Das datenschutzkonforme Löschkonzept

Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.

Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch

Die EU-Datenschutz-Grundverordnung (DSGVO) zwingt Unternehmen zur umfassenden Dokumentation von Verarbeitungsvorgängen und beinhaltet zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele personenbezogene Daten zu dauerhaft speichern. Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.

Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoß gegen die DSGVO führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute personenbezogene Daten eines Betroffenen, legen die Datenschutzgrundsätze in Art. 5 Abs. 1e DSGVO ausdrücklich fest, dass Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Verarbeitung fällt auch die bloße Speicherung von personenbezogenen Daten), wie es für den Zweck der Erhebung weiterhin erforderlich ist.

Rechtsgrundlage und Zweck der Verarbeitung

Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit personenbezogener Daten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Verarbeitungszwecks klar abgegrenzt werden:

Speicherbegrenzung, sprich Löschung von personenbezogenen Daten ist dann erforderlich, wenn die Rechtsgrundlage der Verarbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die datenschutzrechtliche Erlaubnis zur Verarbeitung von Login-Daten eines Mitarbeiters darstellte, Anlass diese Informationen zu entfernen. Mit Wegfall der Rechtsgrundlage fällt ebenfalls der ursprüngliche Zweck der Verarbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.

Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Der Verantwortliche sollte sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen Ihrem Unternehmen zugehörige Mitarbeiter, Kundenarbeitnehmer und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als personenbezogene Daten gewertet und müssen entsprechend geschützt werden.

Weil vielerlei personenbezogene Daten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Sie Vorkehrungen treffen, um die unter der DSGVO stark erhöhten Geldbußen von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, welches höher (!) ist) abzuwenden.

Das Löschkonzept als datenschutzkonforme Lösung

Ein systematisches Vorgehen zur Entfernung von personenbezogenen Daten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmäßige Entfernung von personenbezogenen Daten beschränken oder auch Datenbestände ohne Personenbezug umfassen. Eine gute Orientierung bietet die DIN 66398.

Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Verarbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

Implementierung eines Löschkonzeptes im Unternehmen

Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht abschließend im Unternehmen implementiert. Folgende Punkte sind zusätzlich erforderlich:

  • Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzbeauftragten eindeutig festgelegt werden.
  • Mitarbeiter benötigen Schulungen zur Einordnung von Daten.
  • Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschungen sollten technisch erzwungen werden.
  • Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmäßige Aktualisierungen der Datenarten und Löschklassen erfordert.
  • Durch CRM-Lösungen lassen sich Datensätze besser voneinander trennen, um eine zielgenaue und isolierte Löschung personenbezogener Daten zu gewährleisten.

Achtung: Gelöscht ist nicht gleich gelöscht!

Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.

Um die Identifizierbarkeit von Betroffenen gänzlich ausschließen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.

Beispiel: Das Betriebssystem Windows markiert standardmäßig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoß lauert.

Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermaßen bei analogen Dokumenten (siehe unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Fazit: Nur Löschen mit System ist datenschutzkonform

Um erhöhten Strafen zu entgehen und Betroffenen ihr Grundrecht auf informationelle Selbstbestimmung wirksam einzuräumen, sollten Unternehmen eine systematische Vorgehensweise zur Löschung von Daten etablieren, diese leben und regelmäßig Anpassungen vornehmen. Ein Löschkonzept ist dafür der ideale Ausgangspunkt.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

17 Comments

  1. Pritish Profile Picture
    Pritish

    What about deletion concept for just a software and not the whole company. How do I find requirements when it comes to deletion classes, information related to deleting contractual agreements etc.
    For example the software or the app demands the user to register with details like Name, Email. How do I set the deletion cases for it? Where can I find such information in compliance with GDPR?

  2. Tim Profile Picture
    Tim

    Wir ist das denn für Kleingewerbe treibende? Gibt es Unterschiede?

    1. Aaron Nourbakhsh Profile Picture
      Aaron Nourbakhsh

      Vielen Dank für Ihre Frage. Leider macht auch die neue Verordnung keinen Unterschied zwischen Kleingewerben und großen Unternehmen.

