Datenschutzschulung Version 3
Löschkonzept
Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.
Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch.
Die DSGVO zwingt Unternehmen zur umfassenden Dokumentation von Verarbeitungsvorgängen und beinhaltet zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele personenbezogene Daten zu dauerhaft speichern. Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.
Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoß gegen die DSGVO führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute personenbezogene Daten eines Betroffenen, legen die Datenschutzgrundsätze in Art.5 Abs. 1e DSGVO ausdrücklich fest, das Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Verarbeitung fällt auch die bloße Speicherung von personenbezogenen Daten), wie es für den Zweck der Erhebung weiterhin erforderlich ist.
Rechtsgrundlage und Zweck der Verarbeitung
Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit personenbezogener Daten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Verarbeitungszwecks klar abgegrenzt werden:
Speicherbegrenzung, sprich Löschung von personenbezogenen Daten ist dann erforderlich, wenn die Rechtsgrundlage der Verarbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die datenschutzrechtliche Erlaubnis zur Verarbeitung von Login-Daten eines Mitarbeiters darstellte, Anlass diese Informationen zu entfernen. Mit Wegfall der Rechtsgrundlage fällt ebenfalls der ursprüngliche Zweck der Verarbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.
Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Der Verantwortliche sollte sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen Ihrem Unternehmen zugehörige Mitarbeiter, Kundenarbeitnehmer und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als personenbezogene Daten gewertet und müssen entsprechend geschützt werden.
Weil vielerlei personenbezogene Daten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Sie Vorkehrungen treffen, um die unter der DSGVO stark erhöhten Geldbußen von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, welches höher (!) ist) abzuwenden.
Das Löschkonzept als datenschutzkonforme Lösung
Ein systematisches Vorgehen zur Entfernung von personenbezogenen Daten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmäßige Entfernung von personenbezogenen Daten beschränken oder auch Datenbestände ohne Personenbezug umfassen. Eine gute Orientierung bietet die DIN 66398.
Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Verarbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.
Implementierung eines Löschkonzeptes im Unternehmen
Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht abschließend im Unternehmen implementiert.
Folgende Punkte sind zusätzlich erforderlich
Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzbeauftragten eindeutig festgelegt werden.
Mitarbeiter benötigen Schulungen zur Einordnung von Daten.
Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschung sollten technisch erzwungen werden
Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmäßige Aktualisierungen der Datenarten und Löschklassen erfordert.
Durch CRM-Lösungen lassen sich Datensätze besser voneinander trennen, um eine zielgenaue und isolierte Löschung personenbezogener Daten zu gewährleisten.
Achtung: Gelöscht ist nicht gleich gelöscht!
Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.
Beispiel: Das Betriebssystem Windows markiert standardmäßig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoß lauert.
Um die Identifizierbarkeit von Betroffenen gänzlich ausschließen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.
Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermaßen bei analogen Dokumenten (siehe unsere Checkliste) Fazit: Nur Löschen mit System ist datenschutzkonform
Um erhöhten Strafen zu entgehen und Betroffenen ihr Grundrecht auf informationelle Selbstbestimmung wirksam einzuräumen, sollten Unternehmen eine systematische Vorgehensweise zur Löschung von Daten etablieren, diese leben und regelmäßig Anpassungen vornehmen. Ein Löschkonzept ist dafür der ideale Ausgangspunkt.
Checkliste Aktenvernichtung nach DSGVO
Vorgehensschritte | Anmerkungen | |
Grundlegende Vorgehensweisen | ||
Ermittlung der Dokumente, die personenbezogene Daten enthalten | ||
Ermittlung eventueller Aufbewahrungsfristen und Terminierung der Aktenvernichtung | ||
Ggf. Ermittlung des Sicherheitsbedarfs und der notwendigen Zerkleinerungsstufe gemäß DIN EN 15713 | ||
Gesonderte sichere Sammlung der zu vernichtenden Dokumente mit Schutzbedarf | ||
Bei Aktenvernichtung innerhalb des Unternehmens | ||
Bestimmung der Zuständigkeit und Prozesse für Aufbewahrung, interne Weitergabe und eigentliche Vernichtung der Dokumente | ||
Durchführung der Dokumentenvernichtung | ||
Protokollierung der Dokumentenvernichtung | ||
Regelmäßige Kontrolle der Abläufe | ||
Bei Aktenvernichtung durch Dritte | ||
Auswahl des Dienstleisters nach Prüfung seiner Eignung als Auftragnehmer gemäß Art. 28 DSGVO | ||
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO | ||
Hinreichende Garantien des Auftragsverarbeiters | ||
Verpflichtung des Auftragverarbeiters und seiner Mitarbeiter auf das Datengeheimnis | ||
Prüfung der korrekten Auftragsdurchführung | ||
Regelmäßig weitere dokumentierte Kontrollen beim Auftragnehmer |