Daten­schutz­recht­li­che Anfor­de­run­gen an Löschkonzepte

Die Datenschutz-Grundverordnung (DSGVO) knüpft die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten an stren­ge Vor­ga­ben. In der Regel wer­den die­se Vor­ga­ben vor allem mit der Erhe­bung und der Spei­che­rung von per­so­nen­be­zo­ge­nen Daten in Ver­bin­dung gebracht. Dass sie jedoch auch für das Löschen von Alt­da­ten gel­ten und sogar dazu ver­pflich­ten, wird oft über­se­hen und in der Unter­neh­mens­pra­xis immer noch stief­müt­ter­lich behan­delt. Dabei ist auch das Sper­ren und Löschen von per­so­nen­be­zo­ge­nen Daten Gegen­stand der Prü­fun­gen und Bean­stan­dun­gen von Auf­sichts­be­hör­den und kann im Fal­le von Ver­stö­ßen zu erheb­li­chen Buß­gel­dern füh­ren, wie bei­spiels­wei­se Buß­gel­der der fran­zö­si­schen Daten­schutz­auf­sichts­be­hör­de CNIL in Höhe von 400.000 Euro oder der däni­schen Daten­schutz­auf­sichts­be­hör­de in Höhe von 160.000 Euro bele­gen. Auf­grund gleich­zei­tig bestehen­der gesetz­li­cher Auf­be­wah­rungs­fris­ten und der Straf­bar­keit des rechts­wid­ri­gen Löschens von Daten ist das ord­nungs­ge­mä­ße Löschen von Daten für vie­le Unter­neh­men eine äußerst kom­ple­xe Ange­le­gen­heit. Umso wich­ti­ger ist daher die Aus­ar­bei­tung eines auf das Unter­neh­men zuge­schnit­te­nen Lösch­kon­zepts, um die Anfor­de­run­gen an das regel­mä­ßi­ge Löschen von Daten DSGVO-konform zu bewältigen.

Was ist ein Löschkonzept?

Die Pflicht, per­so­nen­be­zo­ge­ne Daten nicht über die Errei­chung des Zwecks hin­aus zu spei­chern, folgt aus der Zusam­men­schau des Grund­sat­zes der Spei­cher­be­gren­zung in Art. 5 Abs. 1 lit. e) DSGVO sowie der Zweck­bin­dung der Ver­ar­bei­tung in Art. 5 Abs. 1 lit. b) DSGVO. Per­so­nen­be­zo­ge­ne Daten sol­len nur so lan­ge auf­be­wahrt wer­den, wie dies zur Errei­chung des jewei­li­gen Zwecks der Ver­ar­bei­tung erfor­der­lich ist. Um dies zu gewähr­leis­ten, müs­sen die gespei­cher­ten Daten regel­mä­ßig auf ihre wei­te­re Erfor­der­lich­keit zur Zwecker­rei­chung über­prüft und gege­be­nen­falls gelöscht werden.

Ein Lösch­kon­zept legt dabei die Regeln für die regel­mä­ßi­ge Löschung von per­so­nen­be­zo­ge­nen Daten durch den Ver­ant­wort­li­chen fest. Dabei ist zu berück­sich­ti­gen, dass das Lösch­kon­zept so indi­vi­du­ell wie das jewei­li­ge Unter­neh­men ist, da bereits klei­ne Abwei­chun­gen in der Ver­ar­bei­tung zu ande­ren Lösch­fris­ten füh­ren kön­nen. Für die Erstel­lung eines Lösch­kon­zepts ist daher eine genaue Ana­ly­se der jewei­li­gen Ver­ar­bei­tungs­vor­gän­ge und der Kate­go­rien ver­ar­bei­te­ter per­so­nen­be­zo­ge­ner Daten essenziell.

Schrit­te zur Erar­bei­tung eines Löschkonzepts

Trotz der gebo­te­nen indi­vi­du­el­len Vor­ge­hens­wei­se bei der Erstel­lung las­sen sich eini­ge Schrit­te auf­zäh­len, die bei der Aus­ar­bei­tung eines jeden Lösch­kon­zepts rele­vant sind:

1. Iden­ti­fi­zie­rung der zu löschen­den per­so­nen­be­zo­ge­nen Daten

Hier­zu soll­ten zunächst soge­nann­te „Daten­ar­ten“, wie z.B. Per­so­nal­stamm­da­ten oder Ver­trags­da­ten, her­aus­ge­fil­tert wer­den. Dabei kann sich am Zweck der Daten­ver­ar­bei­tung ori­en­tiert wer­den. Die­sen Daten­ar­ten wer­den sodann „Daten­ob­jek­te“ wie am Bei­spiel der Per­so­nal­stamm­da­ten: die Per­so­nal­num­mer, der Vor- und Nach­na­me, das Geburts­da­tum etc. zugeordnet.

2. Iden­ti­fi­zie­rung der daten­hal­ten­den IT-Systeme und der Daten­flüs­se zwi­schen den Systemen

Um sinn­voll und ohne Scha­den für das Unter­neh­men per­so­nen­be­zo­ge­ne Daten zu löschen, sind bei­de Schrit­te essen­zi­ell. Denn nur wenn das Unter­neh­men weiß, wo die Daten lie­gen, wel­che Sys­te­me die Daten ver­wen­den und wel­che Inter­de­pen­den­zen bestehen, kann ver­läss­lich gelöscht werden.

