Gute Vorsätze für das neue Jahr betreffen häufig Angelegenheiten, die wir in der Vergangenheit immer wieder bei Seite geschoben haben, wohlwissend dass wir uns nicht für immer vor ihnen verstecken können. Dabei kann es sich um private, aber nicht selten auch um berufliche Herausforderungen handeln.

Im beruflichen Kontext zeigt unsere Beratungspraxis, dass die Erstellung und Umsetzung eines DSGVO-konformen Löschkonzepts in vielen Unternehmen noch immer einen wunden Punkt darstellen. Lassen Sie uns gemeinsam die guten Neujahrsvorsätze in die Tat umsetzen. Dieser Blogbeitrag hilft Ihnen dabei und zeigt, wie es Ihnen gelingt, ein strukturiertes und vollständiges Löschkonzept zu erstellen und umzusetzen.

Roter Feuerlöscher an grüner Wand

Datenschutzrechtliche Einordnung – Hintergrund der Löschpflicht

Für die Pflicht zur Löschung von personenbezogenen Daten und insbesondere zur Erstellung eines Löschkonzepts gibt es keine zentrale Norm, vielmehr ergibt sie sich indirekt aus mehreren Regelungen der DSGVO. Im Fokus stehen dabei die in Art. 5 DSGVO verankerten Grundsätze.

  • Nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst. e) DSGVO ist die Speicherung personenbezogener Daten nur so lange zulässig, wie es für die Zwecke, für die die Daten erhoben wurden, erforderlich ist. Zudem müssen die Daten nach dem Grundsatz der Datenminimierung dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Diese für die Löschpflicht maßgeblichen Grundsätze müssen Verantwortliche nicht nur ausreichend berücksichtigen und einhalten, sondern auch in der Lage sein, diese nachzuweisen.
  • Weiterhin sind Verantwortliche gem. Art. 24 DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen bei der Verarbeitung von personenbezogenen Daten umzusetzen. Das schließt auch Maßnahmen hinsichtlich der Löschung personenbezogener Daten ein und fordert indirekt die Erstellung eines Löschkonzepts.
  • Art. 17 Abs.1 DSGVO verpflichtet Verantwortliche, eine Löschung durchzuführen, sofern die dort genannten Gründe vorliegen und bspw. die Rechtsgrundlage wegfällt oder der Zweck der Verarbeitung erfüllt ist.

Als Folge dieser Rechtsnormen müssen Unternehmen bildlich gesprochen in der Lage sein, jedes personenbezogene Datum mit einem Verfallsdatum zu versehen und nachweislich zu löschen.

Was bedeutet eigentlich „Löschen“?

Unter „Löschen“ wird ein Prozess verstanden, durch den personenbezogene Daten derart verändert werden, dass sie anschließend nicht mehr vorhanden oder unkenntlich sind. Löschen im Sinne der DSGVO bezieht sich daher nicht zwingend auf den gespeicherten Datensatz, sondern den vorhandenen Personenbezug. Daher kann eine Löschung auch im Wege einer Anonymisierung erfolgen, sofern der Verantwortliche diese nicht mehr rückgängig machen kann.

Die Erstellung eines Löschkonzepts

Wie unsere Beratungspraxis zeigt, ist die Bereitstellung einer branchenübergreifenden und allgemeingültigen Vorlage für ein Löschkonzept nur schwer möglich. Es muss immer auf das Unternehmen zugeschnitten und individuell ausgestaltet werden. Dabei kommt es maßgeblich darauf an, welche Daten, zu welchen Zwecken anhand welcher Prozesse verarbeitet werden, wo und wie sie gespeichert werden und welche gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen könnten.

1) Inventur der Datenkategorien
Essenziell für die Erstellung eines Löschkonzepts ist eine strukturierte Erfassung aller personenbezogenen Daten in Ihrem Unternehmen und die anschließende Einteilung in geeignete Datenkategorien. Bitte beachten Sie dabei, dass Daten im Sinne der DSGVO nicht nur dann als personenbezogen gelten, wenn ein direkter Bezug zu einem Namen besteht. Auch mittelbar identifizierbare Informationen wie Telefonnummern, Nutzer-IDs, IP-Adressen oder sogar Gerätenummern sind von der DSGVO erfasst und müssen in gleicher Weise berücksichtigt werden.

2) Inventur der Speicherorte und betroffenen IT-Systeme
Im nächsten Schritt stellen wir uns der Herausforderung, den einzelnen Datenkategorien auf den Grund zu gehen und zu ermitteln, wo die Daten überhaupt gespeichert sind. Hierbei kann es sich um ein oder mehrere IT-System(e), aber auch um Handakten oder andere physische Dokumente handeln. Dieser Schritt ist wichtig, um überhaupt zu wissen, an welcher Stelle der rote DELETE-Knopf gedrückt werden musss.

3) Bestimmung der Löschfrist
Nach Maßgabe der DSGVO müssen personenbezogene Daten gelöscht werden, sobald der Zweck, für den sie erhoben wurden, erfüllt ist und keine Rechtsgrundlage oder gesetzliche Verpflichtung für eine weitere Speicherung vorliegt.

