Suchen

Datenschutz-Grundverordnung: personenbezogene Daten löschen oder aufbewahren? Löschkonzepte nach der DSGVO

| Autor / Redakteur: Simone Rosenthal* / Peter Schmitz

Sobald die ursprüngliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten wegfällt, stellt sich die Frage, ob die Daten gelöscht oder weiter aufbewahrt werden müssen beziehungsweise dürfen. Die gesetzlichen Regelungen erlauben beziehungsweise verlangen je nach Fall ein unterschiedliches Vorgehen. Verantwortliche müssen deshalb ein Löschkonzept erstellen, das all diese Aspekte berücksichtigt.

Firmen zum Thema

Das Aufstellen eines Löschkonzeptes ist von der DSGVO vorgeschrieben, es kann den Geschäftsbetrieb erleichtern und Compliance im Unternehmen sicherstellen.
Das Aufstellen eines Löschkonzeptes ist von der DSGVO vorgeschrieben, es kann den Geschäftsbetrieb erleichtern und Compliance im Unternehmen sicherstellen.
(© Zerbor - stock.adobe.com)

Eine Löschung von personenbezogenen Daten kommt beispielsweise in Betracht, wenn die Daten für die Verarbeitungszwecke nicht mehr notwendig sind oder eine betroffene Person ihre Löschung verlangt. Demgegenüber müssen sie bei gesetzlichen Pflichten weiter aufbewahrt werden, oder man darf sie bei bestimmten Ausnahmen weiterverwenden. Daher muss man als Verantwortlicher ein entsprechendes Löschkonzept erstellen, welches all diese Aspekte berücksichtigt. Die Erstellung und Umsetzung eines solchen Konzepts sind deshalb in der Praxis oftmals schwierig. So müssen alle verarbeiteten Datenarten erfasst und in Kategorien eingeteilt werden, denn es gelten verschiedene Löschfristen. Deren Einhaltung sollte direkt in das System implementiert werden, was allerdings mit den bestehenden technischen Voraussetzungen nicht immer einfach ist. Details zum Löschkonzept und was Sie bei der Umsetzung beachten sollten, haben wir für Sie im Folgenden zusammengestellt.

Was sind die Vorteile eines Löschkonzepts?

Die Gratwanderung zwischen Löschen und Aufbewahren kann mit einem Löschkonzept gemeistert werden. Ein guter Datenschutz ist nicht das einzige positive Ergebnis der Erarbeitung eines Löschkonzepts. Es kann auch zu einer Verbesserung der internen Unternehmensorganisation beitragen, indem Geschäftsprozesse präzisiert und optimiert werden.

Schließlich können bei Verletzungen von Löschpflichten erhebliche Sanktionen verhängt werden: Gegen die Takeaway.com N.V. wurde zum Beispiel im September 2019 ein Bußgeld in Höhe von 195.407 Euro durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängt. Verstöße gegen Löschpflichten im Zusammenhang mit schlecht organisiertem Datenschutz und anderen Verstößen gegen Betroffenenrechte hatten zusammengenommen zu dieser Bußgeldhöhe geführt. Im Folgenden soll anhand eines Leitfadens erläutert werden, was Sie bei der Löschung von personenbezogenen Daten und bei der Erstellung eines Löschkonzepts beachten sollten.

Wann muss gelöscht werden?

Einerseits muss in der Regel gelöscht werden, wenn die betroffene Person es im Rahmen ihres Rechts auf Löschung verlangt. Auf der anderen Seite besteht in mehreren, gesetzlich festgeschriebenen Fällen eine Löschpflicht für die verantwortliche Stelle. Hier sollte beachtet werden, dass die Pflicht zur Löschung unabhängig davon besteht, ob der Betroffene sie verlangt hat oder nicht. Die wichtigsten Löschpflichten sollen hier kurz vorgestellt werden.

Insbesondere sind Daten zu löschen, wenn sie selbst oder ihre Verarbeitung in irgendeiner Weise „fehlerhaft“ sind. Das ist etwa der Fall, wenn sie sachlich unrichtig oder veraltet sind. Das klingt einfach, ist aber mit einem hohen Aufwand verbunden. Denn die Daten müssen demnach fortlaufend überprüft werden, und anders als bei einem Löschverlangen des Betroffenen wird der Verantwortliche auf die Löschpflicht nicht aufmerksam gemacht.

Auch müssen Daten gelöscht werden, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Denn im Datenschutzrecht gilt der Zweckbindungsgrundsatz, wonach Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet oder gespeichert werden dürfen. Gleiches gilt, wenn die Daten von Anfang an nie rechtmäßig verarbeitet wurden.

