NWB Nr. 27 vom Seite 2012

Auch das Löschen von Daten will gelernt sein!

Die Etablierung eines datenschutzkonformen Löschkonzepts sorgt für Sicherheit

Jonas Puchelt *

Daten sind unmittelbare Wertfaktoren. Daher gelten sie auch als „Gold unserer Zeit“. Die Erhebung, Kategorisierung und Verknüpfung von Daten bilden die Basis des Erfolgs einiger der größten Unternehmen der Welt und sind für den Markt wichtiger denn je. Aus diesem Grund erfolgte die Löschung von Daten in der Vergangenheit allenfalls, wenn die Speicherplatz-Begrenzung des unternehmenseigenen Servers zur faktischen Korrektur zwang. [i]Karg, NWB 9/2020 S. 654 Es erscheint daher ambivalent, dass gerade jetzt, wo die Wichtigkeit von Daten besonders hoch einzustufen ist und die Begrenzung von Speicherplatz durch riesige lokale Speichermedien oder nahezu unbegrenzte Speichermöglichkeiten in der Cloud keine Rolle mehr spielt, das Thema Löschung von Daten zunehmend an Relevanz gewinnt. In diesem Zusammenhang ist eine Datenkategorie seit mehreren Jahren besonders in den öffentlichen Fokus gerückt – das personenbezogene Datum.

Eine Kurzfassung des Beitrags finden Sie .

I. Das personenbezogene Datum im öffentlichen Fokus

[i]Verstoß gegen Löschpflicht nach DSGVO bußgeldbewehrtGrund dafür, dass personenbezogene Daten (im Folgenden: Daten) besonders in den öffentlichen Fokus gerückt sind, ist die Einführung eines Bußgeldtatbestands für Verstöße gegen die Pflicht zur rechtskonformen Löschung personenbezogener Daten (Art. 83 Abs. 5b i. V. mit Art. 17 Datenschutz-GrundverordnungDSGVO). Vor der Anwendbarkeit der DSGVO sah das „alte“ Datenschutzrecht zwar eine Pflicht zur Löschung von Daten vor, sanktionierte Verstöße allerdings nicht.

[i]Keine Leitlinien für ein LöschkonzeptUmso mehr verwundert es dann aber, dass weder der europäische Gesetzgeber noch die nationalen Aufsichtsbehörden – nachdem die DSGVO im Mai 2018 Gültigkeit erlangte – Leitlinien zur Etablierung eines Löschkonzepts erstellt haben. In der Beratungspraxis gibt es eine Vielzahl rechtlicher Fragestellungen bei der Ausarbeitung von Datenschutz-Löschkonzepten, die im Rahmen dieses Beitrags punktuell beleuchtet werden. Es geht um Basiswissen über den Inhalt und einen grundlegenden Leitfaden zur praktischen Umsetzung eines Löschkonzepts.

Hinweis:

[i]Hamminger, NWB 5/2020 S. 344Die Praxisrelevanz der Löschpflicht ist spätestens seit Ende letzten Jahres, als die Berliner Datenschutzbeauftragte ein Bußgeld i. H. von 14,5 Mio. € gegen die Deutsche Wohnen SE aufgrund von Verstößen gegen die Löschpflicht verhängte ( PM v. ), nicht mehr von der Hand zu weisen.

Der nachfolgende Beitrag soll daher dem interessierten Leser bei der Entwicklung und Implementierung eines Löschkonzepts unter die Arme greifen.S. 2013

II. Ein passgenaues Löschkonzept für jedes Unternehmen

Löschen i. S. der DSGVO meint die (faktische) Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen (Kühling/Buchner/Herbst, 2. Aufl. 2018, DS-GVO Art. 17 Rz. 37).

[i]Daten im PapierkorbEin Druck auf der Tastatur des Computers, „Drag and Drop“ per Maus über den Papierkorb oder zwei Sekunden Fingerzeig auf dem Bildschirm eines Smartphones wird diesen Anforderungen regelmäßig nicht gerecht. Denn häufig bleiben „gelöschte“ Daten zunächst weiter im Papierkorb (zwischen-)gespeichert und werden – je nach Einstellung – erst nach dem Ablauf einer zuvor definierten Zeit oder sogar erst mit (aktivem) Leeren des Papierkorbs durch den Anwender so gelöscht, dass sie nicht mehr ohne Weiteres wiederherstellbar sind. Doch auch dann existieren unzählige Tools, die das Wiederherstellen von auf diese Weise gelöschten Daten ermöglichen.