      Jeder Verantwortliche hat personenbezogene Daten nach der Zweckerreichung zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  3. Lorenz Lorenzen Profile Picture
    Lorenz Lorenzen

    Hallo,

    ich arbeite im Bereich Finanzdienstleistungen. Wir tauschen jede Menge Informationen mit Kollegen und auch Externen (z.B. Kunden, Vermittler) per E-Mail aus. Jeder unserer Mitarbeiter hat dabei ein eigenes E-Mail Postfach. Die E-Mails enthalten zum Teil auch personenbezogene Daten von Kunden oder anderen natürlichen Personen. Einige E-Mails fallen unter gesetzliche Aufbewahrungspflichten, weil sie z.B. steuer- oder handelsrechtliche Relevanz haben. Und letztlich enthält jede E-Mail immer die Mail-Adresse des Absenders und Empfängers.
    Muss ein Löschkonzept für E-Mails jeden dieser Punkte betrachten? Das ist aus meiner Sicht in der Praxis nicht umsetzbar.
    Oder kann man eine allg. Frist (z.B. 10 Jahre) als Aufbewahrungsfrist definieren und alle älteren E-Mails dann ohne weitere Prüfung des Inhalts löschen. Wäre das berechtigte Interesse die dafür passende Rechtsgrundlage?

    1. Aaron Nourbakhsh Profile Picture
      Aaron Nourbakhsh

      Danke für Ihren konstruktiven Beitrag. Die Aufbewahrung von E-Mails bereitet so ziemlich allen Datenschützern großes Kopfzerbrechen und ist eine Frage, die noch nicht vollkommen geklärt ist. Es gibt Stimmen die sagen, dass E-Mails in Backups unter die Rechtsgrundlage des berechtigten Interesses fallen können.

      Streng gesehen müssten Sie E-Mails mit steuer- oder handelsrechtlicher Relevanz archivieren und entsprechend der Löschfrist (nach 6 bzw. 10 Jahren) entfernen. Archivierte E-Mails sollten vom Laufwerk gelöscht werden, da diese nun zentral im Archiv aufzufinden sind. Zentralisierung hilft dabei, die festgelegten Fristen flächendeckend einzuhalten.

      Es ergibt sich also, dass eine allgemeine Frist für alle E-Mails nicht den datenschutzrechtlichen Anforderungen der DSGVO gerecht wird. Vielmehr muss nach dem Bestehen einer steuer- oder handelsrechtlichen Relevanz (oder einem anderen Gesetz das die Aufbewahrung vorgibt) gezielt gelabelt werden. E-Mails, die keiner Aufbewahrungspflicht unterliegen, gehören gelöscht sobald Sie nicht mehr der Anbahnung, Abwicklung oder Beendigung eines Rechtsgeschäfts zuträglich sind. Hier sollte man sicherlich eine Frist setzen. Diese liegt meines Erachtens aber weit unter 10 Jahren und misst sich besser in Monaten.

      1. Stephan Wolff Profile Picture
        Stephan Wolff

        Hallo,
        vielen Dank für den interessanten Beitrag. Ich möchte gerne noch eine weitere Dimension ins Spiel bringen.

        Aus meiner Sicht bedürfen die Größen “Sender (From)”, “Empfänger (To), “(Blind)Copy (cc/bcc)” in diesem Kontext einer genaueren Betrachtung. Es ergeben sich bei den verschiedenen Beteiligten möglicherweise unterschiedliche verpflichtende Löschtermine (gesetzliche Aufbewahrungspflichten beim Urheber, Zweckerfüllung bei der “nur” informierten Person). Soll heißen, ein Löschkonzept sollte eine Inhalts-/Beteiligten-Klassifizierung (Label) vorsehen.

        Eines der größten Herausforderungen bei diesem Vorhaben ist wohl eine Automatisierung des Löschprozesses. Jedem Beschäftigten die volatilen Regeln und Rechtgrundlagen (if-then-else) beizubringen, halte ich persönlich für unmöglich.

        1. Michael Weiß Profile Picture
          Michael Weiß

          Vielen Dank für Ihren Kommentar.

          Es ist richtig, dass eine E-Mail nicht bei jedem Empfänger zur gleichen Zeit zu löschen ist. Vielmehr kommt es in diesem Kontext auf den Empfänger selbst an, was gerade zu dem von Ihnen beschriebenen Problem führt.

          Das ist sicherlich eine große Herausforderung für automatisierte Löschroutinen.

