20.09.2022

Löschkonzept nach der DSGVO – so funktioniert es!

Das Löschkonzept stellt einen integralen Bestandteil eines Datenschutzmanagementsystems (DSMS) dar und ist für jedes Unternehmen, das regelmäßig mit Datenbeständen arbeitet, unerlässlich. In diesem Zusammenhang möchten wir Sie über die Erstellung von Löschkonzepten informieren.

Leitbild des europäischen Datenschutzrechts ist der Schutz personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) stellt aus diesem Grund hohe Anforderungen an Datenschutzprozesse, die diesem Ziel dienlich sind. So stehen den betroffenen Personen zum Beispiel Betroffenenrechte zu, deren Bearbeitung durch entsprechende Prozesse zu gewährleisten sind.

Eines der Betroffenenrechte ist das Recht auf Löschung nach Art. 17 DSGVO. Hiernach hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. In Art. 17 Abs. 2 DSGVO findet sich das Recht auf Vergessenwerden. Plastisch spricht man in diesem Fall vom sog. „digitalen Radiergummi“. Art. 17 Abs. 3 DSGVO regelt einen Ausschlusstatbestand.

Mit dem Recht auf Löschung aus Art. 17 DSGVO geht eine Löschpflicht einher, welche ein Löschkonzept erfordert. Dies lässt sich dem Art. 5 Abs. 2 DSGVO entnehmen, der den Grundsatz der Rechenschaftspflicht regelt. So muss der Verantwortliche auch die Einhaltung der Vorgaben des Art. 17 DSGVO nachweisen. Dies hat durch ein adäquates Löschkonzept zu erfolgen. Das Löschkonzept ist damit eine Dokumentation, die ein Verantwortlicher erstellen muss, um personenbezogene Daten datenschutzkonform zu löschen.

Das Löschkonzept ist folglich integraler Bestandteil eines Datenschutzmanagementsystems (DSMS) und darf in keinem Unternehmen, das regelmäßig mit Datenbeständen arbeitet, fehlen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 3 plus 3.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Die datenschutzkonforme Löschung personenbezogener Daten (Art. 4 Nr. 1 DSGVO) wird in der Praxis nämlich bisweilen vernachlässigt, was zur Verhängung von Millionenbußgeldern führen kann. Dies zeigt der Fall einer Immobiliengesellschaft, die personenbezogene Daten ihrer Mieterinnen und Mieter in einem Archivsystem speicherte, welches keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen des Datenschutzverstoßes einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro erlassen.

Nachfolgend erklären wir Ihnen anhand eines konzisen Leitfadens, was es bei der Konzeption eines Löschkonzepts grundsätzlich zu beachten gilt.

Recht auf Löschung

Eine Löschung der personenbezogenen Daten der betroffenen Personen hat nach Art. 17 Abs. 1 lit. a) – f) DSGVO zu erfolgen, sofern

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf
  • sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a DSGVO),
  • die Einwilligung in die Datenverarbeitung widerrufen wurde und es an einer anderen Rechtsgrundlage zur Verarbeitung fehlt (Art. 17 Abs. 1 lit. b DSGVO),
  • die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat (Art. 17 Abs. 1 lit. c DSGVO),
  • die Verarbeitung unrechtmäßig war (Art. 17 Abs. 1 lit. d DSGVO),
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach Unionsrecht oder Recht des Mitgliedstaats erforderlich ist (Art. 17 Abs. 1 lit. e DSGVO), oder
  • die personenbezogenen Daten in Bezug auf angebotene Dienste einer Informationsgesellschaft gem. Art. 8 Abs. 1 DSGVO erhoben wurden (Art. 17 Abs. 1 lit. f DSGVO).

Beispiel: Ein Kunde erteilt einem Unternehmen die Einwilligung, seine E-Mail-Adresse zum Versenden von Newslettern zu nutzen. Er hat allerdings jederzeit das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen. Im Falle eines Widerrufs entfällt die Rechtsgrundlage für die Verarbeitung und Speicherung der personenbezogenen Daten (Art. 17 Abs. 1 lit. b DSGVO). Das Unternehmen wäre dann verpflichtet, die E-Mail-Adresse zu löschen. Entsprechendes gilt, wenn von vornherein keine Einwilligung zum Newsletterversand vorlag (Art. 17 Abs. 1 lit. d DSGVO).