Die Festlegung der konkreten Löschfristen erfolgt somit in zwei Stufen:

  • Zunächst muss der Zeitpunkt der Zweckerfüllung bestimmt und die Frage, wann brauchen wir die Daten eigentlich nicht mehr, beantwortet werden. Dabei kommt es immer auf den Zweck an, für den die Daten ursprünglich erhoben wurden.
  • In einem weiteren Schritt muss geprüft werden, ob es für diese Datenkategorie gesetzliche Aufbewahrungspflichten gibt und wenn ja, wie lange diese eine Speicherung der Daten vorgeben. Aufbewahrungspflichten ergeben sich bei buchhaltungsrelevanten Daten insbesondere aus § 257 HGB und § 147 AO. Für personenbezogene Daten im Personalbereich gibt es ebenfalls eine Vielzahl an gesetzlichen Vorgaben. Außerdem sind gesetzlichen Fristen zur Rechtsverfolgung zu beachten. So sollten beispielsweise Bewerberdaten mindestens drei Monate nach Ablehnen des Bewerbers aufbewahrt werden, da Bewerber innerhalb von zwei Monaten Schadensersatz aus dem AGG fordern können.

Um nun die konkrete Löschfrist zu ermitteln, müssen der Zeitpunkt der Zweckerfüllung und die gesetzliche Aufbewahrungsfrist bzw. die Frist zur Rechtsverfolgung ins Gleichgewicht gebracht werden:

Bestehen bei einer Datenkategorie keine gesetzlichen Aufbewahrungspflichten oder Fristen zur Rechtsverfolgung, ist der Zeitpunkt der Zweckerfüllung für die Löschung maßgeblich. Bestehen nach Zweckerfüllung hingegen noch gesetzliche Aufbewahrungspflichten, müssen diese vorrangig berücksichtigt werden. Aber Achtung: Die Daten dürfen dann nur noch zu diesem bestimmten Zweck zur Erfüllung der Aufbewahrungspflicht gespeichert werden und sind von den übrigen „Live-Daten“ zu trennen.

4) Definition des Löschvorgangs
Nun steht fest, welche Daten zu welchem Zeitpunkt gelöscht werden können und müssen. Im nächsten Schritt müssen Prozesse entwickelt werden, um die zuvor definierte Löschfrist für jeden Speicherort/ jedes IT-System einhalten und umsetzen zu können. Bei der Analyse, wie eine Löschung der Daten vorgenommen werden kann, ist insbesondere bei IT-Systemen als Speicherort die Mithilfe der IT-Abteilung gefragt. Es muss geprüft werden, ob eine Löschung automatisiert stattfinden kann oder ob die Löschung durch die Aktion eines Beschäftigten ausgelöst werden muss.

Übrigens: Das Argument, das eingesetzte Programm biete keine Möglichkeit Daten zu löschen, hören wir in unserer Praxis immer wieder, ist aber leider ungeeignet, um sich vom Grundsatz der Speicherbegrenzung freizusprechen.

Umsetzung

Nun ist der größte Teil der Arbeit geschafft: Das Löschkonzept ist erstellt und wartet auf die Umsetzung. Endlich kann gelöscht werden!

Dafür muss jede Person bzw. Abteilung mit Löschverantwortung dafür sorgen, dass die zugeordneten Datenkategorien einer regelmäßigen Löschung unterzogen werden. In welchen Abständen eine Löschung zu erfolgen hat, liegt maßgeblich an der Dauer der Frist und der Komplexität des Löschvorgangs. Wohingegen bei automatisierten Löschungen die Frist genau eingehalten werden kann, muss bei komplexeren Vorgängen eine geeignete Regelmäßigkeit gewählt werden.

Die Löschungen sollten von den jeweiligen Lösch-Verantwortlichen dokumentiert werden. Selbstredend hat das ohne konkrete Nennung der Daten zu erfolgen.

 

Regelmäßige Prüfung

Die Entwicklung und Umsetzung eines Löschkonzepts ist ein fortlaufender Prozess, der stetigen Anpassungen durch das Hinzukommen, Wegfallen und Verändern von Verarbeitungstätigkeiten sowie Einflüssen durch Rechtsprechung, Stellungnahme und Orientierungshilfen von Aufsichtsbehörden unterliegt. Unabhängig vom Anpassungsbedarf durch ein konkretes Ereignis ist das Löschkonzept in regelmäßigen Abständen (in der Regel jährlich) von den internen Datenschutzverantwortlichen auf Vollständigkeit und Funktionalität zu prüfen.

Fazit

Die Erstellung und Umsetzung eines Löschkonzepts für alle personenbezogenen Daten eines Unternehmens ist zugegebenermaßen ein komplexes Vorhaben. Bei der Umsetzung spielen neben gesetzlichen Vorgaben eine ganze Reihe unternehmensspezifischer Faktoren eine Rolle und fordern eine individualisierte Gestaltung der Löschvorgaben. Gerne bieten wir Ihnen unsere Unterstützung an.

 

Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.