          Michael Weiß

  4. Andrea Nießen Profile Picture
    Andrea Nießen

    Wir sind ein Installationsbetrieb. Unseren Kundenstamm ist über die letzten 15 Jahre beträchtlich gewachsen. Einige alte Kunden bedienen wir bis heute, von manchen sind wir beispielsweise seit 10 Jahren nicht mehr beauftragt worden, möglicherweise ist der Kunde verzogen, verstorben o. ä,…. Stellt sich die Frage, wie mit diesen alten Kundendaten verfahren werden muss. “Mal eben löschen” vereinbart sich bislang nicht mit unserer Software, dürfen diese Daten für den “Bedarfsfall” gespeichert bleiben, Fragen über Fragen….

    1. Aaron Nourbakhsh Profile Picture
      Aaron Nourbakhsh

      Vielen Dank für Ihren Beitrag. Die Daten die Sie beschreiben, sollten nicht gespeichert werden. Sofern der Kundenkontakt gänzlich abgebrochen ist, kann nicht mehr mit einem bestehenden (Vor-)Vertragsverhältnis gerechnet werden. Da Ihnen die Rechtsgrundlage zur Verarbeitung fehlt, sollten Sie die beschriebenen Kontakte definitiv löschen.

      Fundamental wäre es für Ihre Organisation, die im Artikel beschriebenen Löschfristen für genau solche Fälle einzuführen. Ein geregeltes Vorgehen könnte Ihnen die Löschung wesentlich vereinfachen. In der Zukunft führt datenschutzrechtlich kein Weg mehr daran vorbei.

      Beste Grüße
      Aaron Nourbakhsh

    2. Iwan Spiess Profile Picture
      Iwan Spiess

      Dies ist eine Fragestellung die ich oft zu hören bekomme. Hier gibt es auch Lösungswege, um mehr Rechtssicherheit in ihrer Datenhaltung zu erlangen. Dem Gesetzgeber ist bewusst, dass heute im Markt befindliche Software, aufgrund der langen Doktrin Daten für zb. Finanzämter vorzuhalten, nicht in der Lage ist, vorerst ganz zu löschen.

      Was bedeutet dies?
      Mir stehen auch andere Möglichkeit offen, zum Beispiel mit Ausdünnung der Daten und Dokumenten, Kontakt oder Sperrvermerk zu erfassen in Form eines einfachen Merkmals wie „@@@“ in einem Anrede oder Namensfeld. Solche Merkmale können auch später als identifikationsmerkmal bei der endgültigen Löschung verwendet werden.

      Wichtig:
      Solche WorkARound`s stehen nur kleinen Unternehmen wirklich offen, wo eine Zumutung der Monetären aufwände die Möglichkeiten überschreiten. Bei größeren Unternehmungen verwehrt so ein Vorgehen der Gesetzgeber.

  5. Horst Rauprich Profile Picture
    Horst Rauprich

    Wir sind eine Religionsgemeinschaft, die in diversen Stadtzentren primär Seminare anbietet. Neben Mitgliedern haben wir eine “Stammkundschaft”, die mehr oder weniger regelmäßig unsere Seminare besucht. Wir Informieren diese “Kunden” regelmäßig über unsere Angebote und löschen aus diesem Grund diese personenbezogenen Daten nicht. Könnte man diese Verfahrensweise als vorvertragliche Phase ansehen und ein berechtigtes Interesse geltend machen?

    1. Aaron Nourbakhsh Profile Picture
      Aaron Nourbakhsh

      Danke für Ihre Anfrage. Als vorvertragliche Phase kann man das Verhältnis zu den Seminarteilnehmern nicht ansehen, es sei denn es gäbe eine Vereinbarung die vorsieht, dass die Betroffenen im Rahmen eines vertraglichen Verhältnisses alle X Monate ein Seminar bei Ihnen besuchen können. Auf das berechtigte Interesse könnte man abstellen, ist aber momentan noch mit Rechtsunsicherheit verbunden.

      Deshalb sehe ich als einfachste Lösung (mittels einer Einwilligungserklärung) das Einverständnis von den “Stammteilnehmern” einzuholen, sie bewerben zu dürfen. Einholen könnten Sie die Einwilligung wenn “Stammkunden” das nächste Mal bezüglich einer Ihrer Leistungen anfragen.