Schließlich zieht ein Widerspruch die bereits angesprochene vom Betroffenen ausgelöste Löschpflicht nach sich. Zum einen kann der Betroffene, der zuvor seine Einwilligung zu einer Datenverarbeitung gegeben hat, diese widerrufen. Zum anderen kann er davon unabhängig gegen jede ihn betreffende Datenverarbeitung Widerspruch einlegen. Erteilt ein Kunde einem Unternehmen beispielsweise die Einwilligung, seine E-Mail-Adresse für den Versand von Newslettern zu verwenden, und widerruft er diese Einwilligung, entfällt die Rechtsgrundlage für die Speicherung seiner E-Mail-Adresse im Verteiler oder im Rest des Systems. In diesem Fall findet sich in der Regel auch keine andere Rechtsgrundlage, die eine solche Speicherung legitimiert. Das Unternehmen ist daher verpflichtet, die E-Mail-Adresse zu löschen. Diese Pflicht besteht selbstverständlich genauso, wenn der Kunde seine Einwilligung zum Versand von Newslettern nie gegeben hat.

Wann muss gespeichert werden?

Da liegt die Schlussfolgerung nahe, alle Daten, die nicht mehr benötigt werden, gleich zu löschen. Den Löschverpflichtungen stehen jedoch häufig gesetzliche Aufbewahrungspflichten entgegen. Es gilt also: Gelöscht werden muss nur, wenn eine Löschpflicht besteht und kein Ausnahmetatbestand greift. Situationen, in denen nicht gelöscht werden darf, listet die DSGVO auf. Dazu gehören zum Beispiel Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig sind. Weitere Aufbewahrungspflichten für besondere Verarbeitungssituationen finden sich in Spezialgesetzen. Das Datenschutzrecht umfasst – je nach Branche – schließlich nicht nur die DSGVO.

So ergeben sich insbesondere steuerrechtliche Aufbewahrungspflichten, die Pflicht zur Aufbewahrung bestimmter Unterlagen aus der Geldwäscheprüfung bei Banken und unter Umständen auch bei Rechtsanwälten oder die Pflicht zur Aufzeichnung und Speicherung der Kundentelefonate von Unternehmen, die unter das Wertpapierhandelsgesetz fallen. Und auch im Personalwesen gibt es bestimmte Aufbewahrungspflichten zu beachten.

Dazu kommen Situationen, in denen eine Aufbewahrung von Daten durch die verantwortliche Stelle zur Abwehr ungerechtfertigter Ansprüche erforderlich und daher ein die Speicherung rechtfertigendes berechtigtes Interesse sein kann. Ein Arbeitgeber kann es für notwendig erachten, die Bewerberdaten von abgelehnten Bewerbern für den Fall einer Klage nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) aufzubewahren. Ansprüche nach dem AGG verjähren nach zwei Monaten, sodass das berechtigte Interesse an der Speicherung der Bewerberdaten danach entfällt. Diese sind dann zu löschen.

Was sollte bei der Erstellung eines Löschkonzepts beachtet werden?

Wenn ein Löschkonzept erstellt werden soll, ist es empfehlenswert, folgende Punkte zu beachten:

  • 1. Lokalisation der Daten: Welche Daten befinden sich wo in meinem Unternehmen?
  • 2. Feststellung, welche Lösch- und Aufbewahrungspflichten für das eigene Unternehmen einschlägig sind.
  • 3. Definition der Löschregeln: Löschfrist und Startzeitpunkt definieren.
  • 4. Festlegung: Wann sind die personenbezogenen Daten zu löschen (zum Beispiel bei Wegfall der Rechtsgrundlage)?
  • 5. Aufstellung einer Tabelle pro Abteilung.
  • 6. Beachtung von Sonderfällen, zum Beispiel Auftragsverarbeitung.
  • 7. Implementierung des Löschkonzepts und des Löschens an sich.
  • 8. Testen, testen, testen!

Das Löschkonzept kann das Spannungsfeld zwischen Lösch- und Speicherpflichten auflösen. Das Konzept zu erstellen, ist allerdings aufgrund der komplexen Regelungsmaterie keine triviale Aufgabe. Ein gutes Löschkonzept ist daher ausgeklügelt und an die Branche des Unternehmens angepasst. Einen Anhaltspunkt kann die „Leitlinie Löschkonzept“, die als DIN 66398 veröffentlicht wurde, bieten. Es besteht jedoch keine Pflicht, dieser zu folgen. Ein gut funktionierendes Löschkonzept kann auch auf anderem Weg aufgestellt werden. Dabei sind die Bedürfnisse, die Organisation und die Kapazitäten des Unternehmens zu beachten.

Es ist häufig schwierig, einen Überblick darüber zu gewinnen, wo im Unternehmen die zu löschenden Daten gespeichert sein können, welche Systeme die Daten untereinander austauschen und wer die Daten erhalten hat. Die Schwierigkeit wird durch Cloud Computing und andere Technologien noch erhöht. Mit einem Blick in das Verzeichnis der Verarbeitungstätigkeiten (VVT) kann zumindest eine Bestandsaufnahme der Daten gelingen. Als Nächstes sollten diese Daten in Kategorien eingeordnet werden, für die jeweils die gleiche Aufbewahrungsdauer gilt.

Personenbezogene Daten sollten darüber hinaus nicht nur zufällig, sondern nach sinnvollen Regeln gelöscht werden (sogenannte Löschregeln). Die Löschregel enthält eine Löschfrist sowie einen Startzeitpunkt, ab dem die Frist zu laufen beginnt.

Was bedeutet Löschung eigentlich konkret?

Schlussendlich stellt sich die Frage, was eine Löschung überhaupt ist. Darunter versteht man generell das physische, nicht mehr umkehrbare Vernichten von personenbezogenen Daten. Die Klärung dieser Frage klingt vielleicht zunächst überflüssig, ist aber auf den zweiten Blick berechtigt, da gegebenenfalls auch eine Anonymisierung eine Löschung darstellen kann. Insbesondere wenn eine physische Vernichtung für die verantwortliche Stelle unzumutbar ist, sehen die Aufsichtsbehörden das als datenschutzkonforme Alternative an.

Als allgemeines Vorgehen zur Löschung bietet es sich an, die jeweiligen Akten unverzüglich zu vernichten, und zwar mit Mitteln, die ihrer Art oder ihrem Vertraulichkeitsgrad angemessen sind (zum Beispiel Aktenvernichtung, Recycling, Löschung). Elektronische Daten auf Servern, Festplatten und dergleichen sind zu löschen und sicher zu überschreiben. Elektronische Daten auf anderen Datenträgern werden durch physische Zerstörung dieser Datenträger vernichtet. Papierakten müssen mittels Aktenvernichter beseitigt werden, wobei sich Schutzklasse und Sicherheitsstufe nach der Datenträgervernichtungsnorm DIN 66399 richten.

Fazit: Mit dem Löschkonzept zur Compliance!

Das Aufstellen eines Löschkonzeptes ist von der DSGVO vorgeschrieben, es kann den Geschäftsbetrieb erleichtern und Compliance in Ihrem Unternehmen sicherstellen.

Dabei ist wichtig, gründlich vorzugehen, da Lösch- und Aufbewahrungspflichten leicht zu Haftungsfallen werden können: Einerseits müssen Daten ab einem bestimmten Zeitpunkt gelöscht werden, andererseits aber auch eine bestimmte Zeit lang aufbewahrt werden. Das Zusammenspiel von Pflichten und Ausnahmen lässt sich vor allem deshalb nur schwierig bewältigen, weil für alle verarbeiteten Daten gesondert geprüft werden muss, ob und wann sie zu löschen sind. Da sich dies auch stets ändern kann, bedarf es einer fortlaufenden und umfassenden Kontrolle, weshalb sich das Heranziehen von Datenschutzexperten empfiehlt. Und auch, wenn das Löschkonzept steht, ist die Umsetzung nicht immer einfach. Lösch- und Speicherregeln sind in die Software, die für Datenverarbeitungen genutzt wird, einzupflegen. Einige Programme sehen keine Möglichkeit vor, überhaupt Daten zu löschen. An dieser Stelle kann sich die Pflicht zur „Privacy by Design“ nach Art. 25 DSGVO dazu konkretisieren, Software anzuschaffen, die das Löschen und Speichern nach den Vorgaben des Löschkonzeptes ermöglicht. Alles in allem lässt sich aber festhalten, dass die Implementierung eines Löschkonzepts sicherlich schwierig sein kann, aber alles andere als unmöglich ist und sich auf lange Sicht mit größerer Sicherheit bezahlt macht.

Simone Rosenthal
Simone Rosenthal
(Bild: SRD-Rechtsanwälte)

*Die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, eines Unternehmens, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.

(ID:46384280)