Gesetzliche Aufbewahrungspflichten

Der Ausschlusstatbestand in Art. 17 Abs. 3 DSGVO zählt einige Fallgestaltungen auf, die eine Löschung verwehren. Dazu gehören z. B. Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder Fälle, in denen es um die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen geht.

Ferner können sich Aufbewahrungspflichten auch aus Spezialgesetzen außerhalb der DSGVO ergeben. Es existieren insbesondere steuerrechtliche Aufbewahrungspflichten, die Pflicht zur Aufbewahrung bestimmter Unterlagen aus der Geldwäscheprüfung bei Banken, spezielle Aufbewahrungspflichten für Notare und Rechtsanwälte und die Pflicht zur Aufzeichnung und Speicherung von Kundentelefonaten von Unternehmen, die unter das Wertpapierhandelsgesetz fallen.

Aufbau eines Löschkonzepts

Das Löschkonzept soll eine rechtssichere und praktikable Löschung gewährleisten, sodass zum Zeitpunkt der Löschung keine relevanten Aspekte übersehen werden. Es bedarf neben der Einhaltung der Fristen, näherer Darlegungen darüber, welche Dokumente, Daten und Akten in welchen Systemen vorhanden sind. Oftmals ist es nämlich schwierig, einen Überblick zu gewinnen, wo im Unternehmen die zu löschenden Daten gespeichert sind, über welche Systeme die Daten ausgetauscht werden und wer überhaupt die Daten erhalten hat. Cloud Computing und andere Technologien erschweren den Überblick. Es bietet sich dazu an, das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) heranzuziehen, um insbesondere eine Bestandsaufnahme der Daten sowie der Speicherdauer vorzunehmen. Eine Blaupause für die Konzeption eines Löschkonzepts in der elektronischen Datenverarbeitung kann die fakultative DIN 66398 bieten.

Die Entwicklung eines Löschkonzepts lässt sich grob in fünf Schritte einteilen. Ein Musterkonzept gibt es nicht.

  1. Zuerst sind Datenkategorien nach sachlichen Kriterien bzw. Fachgebieten zu bilden, welche sich am Zweck der Datenverarbeitung orientieren. Diesen Datenkategorien sollten dann Datenobjekte zugewiesen werden.

Beispiel: Zu den Personaldaten (Datenkategorie) gehören z. B. der Vorname, Nachname und das Geburtsdatum (Datenobjekte).

Die Datenverarbeitung bei den Auftragsverarbeitern gehört zum Verantwortungsbereich des Verantwortlichen. Daher sind die ausgelagerten Datenverarbeitungen an Auftragsverarbeiter ebenfalls im Löschkonzept zu adressieren.

Eine weitere Herausforderung ist die Erfassung von unstrukturiert abgelegten Daten sowie eigenen Devices von Mitarbeiter:innen. Zu ersteren gehören z. B. die E-Mail-Postfächer der einzelnen Mitarbeiter:innen oder Filesharingserver. Eine automatisierte Datenlöschung ist hier in der Regel mangels Struktur schwer umsetzbar. Deshalb sollten im Löschkonzept für diesen Problemkreis Richtlinien zur Löschverpflichtung aufgenommen werden.

Es sollte zudem stets bedacht werden, dass Art. 5 Abs. 1 lit. b DSGVO eine Zweckänderung der Verarbeitung gestattet. Unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO hat der Verantwortliche die Möglichkeit, die Speicherdauer durch Festlegung eines alternativen Zweckes (einer Verarbeitung zu anderen Zwecken) „zu verlängern“, wenn der ursprüngliche Speicherungszweck bereits vollständig erfüllt ist. Art. 6 Abs. 4 DSGVO verlangt hierzu, dass der neue Zweck der Verarbeitung mit dem Zweck, zu dem die Daten ursprünglich erhoben worden sind, vereinbar ist.

2. In einem zweiten Schritt sind die Verantwortlichkeiten im Löschprozess festzuschreiben. Die Verantwortlichkeiten sollten in einem Rollen- und Rechtekonzept beschrieben werden. Auf dieser Basis ist der organisatorische Prozess niederzulegen, der regelt, welche Person jeweils für die Prüfung, Anordnung und Durchführung des Löschens zuständig ist.

3. An dritter Stelle muss genau eruiert werden, welche Aufbewahrungsfristen vor der Löschung zu beachten sind. Erst wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind, dürfen die Daten auch tatsächlich gelöscht werden (bis zum Fristablauf sind die Daten zu sperren). Von der Rechtsabteilung bzw. Rechtsexperten sind daher die Vorschriften mit Aufbewahrungsvorgaben zu identifizieren. So sind z. B. in § 147 der Abgabenordnung (AO) und § 257 des Handelsgesetzbuches (HGB) gesetzliche Aufbewahrungsfristen genannt, die in der Praxis häufig relevant sind.

