Löschkonzept nach der DSGVO – so funktioniert es!

Leitbild des europäischen Datenschutzrechts ist der Schutz personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) stellt aus diesem Grund hohe Anforderungen an Datenschutzprozesse, die diesem Ziel dienlich sind. So stehen den betroffenen Personen zum Beispiel Betroffenenrechte zu, deren Bearbeitung durch entsprechende Prozesse zu gewährleisten sind.

Eines der Betroffenenrechte ist das Recht auf Löschung nach Art. 17 DSGVO. Hiernach hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. In Art. 17 Abs. 2 DSGVO findet sich das Recht auf Vergessenwerden. Plastisch spricht man in diesem Fall vom sog. „digitalen Radiergummi“. Art. 17 Abs. 3 DSGVO regelt einen Ausschlusstatbestand.

Mit dem Recht auf Löschung aus Art. 17 DSGVO geht eine Löschpflicht einher, welche ein Löschkonzept erfordert. Dies lässt sich dem Art. 5 Abs. 2 DSGVO entnehmen, der den Grundsatz der Rechenschaftspflicht regelt. So muss der Verantwortliche auch die Einhaltung der Vorgaben des Art. 17 DSGVO nachweisen. Dies hat durch ein adäquates Löschkonzept zu erfolgen. Das Löschkonzept ist damit eine Dokumentation, die ein Verantwortlicher erstellen muss, um personenbezogene Daten datenschutzkonform zu löschen.

Das Löschkonzept ist folglich integraler Bestandteil eines Datenschutzmanagementsystems (DSMS) und darf in keinem Unternehmen, das regelmäßig mit Datenbeständen arbeitet, fehlen.

Die datenschutzkonforme Löschung personenbezogener Daten (Art. 4 Nr. 1 DSGVO) wird in der Praxis nämlich bisweilen vernachlässigt, was zur Verhängung von Millionenbußgeldern führen kann. Dies zeigt der Fall einer Immobiliengesellschaft, die personenbezogene Daten ihrer Mieterinnen und Mieter in einem Archivsystem speicherte, welches keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen des Datenschutzverstoßes einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro erlassen.

Nachfolgend erklären wir Ihnen anhand eines konzisen Leitfadens, was es bei der Konzeption eines Löschkonzepts grundsätzlich zu beachten gilt.

Beispiel: Ein Kunde erteilt einem Unternehmen die Einwilligung, seine E-Mail-Adresse zum Versenden von Newslettern zu nutzen. Er hat allerdings jederzeit das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen. Im Falle eines Widerrufs entfällt die Rechtsgrundlage für die Verarbeitung und Speicherung der personenbezogenen Daten (Art. 17 Abs. 1 lit. b DSGVO). Das Unternehmen wäre dann verpflichtet, die E-Mail-Adresse zu löschen. Entsprechendes gilt, wenn von vornherein keine Einwilligung zum Newsletterversand vorlag (Art. 17 Abs. 1 lit. d DSGVO).

Gesetzliche Aufbewahrungspflichten

Der Ausschlusstatbestand in Art. 17 Abs. 3 DSGVO zählt einige Fallgestaltungen auf, die eine Löschung verwehren. Dazu gehören z. B. Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder Fälle, in denen es um die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen geht.

Ferner können sich Aufbewahrungspflichten auch aus Spezialgesetzen außerhalb der DSGVO ergeben. Es existieren insbesondere steuerrechtliche Aufbewahrungspflichten, die Pflicht zur Aufbewahrung bestimmter Unterlagen aus der Geldwäscheprüfung bei Banken, spezielle Aufbewahrungspflichten für Notare und Rechtsanwälte und die Pflicht zur Aufzeichnung und Speicherung von Kundentelefonaten von Unternehmen, die unter das Wertpapierhandelsgesetz fallen.

