30. Juli 2019

Löschkonzepte nach der DSGVO – Leitfaden

Die Löschung von Daten nach der Datenschutz-Grundverordnung (DSGVO) muss grundsätzlich unter zwei Blickwinkeln betrachtet werden: Einmal aus der Sicht des Betroffenen, der ein Recht auf Löschung hat und einmal aus Sicht des Verantwortlichen, der eine Pflicht zur Löschung hat. Beides läuft allerdings auf eins hinaus: die verantwortlichen Stellen müssen irgendwann die Daten löschen.

Natürlich bringt das einen erheblichen Zeit- und Arbeitsaufwand mit sich. Unternehmen sollten das Ganze jedoch auch aus der Sicht der Betroffenen sehen. Schließlich möchte keiner, dass irgendwo auf Festplatten oder anderen Orten Informationen liegen, die eventuell fremden Personen Einblicke in das eigene Leben geben können. Genau das ist es auch, was die DSGVO bezweckt, nämlich den EU-Bürgern ihre Rechte auf Achtung des Privatlebens und auf Datenschutz nach der Grundrechtecharta zu sichern.

 

 

 

 

 

 

 

 

 

Ein effektives und funktionierendes Löschkonzept trägt dazu bei, dass Unternehmen die Löschpflichten einfach und zuverlässig umsetzen können. Es kann sicherstellen, dass die Gratwanderung zwischen löschen und aufbewahren gelingt. Außerdem tritt nicht nur eine positive Wirkung für den Datenschutz ein, sondern zusätzlich kann die Aufstellung eines Löschkonzepts zur internen Unternehmensorganisation beitragen, indem Geschäftsprozesse präzisiert und optimiert werden. Abgesehen davon können Verletzungen der Löschpflicht zu Sanktionen führen, wie erst vor kurzem in Dänemark geschehen: dort musste ein Unternehmen umgerechnet 160.000 Euro wegen unzureichender Löschung und mangelhafter Dokumentation zahlen.

Wir erklären Ihnen im Folgenden anhand eines Leitfadens, was sie bei der Löschung von personenbezogenen Daten und bei der Aufstellung eines Löschkonzepts zu beachten haben.

Wann muss gelöscht werden?

Zunächst sollte sich immer die Frage gestellt werden, wann personenbezogene Daten überhaupt gelöscht werden können. Einerseits muss immer dann gelöscht werden, wenn die betroffene Person es im Rahmen ihres Rechts auf Löschung verlangt. Andererseits besteht in mehreren gesetzlich festgeschriebenen Fällen die Löschverpflichtung der verantwortlichen Stelle. Die DSGVO verlangt demnach die Löschung, wenn

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig ist,
  • die Einwilligung in die Datenverarbeitung widerrufen wurde und es an einer anderen Rechtsgrundlage zur Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat,
  • die Verarbeitung unrechtmäßig war,
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach Unionsrecht oder Recht des Mitgliedstaats erforderlich ist oder
  • die personenbezogenen Daten in Bezug auf angebotene Dienste einer Informationsgesellschaft gem. Art. 8 Abs. 1 erhoben wurden.

Hier ein Beispiel: Ein Kunde erteilt einem Unternehmen die Einwilligung, seine E-Mail-Adresse zum Versenden von Newslettern zu verwenden. Er hat allerdings jederzeit das Recht, diese Einwilligung zu widerrufen und schon entfällt die Rechtsgrundlage. In diesem Fall wird sich in der Regel auch keine andere Rechtsgrundlage finden, sodass das Unternehmen verpflichtet ist, die E-Mail-Adresse zu löschen. Genauso sieht es z.B. aus, wenn es von vornherein keine Einwilligung zum Newsletterversand gab.

Aber Vorsicht: den Löschverpflichtungen stehen auch immer gesetzliche Aufbewahrungspflichten entgegen! In der DSGVO selbst werden einige Situationen aufgezählt, in denen nicht gelöscht werden darf, wie u.a. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Es lohnt sich außerdem dafür einen Blick in Spezialgesetze zu werfen. Datenschutzrecht ist nämlich auch immer branchenspezifisch zu beurteilen. So ergeben sich insbesondere steuerrechtliche Aufbewahrungspflichten, die Pflicht zur Aufbewahrung bestimmter Unterlagen aus der Geldwäscheprüfung bei Banken und u.a. auch Rechtsanwälten, die Pflicht zur Aufzeichnung und Speicherung von Kundentelefonaten von Unternehmen, die unter das Wertpapierhandelsgesetz fallen und auch im Personalwesen gibt es bestimmte Aufbewahrungspflichten zu beachten.

Das haben Sie bei der Aufstellung eines Löschkonzepts zu beachten

Checkliste:

  1. Lokalisation der Daten: welche Daten sind wo in meinem Unternehmen?
  2. Informierung über das konkrete Spannungsfeld Löschpflichten vs. Aufbewahrungspflichten im eigenen Unternehmen
  3. Definition einer Löschregel: Löschfrist + Startzeitpunkt definieren
  4. Festlegung: Wann sind die personenbezogenen Daten zu löschen? Z.B. Wegfall der Rechtsgrundlage
  5. Aufstellung einer Tabelle pro Abteilung
  6. Beachtung von Sonderfällen, z.B. Auftragsverarbeitung
  7. Implementierung des Löschkonzepts und das Löschen ansich
  8. Testen, testen, testen!

Ein Löschkonzept soll das Spannungsfeld zwischen Löschverpflichtung und Speicherpflichten auflösen. Das ist allerdings aufgrund der komplexen Regelungsmaterie im deutschen Recht schwieriger und komplexer als gedacht, weshalb ein Löschkonzept besonders ausgeklügelt und auf die jeweilige Branche angepasst sein muss. Einen Anhaltspunkt kann die Leitlinie Löschkonzept, die als DIN 66398 veröffentlich wurde, bieten. Dies ist jedoch nicht verpflichtend, es gibt auch noch andere Wege ein gut funktionierendes Löschkonzept aufzustellen. Dabei ist immer spezifisch auf die Bedürfnisse, die Organisation und die Kapazitäten des Unternehmens zu achten.

Ein praktisches Problem sollte dabei im Blick behalten und bereits bei der Entwicklung einer Strategie zur Aufstellung eines Löschkonzepts gelöst werden: oftmals ist es schwierig einen Überblick darüber zu gewinnen, wo im Unternehmen die zu löschenden Daten gespeichert sein können, welche Systeme die Daten untereinander austauschen und wer überhaupt die Daten erhalten hat. Cloud Computing und andere Technologien machen das kompliziert. Doch ein Blick in das VVT wird helfen, eine Bestandsaufnahme der Daten vorzunehmen.

In einem nächsten Schritt sollten die Daten in Kategorien eingeordnet werden, für die die jeweils gleiche Aufbewahrungsdauer gilt.

Zudem gilt: personenbezogene Daten sollten nicht nur zufällig, sondern nach sinnvollen Regeln gelöscht werden (sog. Löschregeln). Die Löschregel enthält eine Löschfrist sowie einen Startzeitpunkt, ab dem die Frist zu laufen beginnt.

Vor der Löschung sollten die Daten außerdem archiviert werden. Die Archivierung sollte in einem System stattfinden, das den gesetzlichen Vorschriften zur Aufbewahrung entspricht. Für die Archivierung personenbezogener Daten muss wiederum nach dem Rechtmäßigkeitsprinzip der DSGVO eine Rechtsgrundlage gefunden werden, da eine Zweckänderung anzunehmen ist. Die Rechtsgrundlage findet sich jedoch in der Regel in den berechtigten Interessen der verantwortlichen Stelle. So kann beispielsweise ein Arbeitgeber von abgelehnten Bewerbern ein Interesse daran haben, die Bewerberdaten für den Fall einer Klage nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) aufzubewahren. Die Aufbewahrungspflicht in dem Fall liegt bei sechs Monaten.

Grundsätzlich bietet es sich an, ein Löschkonzept pro Abteilung des Unternehmens zu haben, wie z.B. ein Löschkonzept für die Personalabteilung (HR). Dort können dann in verschiedenen Haupt- und Unterregistern Dokumentarten einsortiert werden, wie z.B. der Arbeitsvertrag als arbeitsrechtliche Vereinbarung oder Lebenslauf und Bewerbungsschreiben als Bewerbungsunterlagen im Falle einer Einstellung unter dem Hauptregister Einstellungsunterlagen.

Bei der Aufstellung des Löschkonzepts sind stets Sonderfälle zu beachten. Bei der Auftragsverarbeitung beispielsweise muss ein Auftraggeber im Rahmen einer Auftragsverarbeitung dem Auftragnehmer Löschkonzepte und Löschprotokolle zur Verfügung stellen.

Was ist eine Löschung überhaupt?

Nun stellt sich noch die Frage, was eine Löschung überhaupt ist. Darunter versteht man generell das physische, nicht rückgängig zu machende Vernichten von personenbezogenen Daten. Die Klärung dieser Frage klingt vielleicht zunächst überflüssig, aber ist auf den zweiten Blick berechtigt, da ggf. auch eine Anonymisierung eine Löschung darstellen kann. Insbesondere wenn eine physische Vernichtung für die verantwortliche Stelle unzumutbar ist, sehen die Aufsichtsbehörden das als datenschutzkonforme Alternative an.

Als allgemeines Vorgehen zur Löschung bietet es sich an, die jeweiligen Akten unverzüglich zu vernichten und zwar mit Mitteln, die ihrer Art oder ihrem Vertraulichkeitsgrad angemessen sind (z.B. Aktenvernichtung, Recycling, Löschung). Elektronische Daten auf Servern, Festplatten usw. sind zu löschen und sicher zu überschreiben. Elektronische Daten auf anderen Datenträgern werden durch physische Zerstörung dieser Datenträger vernichtet. Papierakten müssen mittels Aktenvernichter beseitigt werden, wobei sich Schutzklasse und Sicherheitsstufe nach der Datenträgervernichtungsnorm DIN 66399 richten.

Fazit: Mit Löschkonzept zur Compliance!

Ein Löschkonzept aufzustellen erfordert Zeitaufwand. Führen Sie es jedoch Schritt für Schritt und ordentlich durch, so kann es den Geschäftsbetrieb erleichtern und Compliance in Ihrem Unternehmen sicherstellen. Wichtig dabei ist allerdings, das Löschkonzept gründlich zu erstellen, da Löschpflicht und Aufbewahrungspflicht leicht zu Haftungsfallen werden können: Einerseits müssen Daten ab einem bestimmten Zeitpunkt gelöscht werden andererseits aber auch eine bestimmte Zeit lang aufbewahrt werden.

Diese Abgrenzung muss genau vorgenommen werden, weshalb es sich empfiehlt, Datenschutzexperten heranzuziehen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH prüfen Ihr Löschkonzept auf Vollständigkeit und Richtigkeit und kümmern sich auf Wunsch um die Erstellung und Implementierung. Gerne stellen wir Ihnen auch einen Datenschutzbeauftragten zur Seite. Vertrauen Sie auf uns und unsere Expertise!

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!