Unternehmen sind dazu verpflichtet bis Mai 2018 die neue EU- Datenschutzgrundverordnung (DSGVO) wirksam umzusetzen. Die DSGVO beinhaltet ein umfängliches Konzept unter anderem zur Löschung personenbezogener Daten, welches primär einem effektiven Datenschutz-Management System (DSMS) dienen soll.

Die Löschung personenbezogener Daten und deren Voraussetzungen sind in Art.17 DSGVO geregelt. So kann eine Löschpflicht entstehen, wenn die betroffene Person dies verlangt, sie eine zuvor abgegebene Einwilligung widerruft oder Wiederspruch gegen die Verarbeitung einlegt. Außerdem sind Unternehmen verpflichtet, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen. Die Löschfristen werden bisher jedoch nicht von allen Unternehmen einheitlich eingehalten.

Eine ähnliche Regelung der Löschpflicht besteht bereits im Bundesdatenschutzgesetzes § 35 (BDSG), allerdings sind hier die Löschfristen nicht zeitlich konkret festgelegt, wodurch in der Praxis oftmals eine Missachtung dieser Regelung hervorgerufen wird. Folglich kann nicht mehr exakt festgestellt werden, zu welchem genauen Zeitpunkt die Speicherung der Daten nicht mehr erforderlich war.

Für viele Firmen besteht nun ein enormer Handlungsbedarf, da bei einem Verstoß die ökonomischen Auswirkungen sehr hoch sein können. Es drohen den Unternehmen Bußgelder von bis zu 4 Prozent des globalen Umsatzes bis zu 20 Millionen Euro vor. In Streitfällen sind die Unternehmen selbst dazu verpflichtet einen Nachweis der Einhaltung der DSGVO vorzuweisen.

Die Löschung personenbezogener Daten – Was Sie wissen sollten

Künftig werden Unternehmen Löschkonzepte erarbeiten und implementieren müssen.

Um diese wirksam umzusetzen müssen vorhandene Daten jeglicher Art identifiziert werden. Je später die Umwandlung im System erfolgt, desto größer wird das Risiko sich einem Bußgeldverfahren oder anderen Konsequenzen unterziehen zu müssen. Die Löschkonzepte sollen zu einer Sicherstellung seiner „Compliance“ nachkommt.

Löschung der Daten – bisherige Vorgehensweise

Aus einer Studie geht hervor, dass viele Unternehmen in Europa grundsätzlich alle Daten behalten. Angeblich würden diese der Absicherung dienen. Oftmals fehlt es den Unternehmen gegenüber ihren Mitarbeitern an klaren Leitlinien, welche Daten und Dokumente schutzwürdig. Eine der Ursachen für die Missachtung der rechtlichen Vorgaben dürfte – wie bereits erwähnt- auch in der Struktur des Bundesdatenschutzgesetzes (BDSG) liegen, da in diesem Löschfristen nicht zeitlich konkret festgelegt werden.

Wann muss die Löschung personenbezogener Daten erfolgen?

Personenbezogene Daten müssen gelöscht werden, wenn sie für die Zwecke für die sie ursprünglich gedacht waren nicht mehr benötigt werden. Der Zweck spielt also bei der Erfassung, Verarbeitung und Speicherung von Daten eine entscheidende Rolle, da dieser maßgebend für die zulässige Dauer der Speicherung von verarbeiteten Daten ist. Folglich ist der Zweckbindungsgrundsatz auch eines der bedeutsamsten Prinzipien der DSGVO. Unternehmen dürfen personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erheben. Außerdem ist ihnen eine Weiterverarbeitung der Daten, die nicht mit den ursprünglichen Zwecken unvereinbar sind strengstens untersagt (Art. 5 Abs. 1 lit. b DSGVO).

Gibt es Ausnahmen der Löschpflicht?

