Die Pflicht zu löschen: EU-Datenschutzgrundverordnung zwingt Unternehmen umfangreiche Löschpflichten auf
@istock.com/Chunumunu Posted on von Cloud Computing | Sicherheit

Die Pflicht zu löschen: EU-Datenschutzgrundverordnung zwingt Unternehmen umfangreiche Löschpflichten auf

Die Datenschutzgrundverordnung verankert ein umfassendes Recht auf Löschung persönlicher Daten in der EU. Solche Vorschriften stehen schon im Bundesdatenschutzgesetz. Neu ist das „Recht auf Vergessenwerden“: Nicht mehr benötigte Personendaten sind künftig unverzüglich zu löschen. Ein Überblick.

Unter diesen Bedingungen müssen personenbezogene Daten gelöscht werden

Nach Artikel 17 Absatz 1 Datenschutzgrundverordnung (DSVGO) sind personenbezogene Daten künftig unverzüglich zu löschen, wenn

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
  • die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist oder,
  • die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft , d.h. Internetangebote wie Medien, Webshops oder Online-Spiele erhoben wurden.

Liegt nur eine dieser Voraussetzungen vor, kann der oder die Betroffenene verlangen, dass ihre persönlichen Daten unverzüglich, d.h. ohne „schuldhaftes Zögern“, gelöscht werden. Danach darf keine Möglichkeit mehr bestehen, die Daten ohne unverhältnismäßigen Aufwand noch einmal zu verwerten.

Das „Recht auf Vergessen werden“ im engeren Sinn findet sich in Art. 17 Abs. 2 DSGVO und ist eine Folge der Löschpflicht des Verantwortlichen aus Art. 17 Abs. 1, also etwa eines Unternehmens, das Daten von Interessenten, Kunden oder auch Mitarbeitern speichert. Dieses Recht auf Vergessen werden greift dann, wenn dieses Unternehmen die zu löschenden personenbezogenen Daten öffentlich gemacht hat. Auf Verlangen des Betroffenen muss es dann auch dritte Parteien, die die Daten weiterarbeiten –  wie z.B. ein Anbieter von Cloud-Services – über das Löschverlangen informieren, unter „unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten“.

Ausnahmen von der Löschungspflicht

Es gibt allerdings auch Ausnahmen von der Löschungspflicht. Nach Art. 17 Abs. 3 DSGVO gilt diese nicht, soweit die Verarbeitung der personenbezogenen Daten erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben
  • aus Gründen des öffentlichen Interesses
  • für im öffentlichen Interesse liegende Archivzwecke, Forschungszwecke oder statistische  Zwecke
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Für Unternehmen der relevanteste Fall ist, wenn der eigentlichen Löschungspflicht eine rechtliche Verpflichtung – insbesondere eine gesetzliche Aufbewahrungsfrist – entgegensteht. Aufbewahrungsfristen können sich z.B.  aus § 257 HGB oder 147 AO ergeben. Daher stehen Unternehmen, die sich mit der Thematik „Löschung personenbezogener Daten“ beschäftigen, stets vor der Frage, welche Daten wie lange aufzubewahren sind und wie dieses eindeutig festgelegt werden kann.

Hier empfiehlt sich für jedes Unternehmen, ein sog. „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 b) DSGVO nachzukommen.

Auch das erste deutsche Urteil zur DSGVO, erstritten durch die Kanzlei SKW Schwarz, verdeutlicht, welchen Stellenwert in Zukunft ein solches Löschkonzept hat (Urteil des VG Karlsruhe vom 06.07.2017, Az. 10 K 7698/16). Es wurde in den Urteilsgründen mehrfach betont, dass Unternehmen eine umfassende Dokumentation zum Thema Datenlöschung vorliegen und umgesetzt haben müssen. Fehlt es an einem solchen Löschkonzept, so ist mit behördlichen Konsequenzen zu rechnen.

Was ist ein Löschkonzept

Im Datenschutz gilt der Grundsatz, dass man Daten nicht unbegrenzt speichern darf.

Folgerichtig wären Daten sofort zu löschen, wenn sie aktuell nicht mehr benötigt werden. Wie bereits dargestellt, setzen wiederum z.B. gesetzliche Aufbewahrungspflichten  datenschutzrechtliche Löschpflichten aus. Angesichts der Komplexität der gesetzlichen Vorgaben zum Thema Datenschutz und Löschen von Daten sollte jedes Unternehmen regeln, welche unterschiedlichen Daten es im Unternehmen gibt und wie lange diese zu speichern bzw. ab wann diese zu löschen sind.

Elemente eines Löschkonzepts

In einem Löschkonzept stellt das Unternehmen dar, wie es der Aufgabe nachkommt, personenbezogene Daten zu löschen. Dies kann eine regelrechte „Herkulesaufgabe“ darstellen für Unternehmen, die erstmalig Löschkonzepte anfertigen und auf teilweise mehrere Jahrzehnte gewachsene Datenbestände anwenden müssen.