1. Rechtliche Grundlagen

[i]SpeicherbegrenzungEine ausdrückliche Verpflichtung zur Entwicklung und Implementierung eines Löschkonzepts ist der DSGVO nicht zu entnehmen. Das Gesetz spricht lediglich vom Grundsatz der Speicherbegrenzung (vgl. Art. 5 Abs. 1 lit. e DSGVO). Personenbezogene Daten müssen danach in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

[i]RechenschaftspflichtDer datenschutzrechtlich Verantwortliche ist allerdings nicht nur für die Einhaltung des Grundsatzes der Speicherbegrenzung (u. a.) verantwortlich; er muss dessen Einhaltung auch nachweisen können (Art. 5 Abs. 2 DSGVO). Mit dieser Rechenschaftspflicht erleichtert der europäische Gesetzgeber dem von einer Datenverarbeitung Betroffenen die Durchsetzung seiner Rechtsposition(en).

Hinweis:

Seit Geltung der DSGVO muss nicht mehr der Betroffene einen Verstoß, sondern der Verantwortliche nachweisen, dass er rechtskonform handelt (sog. Datenschutz-Compliance). Diese Anpassung hat eine große praktische Bedeutung, denn die überzeugende Darlegung und der erfolgreiche Beweis von Tatsachen können schwierig sein.

Vereinfacht gesagt bedeutet Rechenschaftspflicht, dass derjenige, der in einem geschäftlichen Kontext personenbezogene Daten verarbeitet, die damit einhergehenden datenschutzrechtlichen Pflichten (hier: zur Löschung) nachweisbar einhalten muss.

Hinweis:

In Zweifelsfällen können also auch Unternehmen, die die Löschpflicht zwar einhalten, einen Nachweis hierfür aber nicht erbringen können, sanktioniert werden.

2. Datenschutz-Compliance – Grundannahmen

Die eigene Datenschutz-Compliance ist für viele Unternehmer deshalb mittlerweile zu Recht ein wichtiges Thema.

[i]ErlaubnistatbeständeAusgangspunkt für deren Umsetzung ist eine wichtige Grundannahme des Datenschutzrechts, die als „Verbot mit Erlaubnisvorbehalt“ bezeichnet wird. Denn nach der DSGVO ist jede Verarbeitung rechtswidrig und damit unzulässig, wenn nicht ein gesetzlicher Erlaubnistatbestand vorliegt. Diese Erlaubnistatbestände sind insbesondere in Art. 6 und 9 DSGVO, aber bspw. speziell für die Verarbeitung von Arbeitnehmerdaten auch in § 26 Bundesdatenschutzgesetz (BDSG) normiert. S. 2014

Beispiel 1:

Als Steuerberater/in dürfen Sie die Daten eines Mandanten (Name, Anschrift, Kontodaten usw.) zur Abwicklung des Mandatsverhältnisses verarbeiten (Art. 6 Abs. 1 lit. b DSGVO) und das Nutzerverhalten auf Ihrer Kanzleiwebsite analysieren, wenn Sie ein sog. berechtigtes Interesse an der Auswertung begründen können (Art. 6 Abs. 1 lit. f DSGVO), was regelmäßig möglich ist.

[i]ZweckbindungsgrundsatzDieses Prinzip der Rechtmäßigkeit von Datenverarbeitungen wird von dem sog. Zweckbindungsgrundsatz flankiert, der sicherstellen soll, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Eine Zweckänderung ist nur möglich, wenn dafür entweder ein weiterer gesetzlicher Erlaubnistatbestand vorliegt oder der Betroffene in die Zweckänderung eingewilligt hat.

Beispiel 2:

Sie dürfen die Daten eines Mandanten (Name, Anschrift, Handynummer usw.), die Sie zur Abwicklung des Mandatsverhältnisses zulässig erhoben haben (vgl. Art. 6 Abs. 1 lit. b DSGVO), [i]Günther, NWB 22/2020 S. 1635nicht ohne Weiteres auch zur Zusendung von Werbung oder der Analyse der Kundenzufriedenheit verarbeiten. Sie müssen in diesen Fällen vielmehr prüfen, ob Sie sich in Bezug auf die neuen Verarbeitungszwecke auf einen anderen Erlaubnistatbestand stützen können oder die Einwilligung des Betroffenen einholen.