Ja- In seltenen Fällen kann die Speicherung personenbezogener Daten im Rahmen der DSGVO erlaubt sein. Eine Ausnahme gilt, wenn eine Verarbeitung der personenbezogenen Daten zur Erfüllung einer Verpflichtung nach deutschem Recht oder EU-Recht erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Um die DSGVO richtig umsetzten zu können, bedarf es einer weiterer umfassenden Prüfung anderer anwendbarer Aufbewahrungspflichten benötigt. Somit sind andere Fristen wie z.B die Aufbewahrung von steuerrechtlichen oder handelsrechtlichen Dokumente, welche in diesem Fall zehn Jahre beträgt zu beachten.

Wie setzte ich die Anforderungen konkret um?

Problematisch ist zunächst vor allem die Zwecke von Datenverarbeitungen präzise und umfassend festzulegen und diese auch im Löschkonzept klar zu dokumentieren.

Sämtliche Unternehmensbereiche müssen im Rahmen der Datenverarbeitung tätig werden. Die Bereitstellung eines Projektteams, welches sich mit der Umsetzung der DSGVO beschäftigt würde deutliche Vorteile erbringen. Das Team kann entsprechende Vorgaben, Strukturen oder Programme vorgeben, welche den betroffenen Unternehmensbereichen unterstützende zur Seite stehen.

Im Vorfeld sollten bereits spezifische Verarbeitungszecke identifiziert und dokumentiert werden. Im Vordergrund sollte hier die Wahrung berechtigter Interessen des Unternehmens stehen(Art. 6 Abs. 1 S. 1 lit. f DSGVO). In dem Löschkonzept sollte unter anderem auch der Zweck der Erfüllung rechtlicher Verpflichtungen miteinbezogen werden. Auch die Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen ist eine der Zwecke, die im Arbeitsverhältnis häufig relevant sind (vgl. Art. 9 Abs. 2 lit. f DSGVO). Es empfiehlt sich die von der DSGVO vorgegebenen Zwecke durch weitere individualisierte zu erweitern und zu spezifizieren. Eine lange Speicherdauer kann gegebenenfalls durch die Speicherung von Backups für Zwecke der Datensicherheit, aber auch die Verteidigung gegen mögliche Rechtsansprüche rechtfertigen (vgl. Art 17 Abs. 3 lit. e DSGVO).

Acht Schritte zum datenschutzkonformen Löschkonzept

1. Erfassen von personenbezogenen Daten

Was versteht man unter personenbezogenen Daten?

Personenbezogene Daten sind Einzelangaben sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene). Die Arten personenbezogener bzw. auf Personen beziehbarer Daten sind zahlreic. Im Folgenden bekommen Sie einnen Überblick entsprechender Werte, die einen ersten Eindruck davon verleihen soll, was alles unter personenbezogene Daten fällt:

  • allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
  • Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
  • Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
  • Online-Daten (IP-Adresse, Standortdaten usf.)
  • physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
  • Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
  • Werturteile (Schul- und Arbeitszeugnisse usf.

Wie können Daten richtig erfasst werden?

Zunächst ist eine sorgfältige und ausführliche Notierung der Daten notwendig. Gehen Sie hierbei besonders auf: die Art der Daten, die durchschnittliche Verweildauer in der Bearbeitung, ob es sich um besondere personenbezogene Daten handelt, ob und wie lange die Aufbewahrungspflichten sind und auf welchen Datenträger sie gespeichert sind.

