Das Löschen personenbezogener Daten ist durch die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie im Einzelfall auch durch spezialgesetzliche Vorgaben geregelt. Ein Löschkonzept regelt unternehmensintern, wo die Daten abgespeichert werden und wer wann welche Daten wie zu löschen hat. Um ein DSGVO-konformes Löschkonzept zu erstellen, kann die Norm DIN 66398 als Best-Practise-Standard herangezogen werden.
Warum müssen Daten gelöscht werden?
Personenbezogene Daten sind sensible Informationen, weshalb ausreichender Datenschutz enorm wichtig ist. Je mehr Daten über einen längeren Zeitraum gespeichert sind, desto mehr Risiken bestehen für das Unternehmen, bspw. in Form eines unrechtmäßigen Datenverlusts. Aus diesem Grund hängt die zugelassene Dauer für die Datenspeicherung vom vorab festgelegten Zweck der Datenverarbeitung ab, sodass die Speicherfrist auf die unbedingt erforderliche Mindestdauer beschränkt wird.
Gemäß Artikel 17 der DSGVO müssen Unternehmen personenbezogene Daten löschen, wenn diese ihren Verwendungszweck erfüllt haben, nicht mehr benötigt werden oder die Betroffenen eine Löschung fordern. Neben der DSGVO geben verschiedene weitere Gesetze Speicher- und Löschfristen vor. Bei der Ermittlung von korrekten Löschfristen, sowie der Erstellung eines Löschkonzeptes und dessen Umsetzung sollte der Datenschutzbeauftragte zu Rate gezogen werden.
Wenn ein neues Löschkonzept eingeführt wird, muss dieses Konzept auf alle Daten angewendet werden, dies gilt auch für Alt-Datenbestände.
Löschpflicht
Verschiedene rechtliche und vertragliche Verpflichtungen verlangen, dass Unternehmen personenbezogene Daten für eine bestimmte Dauer speichern. Nach Ablauf dieser Frist greift die Löschpflicht, die nach Artikel 17 der DSGVO exemplarisch in folgenden Fällen Anwendung findet:
- die Daten sind für die Zwecke der Erhebung oder Verarbeitung nicht mehr notwendig
- die Daten wurden unrechtmäßig erhoben oder verarbeitet
- es besteht eine rechtliche Pflicht zur Löschung der Daten (z.B. durch Aufsichtsbehörden)
- die betroffene Person widerruft ihre Einwilligung oder legt Widerspruch gegen die Verarbeitung ihrer Daten ein
Neben Widerruf und Widerspruch haben betroffene Personen unter Umständen auch das Recht, vom Unternehmen zu verlangen, dass ihre Daten nur eingeschränkt verarbeitet werden dürfen.
Die DSGVO sieht außerdem vor, dass das die Löschfristen im Verarbeitungsverzeichnis festgehalten werden. Bei Auftragsdatenverarbeitung muss vom Auftraggeber regelmäßig überprüft werden, dass der Auftragsverarbeiter die Löschvorgaben einhält. Hierzu dient zum einen das Verarbeitungsverzeichnis, zum anderen kann der Auftraggeber spezielle Löschprotokolle anfordern.
Was beinhaltet ein Löschkonzept?
In einem Löschkonzept müssen die Gesetzesgrundlage und alle vertraglichen Pflichten berücksichtigt werden. Hierbei hilft die Norm DIN 66398, mit der sich Löschfristen und Löschregeln für verschiedene Datenarten bestimmen lassen. Für ein DSGVO-konformes Löschkonzept empfiehlt die Norm DIN 66398 folgende Punkte bezüglich Inhalt, Aufbau und Verantwortlichkeiten zu integrieren:
- Datenarten: Unterscheidung nach gemeinsamem Zweck der Datenverarbeitung (z.B. Kundendaten, Mitarbeiterdaten, Partnerdaten etc.)
- Bereiche: Unterscheidung nach verschiedenen Bereichen und entsprechenden Vorgaben im Umgang mit den jeweiligen Daten (z.B. Daten aus der Personalabteilung, Daten aus der Marketingabteilung etc.)
- Systeme: Dokumentation der Systeme, in denen Daten gespeichert werden (z.B. Back-Ups, Mailinglisten, Excel-Tabellen etc.)
