Datenschutzschulung Version 3

Löschkonzept

Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.

Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch.

Die DSGVO zwingt Unternehmen zur umfassenden Dokumentation von Verarbeitungsvorgängen und beinhaltet zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele personenbezogene Daten zu dauerhaft speichern. Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.

Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoß gegen die DSGVO führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute personenbezogene Daten eines Betroffenen, legen die Datenschutzgrundsätze in Art.5 Abs. 1e DSGVO ausdrücklich fest, das Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Verarbeitung fällt auch die bloße Speicherung von personenbezogenen Daten), wie es für den Zweck der Erhebung weiterhin erforderlich ist.

Rechtsgrundlage und Zweck der Verarbeitung

Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit personenbezogener Daten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Verarbeitungszwecks klar abgegrenzt werden:

Speicherbegrenzung, sprich Löschung von personenbezogenen Daten ist dann erforderlich, wenn die Rechtsgrundlage der Verarbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die datenschutzrechtliche Erlaubnis zur Verarbeitung von Login-Daten eines Mitarbeiters darstellte, Anlass diese Informationen zu entfernen. Mit Wegfall der Rechtsgrundlage fällt ebenfalls der ursprüngliche Zweck der Verarbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.

Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Der Verantwortliche sollte sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen Ihrem Unternehmen zugehörige Mitarbeiter, Kundenarbeitnehmer und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als personenbezogene Daten gewertet und müssen entsprechend geschützt werden.

Weil vielerlei personenbezogene Daten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Sie Vorkehrungen treffen, um die unter der DSGVO stark erhöhten Geldbußen von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, welches höher (!) ist) abzuwenden.

Das Löschkonzept als datenschutzkonforme Lösung

Ein systematisches Vorgehen zur Entfernung von personenbezogenen Daten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmäßige Entfernung von personenbezogenen Daten beschränken oder auch Datenbestände ohne Personenbezug umfassen. Eine gute Orientierung bietet die DIN 66398.

Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Verarbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

Implementierung eines Löschkonzeptes im Unternehmen

Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht abschließend im Unternehmen implementiert.

Folgende Punkte sind zusätzlich erforderlich

Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzbeauftragten eindeutig festgelegt werden.

Mitarbeiter benötigen Schulungen zur Einordnung von Daten.

Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschung sollten technisch erzwungen werden

Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmäßige Aktualisierungen der Datenarten und Löschklassen erfordert.

Durch CRM-Lösungen lassen sich Datensätze besser voneinander trennen, um eine zielgenaue und isolierte Löschung personenbezogener Daten zu gewährleisten.

Achtung: Gelöscht ist nicht gleich gelöscht!

Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.

Beispiel: Das Betriebssystem Windows markiert standardmäßig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoß lauert.

Um die Identifizierbarkeit von Betroffenen gänzlich ausschließen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.

Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermaßen bei analogen Dokumenten (siehe unsere Checkliste) Fazit: Nur Löschen mit System ist datenschutzkonform

Um erhöhten Strafen zu entgehen und Betroffenen ihr Grundrecht auf informationelle Selbstbestimmung wirksam einzuräumen, sollten Unternehmen eine systematische Vorgehensweise zur Löschung von Daten etablieren, diese leben und regelmäßig Anpassungen vornehmen. Ein Löschkonzept ist dafür der ideale Ausgangspunkt.

Checkliste Aktenvernichtung nach DSGVO

VorgehensschritteAnmerkungen
Grundlegende Vorgehensweisen
Ermittlung der Dokumente, die personenbezogene Daten enthalten
Ermittlung eventueller Aufbewahrungsfristen und Terminierung der Aktenvernichtung
Ggf. Ermittlung des Sicherheitsbedarfs und der notwendigen Zerkleinerungsstufe gemäß DIN EN 15713
Gesonderte sichere Sammlung der zu vernichtenden Dokumente mit Schutzbedarf
Bei Aktenvernichtung innerhalb des Unternehmens
Bestimmung der Zuständigkeit und Prozesse für Aufbewahrung, interne Weitergabe und eigentliche Vernichtung der Dokumente
Durchführung der Dokumentenvernichtung
Protokollierung der Dokumentenvernichtung
Regelmäßige Kontrolle der Abläufe
Bei Aktenvernichtung durch Dritte
Auswahl des Dienstleisters nach Prüfung seiner Eignung als Auftragnehmer gemäß Art. 28 DSGVO
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Hinreichende Garantien des Auftragsverarbeiters
Verpflichtung des Auftragverarbeiters und seiner Mitarbeiter auf das Datengeheimnis
Prüfung der korrekten Auftragsdurchführung
Regelmäßig weitere dokumentierte Kontrollen beim Auftragnehmer