Das Löschkonzept und die Datenbankstrukturen des Unternehmens müssen weitestgehend synchronisiert werden. Die Datensätze sollten daher zunächst  nach Datenarten unterteilt werden. Beispiele für Datenarten sind:

  • Buchhaltungsdaten
  • Kundenstammdaten
  • E-Mails
  • Protokolle etc.

In einem nächsten Schritt müssen sog. Löschklassen gebildet werden.

Dazu sind zunächst in einer – häufig sehr aufwendigen – Prozessanalyse die Löschfristen für die unterschiedlichen Datenarten zu ermitteln (Rechtsvorschriften, vertragliche Festlegung etc.). Hierbei ergeben sich in der Regel viele unterschiedliche Löschfristen, so dass es sich aus Gründen der Vereinfachung empfiehlt, Standardlöschfristen zu verwenden. Als Standardlöschfristen eignen sich diejenigen Regellöschfristen, die das Gesetz bereits vorgibt, wie z.B. Verjährungs- oder Aufbewahrungsfristen.

Typische Standardlöschfristen können sein:

  • „Sofort“
  • 42 Tage (wenn die Prozessanalyse z.B. ergeben hat, dass Protokolldateien 4 Wochen aufbewahrt werden plus 2 Wochen für eine eventuelle Auswertung)
  • 4 Jahre (die sich aus dem BGB ergebende 3-jährige Verjährungsfrist, die mit Schluss des Kalenderjahres beginnt)
  • 7 Jahre und
  • 11 Jahre (steuer- und handelsrechtliche Aufbewahrungspflichten von 6 bzw. 10 Jahren, beginnend ab Ende des Kalenderjahres).

Da eine Löschfrist alleine noch keinen Termin für die Löschung festlegt, muss ein Startzeitpunkt für den Fristbeginn durch ein geeignetes Datum bestimmt werden, d.h. die Laufzeiten der Löschfristen müssen festgelegt werden. Hierfür eignen sich abstrakte Zeitpunkte wie ab Erhebung der Daten, am Ende des Vorgangs bzw. der Kundenbeziehung.

Unter Verwendung dieser drei Parameter Datenarten, Standardlöschfrist und Startzeitpunkt können dann z.B. in einer Matrix die sog. Löschklassen aufgespannt werden. Hieraus können dann die jeweiligen Löschregeln für die Datensätze entwickelt werden.

Eine gute Ergänzung bei der Erstellung eines Löschkonzeptes ist erfahrungsgemäß die DIN 66398, eine Leitlinie zur Entwicklung eines Löschkonzeptes. Sie enthält Vorschläge zum Aufbau eines Löschkonzeptes und empfiehlt eine Vorgehensweise, nach der Regeln zum Löschen von personenbezogenen Daten abgeleitet werden können.

Dokumentation / Verantwortlichkeiten regeln

Während des Projekts zur Erstellung eines Löschkonzepts sollte jeder Schritt dokumentiert werden, d.h. die Standardlöschfristen, die Löschklassen sowie die Zuordnung der Datenarten mitsamt den Löschfristen sollten erläutert und festgehalten werden. Dies ist insbesondere im Hinblick auf die Rechenschaftspflicht und die damit verbundenen Nachweispflichten notwendig.

Löschen ist überdies eine Regelaufgabe für verantwortliche Stellen / Unternehmen. Auch wenn das Löschkonzept in einem initialen Projekt aufgebaut wird, muss es danach gepflegt und weiterentwickelt werden.

Fazit und Handlungsempfehlungen

Die DSGVO hat die Löschpflichten im Datenschutz noch erweitert. Ein Löschkonzept ist ab dem 25. Mai 2018 für jedes Unternehmen unabdingbar, um dem Grundsatz der Datenminimierung aus Art. 5 Abs.1 c) nachzukommen und den Nachweis hierfür erbringen zu können. Es ist daher höchste Zeit, dass sich die jeweiligen Fachabteilungen eines Unternehmens wie  Rechtsabteilung, IT-Abteilung und Datenschutz zusammen setzen und ein Löschkonzept erarbeiten bzw. ein bestehendes Konzept unter die Lupe nehmen – nicht nur zur Vorbereitung auf die DSGVO, sondern auch, um bestehendes Datenschutzrecht einzuhalten. Es empfiehlt sich ein methodisches Vorgehen, das sich nach den oben dargestellten Schritten richtet sowie klare Regeln vorgibt und nachvollziehbare Rollen und Verantwortlichkeiten zuweist.

Der Autor

Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg. Als Mitglied des Fachbereiches IT & Digital Business vermittelt er Fachwissen über Technologieprojekte, digitale Medienprodukte und soziale Netzwerke und unterstützt die Mandanten beim wirksamen Einsatz dieser Themen in der Praxis. Dr. Wulf ist zugleich Geschäftsführer der SCHLUTIUS Data Privacy & Compliance GmbH, die spezialisierte Beratung zum Datenschutz bietet und für ihre Kunden externe Datenschutzbeauftragte stellt.

 

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.