Wenn personenbezogene Daten in einem geschäftlichen Kontext demnach nur rechtmäßig und zu einem konkreten Zweck verarbeitet werden dürfen, stellt sich in weiterer Konsequenz die Frage, wann die Erlaubnisgrundlage wegfällt und was dann passiert. Mit anderen Worten: Wann darf ein personenbezogenes Datum nicht mehr verarbeitet werden und ist es dann zu löschen?

3. Datenschutz-Compliance durch Datenlöschung

[i]Lebenszyklus von DatenAus den dargestellten Erwägungen folgt denknotwendig, dass personenbezogene Daten einer Art Lebenszyklus unterliegen. Die Information wird erhoben, gespeichert und genutzt, solange der Erlaubnistatbestand in Verbindung mit dem Verarbeitungszweck dies zulassen. Anschließend ist das Datum zu löschen.

[i]Bestimmung eines Löschzeitpunkts notwendigDer von vielen Unternehmern in der Vergangenheit gewählte Ansatz, wonach jeder Kontakt in der von Unternehmen genutzten digitalen Datenmanagement-Lösung (z. B. ERP – Enterprise-Resource-Planning oder CRM – Customer-Relationship-Management) dauerhaft dort gespeichert bleibt, bedarf daher spätestens seit Mai 2018 einer grundlegenden Anpassung. Die zulässige Verarbeitung jeder personenbezogenen Information ist zeitlich beschränkt und deshalb ist es erforderlich, den notwendigen Zeitpunkt für die Löschung zu bestimmen.

[i]Rechtskonforme Löschung durch systematisches VorgehenDamit der Aufwand beherrschbar bleibt und im Falle einer Überprüfung durch die Aufsichtsbehörde auch nachgewiesen werden kann, dass die rechtskonforme Löschung personenbezogener Daten sinnvoll umgesetzt wurde, bietet es sich an, systematisch vorzugehen – durch Etablierung eines Löschkonzepts.

[i]Einhaltung des Kriteriums „unverzüglich“Die Systematisierung von Datenlöschungen ist aber auch aus anderen Gründen durchaus sinnvoll. Denn müssen Daten gelöscht werden, hat dies unverzüglich zu geschehen (Art. 17 DSGVO). Die Einhaltung des Kriteriums „unverzüglich“ kann ohne Vorbereitung insbesondere bei der Nutzung einer digitalen Datenmanagement-Lösung zu Schwierigkeiten führen und dadurch Zeitverzug verursachen. Der Einwand, das genutzte System sei zu komplex für unverzügliche Datenlöschungen, dürfte nach knapp zwei Jahren geltender DSGVO nur schwerlich ein tragfähiges Argument gegenüber einer Aufsichtsbehörde bilden. S. 2015

[i]Konzept erleichtert die Arbeit erheblichVerantwortliche sollten die systematische Löschung von Daten aber nicht nur als notwendiges Übel betrachten. Denn ein einmal erstelltes und korrekt implementiertes Löschkonzept kann sogar eine erhebliche Arbeitserleichterung sein. So kann z. B. die Speicherdauer von Informationen im Fall einer Betroffenenanfrage (vgl. Art. 15 Abs. 1 lit. d DSGVO) anhand des Löschkonzepts beauskunftet werden. Je nach Grad der Implementierung des Systems und der technischen Gegebenheiten vor Ort können Betroffenenanfragen und Datenlöschungen u. U. sogar vollständig automatisiert werden.

Hinweis:

[i]Zum digitalen Nachlass Singer, NWB 34/2018 S. 2495Facebook hat das Beauskunften von Betroffenenanfragen automatisiert. Sie erhalten alle zu Ihrem Account gespeicherten personenbezogenen Daten binnen kurzer Zeit – probieren Sie es aus.

III. Aufbau und Inhalt eines Löschkonzepts

Bevor ein Konzept zur Löschung von Daten erstellt wird, ist zunächst der Status quo der Datenverarbeitungen bei dem Verantwortlichen zu untersuchen und zu dokumentieren, bspw. indem Daten und Löschzeitpunkte kategorisiert und anschließend einander zugeordnet werden.