Aufbau eines Löschkonzepts

Das Löschkonzept soll eine rechtssichere und praktikable Löschung gewährleisten, sodass zum Zeitpunkt der Löschung keine relevanten Aspekte übersehen werden. Es bedarf neben der Einhaltung der Fristen, näherer Darlegungen darüber, welche Dokumente, Daten und Akten in welchen Systemen vorhanden sind. Oftmals ist es nämlich schwierig, einen Überblick zu gewinnen, wo im Unternehmen die zu löschenden Daten gespeichert sind, über welche Systeme die Daten ausgetauscht werden und wer überhaupt die Daten erhalten hat. Cloud Computing und andere Technologien erschweren den Überblick. Es bietet sich dazu an, das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) heranzuziehen, um insbesondere eine Bestandsaufnahme der Daten sowie der Speicherdauer vorzunehmen. Eine Blaupause für die Konzeption eines Löschkonzepts in der elektronischen Datenverarbeitung kann die fakultative DIN 66398 bieten.

Die Entwicklung eines Löschkonzepts lässt sich grob in fünf Schritte einteilen. Ein Musterkonzept gibt es nicht.

1. Zuerst sind Datenkategorien nach sachlichen Kriterien bzw. Fachgebieten zu bilden, welche sich am Zweck der Datenverarbeitung orientieren. Diesen Datenkategorien sollten dann Datenobjekte zugewiesen werden.

Beispiel: Zu den Personaldaten (Datenkategorie) gehören z. B. der Vorname, Nachname und das Geburtsdatum (Datenobjekte).

Die Datenverarbeitung bei den Auftragsverarbeitern gehört zum Verantwortungsbereich des Verantwortlichen. Daher sind die ausgelagerten Datenverarbeitungen an Auftragsverarbeiter ebenfalls im Löschkonzept zu adressieren.

Eine weitere Herausforderung ist die Erfassung von unstrukturiert abgelegten Daten sowie eigenen Devices von Mitarbeiter:innen. Zu ersteren gehören z. B. die E-Mail-Postfächer der einzelnen Mitarbeiter:innen oder Filesharingserver. Eine automatisierte Datenlöschung ist hier in der Regel mangels Struktur schwer umsetzbar. Deshalb sollten im Löschkonzept für diesen Problemkreis Richtlinien zur Löschverpflichtung aufgenommen werden.

Es sollte zudem stets bedacht werden, dass Art. 5 Abs. 1 lit. b DSGVO eine Zweckänderung der Verarbeitung gestattet. Unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO hat der Verantwortliche die Möglichkeit, die Speicherdauer durch Festlegung eines alternativen Zweckes (einer Verarbeitung zu anderen Zwecken) „zu verlängern“, wenn der ursprüngliche Speicherungszweck bereits vollständig erfüllt ist. Art. 6 Abs. 4 DSGVO verlangt hierzu, dass der neue Zweck der Verarbeitung mit dem Zweck, zu dem die Daten ursprünglich erhoben worden sind, vereinbar ist.

2. In einem zweiten Schritt sind die Verantwortlichkeiten im Löschprozess festzuschreiben. Die Verantwortlichkeiten sollten in einem Rollen- und Rechtekonzept beschrieben werden. Auf dieser Basis ist der organisatorische Prozess niederzulegen, der regelt, welche Person jeweils für die Prüfung, Anordnung und Durchführung des Löschens zuständig ist.

3. An dritter Stelle muss genau eruiert werden, welche Aufbewahrungsfristen vor der Löschung zu beachten sind. Erst wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind, dürfen die Daten auch tatsächlich gelöscht werden (bis zum Fristablauf sind die Daten zu sperren). Von der Rechtsabteilung bzw. Rechtsexperten sind daher die Vorschriften mit Aufbewahrungsvorgaben zu identifizieren. So sind z. B. in § 147 der Abgabenordnung (AO) und § 257 des Handelsgesetzbuches (HGB) gesetzliche Aufbewahrungsfristen genannt, die in der Praxis häufig relevant sind.

4. Nun sollten die Löschklassen bestimmt werden. Diese setzen sich aus den Aufbewahrungsfristen und einer Bestimmung des Ergebnisses, das die Frist zum Laufen bringt, zusammen.