3. Fest­le­gung von Para­me­tern für die jewei­li­gen Löschfristen

Dies stellt ein Kern­ele­ment bei der Erstel­lung eines Lösch­kon­zep­tes dar. Zu berück­sich­ti­gen sind hier neben dem Erhe­bungs­zweck und gege­be­nen­falls alter­na­ti­ven Zwe­cken ins­be­son­de­re gesetz­li­che Auf­be­wah­rungs­pflich­ten wie § 147 der Abga­ben­ord­nung (AO) und § 257 HGB sowie Auf­be­wah­rungs­rech­te (Ver­jäh­rungs­fris­ten für Ansprü­che aus Gewähr­leis­tung, Maß­nah­men zur IT-Sicherheit wie Back-ups etc.). Dabei ist es wich­tig, die rich­ti­ge Gra­nu­la­ri­tät zu fin­den. Hier soll­te nicht in einem zu gro­ben Ras­ter vor­ge­gan­gen wer­den, denn die Lösch­pflicht bezieht sich immer auf das kon­kre­te Datum. Ent­spre­chend hat kürz­lich das OLG Dres­den ent­schie­den: In sei­nem Urteil vom 14.12.2021 stellt das Gericht klar, dass im Rah­men der Auf­be­wah­rungs­pflich­ten nicht an das Doku­ment an sich (mit allen dort ent­hal­te­nen Daten), son­dern indi­vi­du­ell an die jewei­li­gen Daten anzu­knüp­fen ist. Daher müs­sen nach Auf­fas­sung des Gerichts bei­spiels­wei­se auf ein und dem­sel­ben Doku­ment die nicht unter die Auf­be­wah­rungs­pflicht fal­len­den Daten gelöscht wer­den, wäh­rend die ande­ren Daten auf­be­wahrt wer­den müssen. 

4. Fest­le­gung der Ver­ant­wort­lich­kei­ten im Löschprozess

Hier bie­tet sich ein Rollen- und Rech­te­kon­zept an, um in einem orga­ni­sa­to­ri­schen Pro­zess zu defi­nie­ren, wel­che Per­son jeweils für die Prü­fung, Anord­nung und Durch­füh­rung des Löschens zustän­dig ist.

5.  Tech­ni­sche Umset­zung des Löschkonzepts

Die tech­ni­sche Umset­zung beein­flusst das Lösch­kon­zept. Denn ein regel­mä­ßi­ges Löschen erlaubt eine Clus­te­rung von Lösch­pro­zes­sen. Soweit Lösch­pro­zes­se nicht sinn­voll stich­tag­ge­nau aus­ge­führt wer­den kön­nen, muss eru­iert wer­den, inwie­weit hier Spiel­räu­me bestehen. Auch Back-ups müs­sen in die tech­ni­sche Umset­zung des Lösch­kon­zepts mit ein­be­zo­gen werden.

Anfor­de­run­gen an das Löschen selbst

Zu guter Letzt stellt sich die Fra­ge, wann Daten im Sin­ne der DSGVO „gelöscht“ sind. Der Begriff des Löschens ist in der DSGVO selbst näm­lich nicht defi­niert. Aus recht­li­cher Sicht ist das Löschen jedoch das „dau­er­haf­te Unkennt­lich­ma­chen von gespei­cher­ten per­so­nen­be­zo­ge­nen Daten mit­tels geeig­ne­ter Pro­zes­se“. Wich­tig ist in die­sem Zusam­men­hang, dass es nach einer sol­chen Unkennt­lich­ma­chung nie­man­dem mehr ohne unver­hält­nis­mä­ßi­gen Auf­wand mög­lich ist, die jewei­li­ge Infor­ma­ti­on wie­der­her­zu­stel­len, und dass das zur Löschung ein­ge­setz­te Ver­fah­ren irrever­si­bel ist.

Fazit

Das ord­nungs­ge­mä­ße und regel­mä­ßi­ge Löschen von Daten gehört wie das recht­mä­ßi­ge Erfas­sen und Spei­chern von Daten zu einer geset­zes­kon­for­men Daten­ver­ar­bei­tung dazu. Gera­de die in Art. 5 DSGVO fest­ge­leg­ten Grund­sät­ze der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten wie die Zweck­bin­dung, die Daten­mi­ni­mie­rung und die Spei­cher­be­gren­zung machen das Löschen nicht (mehr) benö­tig­ter Daten zu einer Kern­pflicht des Ver­ant­wort­li­chen. Um nicht in das Visier der Daten­schutz­auf­sichts­be­hör­den zu gera­ten, soll­ten Unter­neh­men daher ein indi­vi­du­ell auf ihre Ver­ar­bei­tungs­vor­gän­ge zuge­schnit­te­nes Lösch­kon­zept erar­bei­ten und in die Pro­zes­se einbinden.

reusch­law One­pager zum Download

reuschlaw Onepager Löschkonzepte

reusch­law One­pager Löschkonzepte

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.