Die Datenschutz-Grundverordnung (DSGVO) knüpft die Verarbeitung personenbezogener Daten an strenge Vorgaben. In der Regel werden diese Vorgaben vor allem mit der Erhebung und der Speicherung von personenbezogenen Daten in Verbindung gebracht. Dass sie jedoch auch für das Löschen von Altdaten gelten und sogar dazu verpflichten, wird oft übersehen und in der Unternehmenspraxis immer noch stiefmütterlich behandelt. Dabei ist auch das Sperren und Löschen von personenbezogenen Daten Gegenstand der Prüfungen und Beanstandungen von Aufsichtsbehörden und kann im Falle von Verstößen zu erheblichen Bußgeldern führen, wie beispielsweise Bußgelder der französischen Datenschutzaufsichtsbehörde CNIL in Höhe von 400.000 Euro oder der dänischen Datenschutzaufsichtsbehörde in Höhe von 160.000 Euro belegen. Aufgrund gleichzeitig bestehender gesetzlicher Aufbewahrungsfristen und der Strafbarkeit des rechtswidrigen Löschens von Daten ist das ordnungsgemäße Löschen von Daten für viele Unternehmen eine äußerst komplexe Angelegenheit. Umso wichtiger ist daher die Ausarbeitung eines auf das Unternehmen zugeschnittenen Löschkonzepts, um die Anforderungen an das regelmäßige Löschen von Daten DSGVO-konform zu bewältigen.
Was ist ein Löschkonzept?
Die Pflicht, personenbezogene Daten nicht über die Erreichung des Zwecks hinaus zu speichern, folgt aus der Zusammenschau des Grundsatzes der Speicherbegrenzung in Art. 5 Abs. 1 lit. e) DSGVO sowie der Zweckbindung der Verarbeitung in Art. 5 Abs. 1 lit. b) DSGVO. Personenbezogene Daten sollen nur so lange aufbewahrt werden, wie dies zur Erreichung des jeweiligen Zwecks der Verarbeitung erforderlich ist. Um dies zu gewährleisten, müssen die gespeicherten Daten regelmäßig auf ihre weitere Erforderlichkeit zur Zweckerreichung überprüft und gegebenenfalls gelöscht werden.
Ein Löschkonzept legt dabei die Regeln für die regelmäßige Löschung von personenbezogenen Daten durch den Verantwortlichen fest. Dabei ist zu berücksichtigen, dass das Löschkonzept so individuell wie das jeweilige Unternehmen ist, da bereits kleine Abweichungen in der Verarbeitung zu anderen Löschfristen führen können. Für die Erstellung eines Löschkonzepts ist daher eine genaue Analyse der jeweiligen Verarbeitungsvorgänge und der Kategorien verarbeiteter personenbezogener Daten essenziell.
Schritte zur Erarbeitung eines Löschkonzepts
Trotz der gebotenen individuellen Vorgehensweise bei der Erstellung lassen sich einige Schritte aufzählen, die bei der Ausarbeitung eines jeden Löschkonzepts relevant sind:
1. Identifizierung der zu löschenden personenbezogenen Daten
Hierzu sollten zunächst sogenannte „Datenarten“, wie z.B. Personalstammdaten oder Vertragsdaten, herausgefiltert werden. Dabei kann sich am Zweck der Datenverarbeitung orientiert werden. Diesen Datenarten werden sodann „Datenobjekte“ wie am Beispiel der Personalstammdaten: die Personalnummer, der Vor- und Nachname, das Geburtsdatum etc. zugeordnet.
2. Identifizierung der datenhaltenden IT-Systeme und der Datenflüsse zwischen den Systemen
Um sinnvoll und ohne Schaden für das Unternehmen personenbezogene Daten zu löschen, sind beide Schritte essenziell. Denn nur wenn das Unternehmen weiß, wo die Daten liegen, welche Systeme die Daten verwenden und welche Interdependenzen bestehen, kann verlässlich gelöscht werden.
3. Festlegung von Parametern für die jeweiligen Löschfristen
Dies stellt ein Kernelement bei der Erstellung eines Löschkonzeptes dar. Zu berücksichtigen sind hier neben dem Erhebungszweck und gegebenenfalls alternativen Zwecken insbesondere gesetzliche Aufbewahrungspflichten wie § 147 der Abgabenordnung (AO) und § 257 HGB sowie Aufbewahrungsrechte (Verjährungsfristen für Ansprüche aus Gewährleistung, Maßnahmen zur IT-Sicherheit wie Back-ups etc.). Dabei ist es wichtig, die richtige Granularität zu finden. Hier sollte nicht in einem zu groben Raster vorgegangen werden, denn die Löschpflicht bezieht sich immer auf das konkrete Datum. Entsprechend hat kürzlich das OLG Dresden entschieden: In seinem Urteil vom 14.12.2021 stellt das Gericht klar, dass im Rahmen der Aufbewahrungspflichten nicht an das Dokument an sich (mit allen dort enthaltenen Daten), sondern individuell an die jeweiligen Daten anzuknüpfen ist. Daher müssen nach Auffassung des Gerichts beispielsweise auf ein und demselben Dokument die nicht unter die Aufbewahrungspflicht fallenden Daten gelöscht werden, während die anderen Daten aufbewahrt werden müssen.
4. Festlegung der Verantwortlichkeiten im Löschprozess
Hier bietet sich ein Rollen- und Rechtekonzept an, um in einem organisatorischen Prozess zu definieren, welche Person jeweils für die Prüfung, Anordnung und Durchführung des Löschens zuständig ist.
5. Technische Umsetzung des Löschkonzepts
Die technische Umsetzung beeinflusst das Löschkonzept. Denn ein regelmäßiges Löschen erlaubt eine Clusterung von Löschprozessen. Soweit Löschprozesse nicht sinnvoll stichtaggenau ausgeführt werden können, muss eruiert werden, inwieweit hier Spielräume bestehen. Auch Back-ups müssen in die technische Umsetzung des Löschkonzepts mit einbezogen werden.
Anforderungen an das Löschen selbst
Zu guter Letzt stellt sich die Frage, wann Daten im Sinne der DSGVO „gelöscht“ sind. Der Begriff des Löschens ist in der DSGVO selbst nämlich nicht definiert. Aus rechtlicher Sicht ist das Löschen jedoch das „dauerhafte Unkenntlichmachen von gespeicherten personenbezogenen Daten mittels geeigneter Prozesse“. Wichtig ist in diesem Zusammenhang, dass es nach einer solchen Unkenntlichmachung niemandem mehr ohne unverhältnismäßigen Aufwand möglich ist, die jeweilige Information wiederherzustellen, und dass das zur Löschung eingesetzte Verfahren irreversibel ist.
Fazit
Das ordnungsgemäße und regelmäßige Löschen von Daten gehört wie das rechtmäßige Erfassen und Speichern von Daten zu einer gesetzeskonformen Datenverarbeitung dazu. Gerade die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten wie die Zweckbindung, die Datenminimierung und die Speicherbegrenzung machen das Löschen nicht (mehr) benötigter Daten zu einer Kernpflicht des Verantwortlichen. Um nicht in das Visier der Datenschutzaufsichtsbehörden zu geraten, sollten Unternehmen daher ein individuell auf ihre Verarbeitungsvorgänge zugeschnittenes Löschkonzept erarbeiten und in die Prozesse einbinden.