      Beste Grüße
      Aaron Nourbakhsh

  6. A. B. Neuhaus Profile Picture
    A. B. Neuhaus

    Alles viel zu kompliziert für eine Einzelunternehmerin. Für mich sind Daten gelöscht wenn ich sie lösche. Anschließend haue ich mit dem Hammer drauf bei den externen Datenträgern, bevor ich sie in die Elektroverwertung gebe. Die Daten stellt keiner mehr her.
    Wie sollen das die Kleinunternehmer eines Büdchens schaffen? Ich bin froh, wenn gerade mal 1000 Euro übrig bleiben. Wer soll da bezahlen? Meine Herren und meine Damen, wer hat sich so etwas einfallen lassen? Als wenn die Unternehmen nichts anderes zu tun hätten, als Löschkonzepte zu befolgen. Für Google und Facebook gilt das natürlich auch, aber was Mark Zuckerberg angeht, haben wir ja erlebt, wie der damit umgeht. Für mich sieht das nach einem Krieg der Old Economy gegen die New Economy aus. Ich kenne bereits 3 Blogger, die aufgegeben haben. Sind jetzt arbeitslos.

  7. Michael Gellner Profile Picture
    Michael Gellner

    Was ist eigentlich mit dauerhaften Beziehungen? Eigentlich bildet IT-Syteme doch Kommunikation ab. Man trifft jemanden, etwa auf einer Konferenz, tauscht Visitenkarten aus. Dann hat man vielleicht eine E-Mail hin und hergeschickt und erst einmal ist nichts weiter.
    Jahre später ergibt sich allerdings Bedarf an genau dem, was die andere Person erzählt hat – die zudem auch prima dargestellt hat, dass sie das könnte. So kommen zahlreiche meiner heutigen Aufträge zustande – mit langen Phasen dazwischen, weil man eben für manche Personen erst das richtige Problem braucht.
    Nicht anders als mit entfernten Verwandten letzten Endes. Bisher lösche ich solche Daten nicht, weil für vieles einfach das Umfeld gerade nicht da ist. Ist das berechtigtes Interesse? Wie bilde ich solche Dauerverhältnisse in einem Löschkonzept ab?

    1. Aaron Nourbakhsh Profile Picture
      Aaron Nourbakhsh

      Das von Ihnen beschriebene Vorgehen kann man als vorvertragliche Phase sehen, was die Speicherung der Visitenkartendaten rechtfertigen kann. Wie lange die vorvertragliche Phase andauert kommt ganz auf den Geschäftsbereich an, in dem Sie tätig sind. Die Vorvertragsphase für Verbraucherprodukte wird in der Regel weitaus kürzer sein als die für z.B. einem Baumaschinenhersteller, der nur wenige Stückzahlen vertreibt. Pauschal lässt sich hier keine Frist setzen, da das auf den Einzelfall ankommt.
      Alternativ zur Rechtsgrundlage “Vorvertrag” könnten Sie sich auf das berechtigte Interesse stützen, was aber eine detaillierte Abwägung der Grundrechte und Grundfreiheiten der betroffenen Person mit den Interessen des Verantwortlichen verlangt.

  8. Hans Huber Profile Picture
    Hans Huber

    Was ist denn mit Backups? Aus dem Live System Daten zu löschen ist das eine, die diversen Backupsätze, die teilweise auch außer Haus aufbewahrt werden und natürlich auch die zu löschenden personenbezogenen Daten beinhalten, durchzugehen und die Daten dort ebenfalls zu löschen ist meist realistisch nicht zu bewältigen.

    1. Aaron Nourbakhsh Profile Picture
      Aaron Nourbakhsh

      Danke für Ihren konstruktiven Beitrag.

      In der Tat stellt die Löschung von personenbezogenen Daten eine Herausforderung dar, die nach aktuellem Stand der Technik kaum zu bewältigen ist. Momentan wird erwogen die Speicherung von personenbezogenen Daten auf die Rechtsgrundlage des berechtigten Interesses zu stützen (Art. 6 Abs. 1 lit. f DSGVO), da eine selektive Löschung aus Backups impraktikabel/unzumutbar erscheint. Hier kann allerdings momentan noch keine rechtssichere Aussage getroffen werden. Es bleibt abzuwarten wie die Datenschutzbehörden dieses Thema in der Zukunft angehen.

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.