- Weitergabe von Daten: Dokumentation, welche Daten an wen weitergegeben wurden (Daten müssen bei Ablauf der Löschfrist oder einem Löschungsantrag auch dort gelöscht werden)
- Löschfristen: Zeitspannen, nach denen die personenbezogenen Daten unter Beachtung von rechtlichen und vertraglichen Aufbewahrungsfristen gelöscht werden müssen (Unternehmen sind grundsätzlich verpflichtet, betroffene Personen bei der Datenerhebung auf die Dauer der Speicherung hinzuweisen)
- Startzeitpunkt: Zeitpunkt, ab dem die Löschfrist berechnet wird
- Löschklassen: Zusammenfassung der Datenarten nach Löschfrist und Startzeitpunkt
- Löschregeln: Regel für jede Löschklasse
- Umsetzungsregeln: Konkrete Umsetzung der Löschregel unter Beachtung der genutzten Technik
- Verantwortlichkeiten: Bestimmung von Beauftragten, die für die Umsetzung der Löschung, sowie für Erstellen und Pflege des Löschkonzeptes verantwortlich sind (i.d.R. Hauptverantwortliche und Stellvertreter)
- Dokumentation: nachvollziehbares Festhalten der einzelnen Vorgänge gemäß den Rechenschafts- und Dokumentationspflichten der DSGVO
Löschkonzept Gliederung
Es gibt kein Löschkonzept Muster, da das Konzept stets an das Unternehmen, die erhobenen Daten und die jeweiligen Abteilungen angepasst werden muss. Die grobe Struktur eines Löschkonzeptes folgt nach DIN 66398 jedoch folgender Gliederung, die als Orientierung dienen kann:
- Bestimmung der Datenarten
- Zusammenfassung der Datenarten in Löschklassen
- Definition von Löschregeln für die Datenarten
- Definition von konkreten Umsetzungsregeln
- Bestimmung der jeweils Verantwortlichen für die Umsetzung
- Dokumentation der Vorgänge zur Erstellung und Pflege des Löschkonzeptes
Konkret bedeutet dies, dass ein Unternehmen sich zunächst eine Übersicht über alle Datenarten verschaffen muss, die erhoben werden. Hierfür ist es hilfreich, die Daten je nach Bereich, Erhebungs- oder Verarbeitungszweck, Auftragsverarbeitung etc. in Kategorien einzuteilen.
Als nächstes werden Datenkategorien mit gleichen Löschfristen einer Löschklasse zugeteilt, für die eine bestimmte Löschregel gilt. Hierzu muss die rechtliche und vertragliche Mindestaufbewahrungsfrist ermittelt werden. Anhand dessen können der Startzeitpunkt und die Löschfrist definiert werden.
Bei der Umsetzung des Löschkonzepts muss auch nach analogen und digitalen Daten unterschieden werden, da für unterschiedliche Medien unterschiedliche datenschutzrechtliche Vorgaben gelten können, die bei einer ordnungsgemäßen Vernichtung bzw. Löschung eingehalten werden müssen.
Um für die Einhaltung zu sorgen und regelmäßig zu überprüfen, ob das Löschkonzept wie geplant funktioniert wird, müssen verantwortliche Personen bestimmt werden. Dies gilt insbesondere im Falle der Auftragsdatenverarbeitung. Neben der Sicherstellung der ordnungsgemäßen Umsetzung sollten die Beauftragten die Löschmechanismen vor der Implementierung ausführlich mit Testdaten auf Stimmigkeit und Fehlfunktion überprüfen und im späteren Verlauf regelmäßig kontrollieren.
Zuletzt gilt es, ein Protokoll über den gesamten Prozess von der Bestimmung der Datenarten und Löschklassen über die Definition der Löschregeln und die konkrete Vernichtung bzw. Löschung der Daten bis hin zur Bestimmung und den Aufgaben der Verantwortlichen für die Datenlöschung anzufertigen. Dies dient Nachweiszwecken gemäß den Rechenschafts- und Dokumentationspflichten gemäß Artikel 5 der DSGVO.
Dokumentation des Löschkonzeptes
Bei der Dokumentation des Löschkonzeptes sind konsequente Planung und große Sorgfalt geboten, damit nachvollziehbar ist, welche Daten, wann, von wem, warum und wie endgültig gelöscht werden. Unterstützung bei der Erstellung dieses Protokolls bietet in der Regel der Datenschutzbeauftragte.
Sollten die gesetzlichen Vorgaben bezüglich der Löschung personenbezogener Daten nicht eingehalten werden und durch eine mangelhafte Dokumentation der Rechenschaftspflicht gemäß DSGVO nicht nachgekommen werden können, kann ein Bußgeld von bis zu 20 Millionen Euro verhängt werden.
Fazit
Für einen datenschutzkonformen Umgang zählt am Ende des Lebenszyklus eines Datensatzes auch die Vernichtung / Löschung. Zur systematischen Erschließung dieses komplexen Themengebiets ist ein Löschkonzept essentiell. Da dies ein sehr komplexes Unterfangen ist, sollten Unternehmen zur Vereinfachung auf die Norm DIN 66398 zurückgreifen und sich von einem externen Datenschutzbeauftragten unterstützen lassen. Wer seiner Lösch- und Dokumentationspflicht nicht nachkommt, muss mit rechtlichen Konsequenzen rechnen.