5. Im fünften und letzten Schritt werden die Löschregeln pro Löschklasse bestimmt, nach denen die Löschung zu erfolgen hat. Das Löschkonzept muss auch implementiert (technisch/ manuell) werden. Um der Komplexität Herr zu werden, empfiehlt sich ein mehrstufiges Vorgehen: Zunächst sollten die IT-Systeme, in denen die jeweiligen Datenarten verarbeitet werden, identifiziert und die Abhängigkeit der Systeme untereinander überprüft werden. Schließlich sollte für die Datenkategorien jeweils ein führendes IT-System festgelegt werden.

Was bedeutet Löschen im Einzelnen?

Der Begriff des Löschens ist in der DSGVO nicht legaldefiniert. Löschen ist in Art. 4 Nr. 2 DSGVO lediglich als eine Form der Datenverarbeitung erwähnt. Im Kontext des Datenschutzes ist aus dem Wortsinn abzuleiten, dass „Löschen“ eine Handlungsform beschreibt, die dazu dient, dass gespeicherte personenbezogene Daten vollständig unkenntlich gemacht werden, sodass sie nicht mehr verarbeitet oder wahrgenommen werden können. Es darf somit kein Abbild der Lebenswirklichkeit einer Person verbleiben. Die Anonymisierung zielt dagegen darauf ab, die Daten weiterzubearbeiten, zwar ohne Personenbezug, aber unter Verwendung der Lebenswirklichkeit der betroffenen Person.

Nach Ansicht einiger Aufsichtsbehörden kann auch eine Anonymisierung einer Löschung entsprechen. Insbesondere in den Fällen, in denen eine physische Vernichtung für den Verantwortlichen unzumutbar ist, betrachten einige Aufsichtsbehörden eine Anonymisierung als datenschutzkonforme Alternative. Dies ist jedoch äußerst kritisch zu betrachten, da eine Anonymisierung nicht die Ergebnisse erzeugen kann, die von einer Löschung erwartet werden. Der DSGVO lassen sich keine Hinweise entnehmen, dass eine Anonymisierung eine Datenlöschung ersetzen kann.

Als allgemeines Verfahren zur Löschung bietet es sich an, die jeweiligen Löschobjekte irreversibel zu vernichten. Ein Löschbefehl auf der PC-Tastatur genügt natürlich ebenso wenig, wie ein einfaches Überschreiben des Datenträgers. Elektronische Daten auf Servern, Festplatten usw. sind ggfs. mehrmals mit Zufallsdaten zu überschreiben, sodass eine Wiederherstellung ausgeschlossen ist. Es können auch spezielle Löschprogramme (sog. Wipe-Tools) zum Löschen eingesetzt werden.

Papierakten müssen mittels Aktenvernichter beseitigt werden, wobei sich Schutzklasse und Sicherheitsstufe nach der Datenträgervernichtungsnorm DIN 66399 richten.

Fazit: Löschkonzept als Compliance-Komponente!

Die Aufstellung eines Löschkonzepts erfordert Zeit. Führen Sie es Schritt für Schritt und ordentlich durch, so kann es den Geschäftsbetrieb erleichtern und Compliance-Maßstäben gerecht werden. Wichtig ist dabei allerdings eine gründliche Erstellung des Löschkonzepts, da Lösch- und Aufbewahrungspflichten leicht zu Haftungsfallen werden können: Einerseits müssen Daten ab einem bestimmten Zeitpunkt gelöscht werden, andererseits aber auch eine bestimmte Zeit lang aufbewahrt werden.

Für diese Abgrenzung dieser beiden Pflichten empfiehlt es sich, Datenschutzexperten heranzuziehen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH prüfen Ihr Löschkonzept auf Vollständigkeit und Richtigkeit und unterstützen auf Wunsch bei der Erstellung und Implementierung. Gerne stellen wir Ihnen auch einen Datenschutzbeauftragten zur Seite. Vertrauen Sie auf uns und unsere Expertise!