2. Gruppieren der Datenarten

Datenarten sind Daten, die unabhängig von ihrem Format nach einem bestimmten inhaltlichen Ordnungskriterium strukturiert sind. Zu beachten ist, dass Daten unterschiedlichen Datenarten gleichzeitig angehören können, wobei die datenarten an sich jedoch ein eindeutiges Unterscheidungskriterium haben. Der Zweck von Datenarten ist es, Daten deren Inhalt einem definierten Ordnungskriterium entspricht, zu gruppieren und von anderen solchen Gruppen zu unterscheiden. Es gibt verschiedene Möglichkeiten solche Gruppierungen vorzunehmen. Zum einem gibt es die Gliederung nach dem Aufbau ( z.B Nummerische Daten, Alphabetische Daten), zum anderen die Gruppierung nach der Beständigkeit ( Stammdaten, Bewegungsdaten etc.) oder auch die Gruppierung nach dem Verwendungszweck. Bilden Sie zusätzliche Gruppen für Daten, die mit Hilfe von Auftragsdatenverwaltung (ADV) verarbeitet werden.

3. Löschklassen bilden

Versuchen Sie die Löschklassen möglichst gering zu halten. Durch die Einordnung einer Datenart in eine Löschklasse ist die abstrakte Löschregel bestimmt. Um daraus eine konkrete Löschregel für die Umsetzung zu bilden, muss festgelegt werden, durch welches konkrete Ereignis der Startzeitpunkt gebildet wird.

4. Löschregeln bilden

Personenbezogene Daten sollen nicht nur zufällig, sondern nach sinnvollen Regeln gelöscht werden. Diese Regeln sind dann, die auf den Datensatz anwendbaren Löschregeln.

  • Es wird deutlich, dass die Etablierung von Löschroutinen in einem Unternehmen – gerade, wenn Löschverpflichtungen längere Zeit vernachlässigt wurden – erst einmal mit einem gewissen (insbesondere zeitlichen) Aufwand verbunden ist. Sobald man allerdings erst einmal die Datenarten identifiziert hat und Löschroutinen (ggf. technisch) etabliert sind, ist der tägliche Umgang recht einfach.
5. Überführung von Daten in die Archivierung

Es ist empfehlenswert festzulegen, wann und wie lange die Archivierung von personenbezogenen Daten erfolgen soll und wann diese endgültig gelöscht werden sollen. Die Pflicht zur Löschung personenbezogener Daten besteht regelmäßig, sobald die Daten nicht mehr benötigt werden bzw. die Zweckgebundenheit aufgelöst ist. Auch unrechtmäßig gespeicherte Daten müssen umgehend sicher gelöscht werden. Die Speicherung von personenbezogenen Daten hingegen ist nur unter bestimmten Voraussetzungen gestattet.

6. Sonderfälle vorsehen

Wenn Daten in Ausnahmefällen in einem vom Regelbetrieb abweichenden Prozess verwendet werden, können sie für diese Verarbeitung einer anderen Datenart zugeordnet werden, soweit dies nach den einschlägigen Rechtsvorschriften zulässig ist . Dies kann gegebenenfalls Eintreten, wenn ein Betroffener es wünscht, oder sich herausstellt, dass ein Datensatz nicht gesetzeskonform erhoben wurde.

7. Löschprozesse einrichten

Es ist dringend angeraten das Thema Löschung auf die Agenda zu nehmen. Effektive Mittel sind die Erstellung und Umsetzung eines unternehmensweiten Löschkonzepts sowie die Anpassung der Datenschutzerklärung. Die Löschkonzepte sollten dabei automatisch laufen. Dabei müssen Löschvorgange dringen protokolliert werden, um bei Auftreten von Fehlern eine Meldung an einen Mitarbeiter weiterzuleiten. Legen Sie sich genau fest an welchen Mitarbeiter im Ernstfall die Meldung gehen soll und wo die Protokolle aufbewahrt werden.

8. Auftragsdatenverarbeitung prüfen

Sie sollten bereits in der Übergangsphase ihre bestehenden Prozesse und Verträge zur Datenverarbeitung im Auftrag überprüfen und erforderliche Änderungen vornehmen. Neu abzuschließende Verträge sollten dann bereits die künftige Rechtslage berücksichtigen. Setzen Sie dem Verarbeiter angemessene Fristen und verlangen Sie von dem Auftragsnehmer einen Beleg über das Löschprotokoll.