4. Nun sollten die Löschklassen bestimmt werden. Diese setzen sich aus den Aufbewahrungsfristen und einer Bestimmung des Ergebnisses, das die Frist zum Laufen bringt, zusammen.

5. Im fünften und letzten Schritt werden die Löschregeln pro Löschklasse bestimmt, nach denen die Löschung zu erfolgen hat. Das Löschkonzept muss auch implementiert (technisch/ manuell) werden. Um der Komplexität Herr zu werden, empfiehlt sich ein mehrstufiges Vorgehen: Zunächst sollten die IT-Systeme, in denen die jeweiligen Datenarten verarbeitet werden, identifiziert und die Abhängigkeit der Systeme untereinander überprüft werden. Schließlich sollte für die Datenkategorien jeweils ein führendes IT-System festgelegt werden.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Was bedeutet Löschen im Einzelnen?

Der Begriff des Löschens ist in der DSGVO nicht legaldefiniert. Löschen ist in Art. 4 Nr. 2 DSGVO lediglich als eine Form der Datenverarbeitung erwähnt. Im Kontext des Datenschutzes ist aus dem Wortsinn abzuleiten, dass „Löschen“ eine Handlungsform beschreibt, die dazu dient, dass gespeicherte personenbezogene Daten vollständig unkenntlich gemacht werden, sodass sie nicht mehr verarbeitet oder wahrgenommen werden können. Es darf somit kein Abbild der Lebenswirklichkeit einer Person verbleiben. Die Anonymisierung zielt dagegen darauf ab, die Daten weiterzubearbeiten, zwar ohne Personenbezug, aber unter Verwendung der Lebenswirklichkeit der betroffenen Person.

Nach Ansicht einiger Aufsichtsbehörden kann auch eine Anonymisierung einer Löschung entsprechen. Insbesondere in den Fällen, in denen eine physische Vernichtung für den Verantwortlichen unzumutbar ist, betrachten einige Aufsichtsbehörden eine Anonymisierung als datenschutzkonforme Alternative. Dies ist jedoch äußerst kritisch zu betrachten, da eine Anonymisierung nicht die Ergebnisse erzeugen kann, die von einer Löschung erwartet werden. Der DSGVO lassen sich keine Hinweise entnehmen, dass eine Anonymisierung eine Datenlöschung ersetzen kann.

Als allgemeines Verfahren zur Löschung bietet es sich an, die jeweiligen Löschobjekte irreversibel zu vernichten. Ein Löschbefehl auf der PC-Tastatur genügt natürlich ebenso wenig, wie ein einfaches Überschreiben des Datenträgers. Elektronische Daten auf Servern, Festplatten usw. sind ggfs. mehrmals mit Zufallsdaten zu überschreiben, sodass eine Wiederherstellung ausgeschlossen ist. Es können auch spezielle Löschprogramme (sog. Wipe-Tools) zum Löschen eingesetzt werden.

Papierakten müssen mittels Aktenvernichter beseitigt werden, wobei sich Schutzklasse und Sicherheitsstufe nach der Datenträgervernichtungsnorm DIN 66399 richten.

Fazit: Löschkonzept als Compliance-Komponente!

Die Aufstellung eines Löschkonzepts erfordert Zeit. Führen Sie es Schritt für Schritt und ordentlich durch, so kann es den Geschäftsbetrieb erleichtern und Compliance-Maßstäben gerecht werden. Wichtig ist dabei allerdings eine gründliche Erstellung des Löschkonzepts, da Lösch- und Aufbewahrungspflichten leicht zu Haftungsfallen werden können: Einerseits müssen Daten ab einem bestimmten Zeitpunkt gelöscht werden, andererseits aber auch eine bestimmte Zeit lang aufbewahrt werden.

Für diese Abgrenzung dieser beiden Pflichten empfiehlt es sich, Datenschutzexperten heranzuziehen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH prüfen Ihr Löschkonzept auf Vollständigkeit und Richtigkeit und unterstützen auf Wunsch bei der Erstellung und Implementierung. Gerne stellen wir Ihnen auch einen Datenschutzbeauftragten zur Seite. Vertrauen Sie auf uns und unsere Expertise!

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …