mit langen Phasen dazwischen, weil man eben für manche Personen erst das richtige Problem braucht.
    Nicht anders als mit entfernten Verwandten letzten Endes. Bisher lösche ich solche Daten nicht, weil für vieles einfach das Umfeld gerade nicht da ist. Ist das berechtigtes Interesse? Wie bilde ich solche Dauerverhältnisse in einem Löschkonzept ab?

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Das von Ihnen beschriebene Vorgehen kann man als vorvertragliche Phase sehen, was die Speicherung der Visitenkartendaten rechtfertigen kann. Wie lange die vorvertragliche Phase andauert kommt ganz auf den Geschäftsbereich an, in dem Sie tätig sind. Die Vorvertragsphase für Verbraucherprodukte wird in der Regel weitaus kürzer sein als die für z.B. einem Baumaschinenhersteller, der nur wenige Stückzahlen vertreibt. Pauschal lässt sich hier keine Frist setzen, da das auf den Einzelfall ankommt.
      Alternativ zur Rechtsgrundlage „Vorvertrag“ könnten Sie sich auf das berechtigte Interesse stützen, was aber eine detaillierte Abwägung der Grundrechte und Grundfreiheiten der betroffenen Person mit den Interessen des Verantwortlichen verlangt.

      Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.