1. Feststellung des Status quo der Datenverarbeitung

[i]Verzeichnis von VerarbeitungstätigkeitenErster Anknüpfungspunkt ist das Verzeichnis von Verarbeitungstätigkeiten, zu dessen Führung jeder Verantwortliche verpflichtet ist (Art. 30 DSGVO). Ein solches Verzeichnis sollte ein Verantwortlicher zwei Jahre nach Wirksamkeit der Verordnung vollständig und in vorzeigbarer Form führen. Wenn nicht, besteht dringender Handlungsbedarf. Denn kommt es zu einer Überprüfung durch die Aufsichtsbehörde, drohen Sanktionen.

[i]Im Verarbeitungsverzeichnis hinterlegte LöschfristenIm Verarbeitungsverzeichnis sind „wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien“ anzugeben (Art. 30 Abs. 1 Satz 2 lit. f DSGVO). Es lässt sich dem Verarbeitungsverzeichnis demnach nicht nur entnehmen, welche Datenkategorien in welcher Art und Weise zu welchem Zweck verarbeitet werden, sondern auch, wann sie i. d. R. gelöscht werden müssen. Die im Verarbeitungsverzeichnis hinterlegten Löschfristen sollten allerdings nicht ungeprüft übernommen oder ausgeführt werden. Vielmehr ist es erforderlich, sich mit den im konkreten Fall anwendbaren Rechtsgrundlagen zur Löschung von Daten auseinanderzusetzen.

[i]Ermittlung der abzubildenden LöschzeitpunkteDie Ermittlung der abzubildenden Löschzeitpunkte ist der erste Schritt in Richtung Löschkonzept. Der zur Ermittlung dieser Zeitpunkte anzulegende Maßstab ergibt sich aus dem Zusammenspiel zwischen Aufbewahrungs- und Löschpflichten sowie Aufbewahrungsrechten.

Praxistipp:

Die Qualität des entwickelten Löschkonzepts steht und fällt mit den Annahmen, auf denen es beruht. Deshalb ist die vollständige und gewissenhafte Identifizierung der anwendbaren Aufbewahrungs- und Löschpflichten sowie der zu berücksichtigenden Aufbewahrungsrechte von wesentlicher Bedeutung. Im Fall von Unsicherheiten ist die Hinzuziehung externer Experten bei diesem Prüfungsschritt empfehlenswert.

2. Löschpflichten

[i]Art. 17 DSGVO als LeitlinieArt. 17 DSGVO beschreibt, in welchen Fällen der Verantwortliche Daten löschen muss. Die Gründe für eine Löschung sind dort enumerativ aufgeführt und daher relativ simpel zu überblicken. Der Artikel bildet somit einen guten Ausgangspunkt für die Ermittlung des Zeitpunkts, zu dem eine Löschung erstmals relevant wird. S. 2016

[i]Art. 17 DSGVO enthält auch für ein Konzept ungeeignete RegelungenEin Löschkonzept als solches kann allerdings nur funktionieren, wenn es generelle Regelungen zur systematischen Datenlöschung statuiert. Es muss die Löschzeitpunkte losgelöst vom Einzelfall festlegen. Daher sind nicht alle in Art. 17 DSGVO aufgeführten Löschgründe zur Abbildung in einem Löschkonzept geeignet. Denn teilweise beziehen sie sich auf Einzelfallentscheidungen.

Beispiel 3:

Soweit Daten zu löschen sind, deren Verarbeitung „unrechtmäßig“ erfolgt (vgl. Art. 17 Abs. 1 lit. d DSGVO), bedarf die Beantwortung der Frage nach der „Unrechtmäßigkeit“ einer Überprüfung der konkreten Gegebenheiten – mithin einer Einzelfallentscheidung. Diese kann nicht sinnvoll in einem Konzept „generalisiert“ werden.

a) Zweckfortfall

[i]Steht im Zusammenhang mit dem ZweckbindungsgrundsatzIm Wesentlichen eignet sich der sog. Zweckfortfall (Art. 17 Abs. 1 lit. a DSGVO) zur Abbildung in einem Löschkonzept. Nach lit. a sind Daten zu löschen, wenn eine weitere Verarbeitung zu dem Zweck, zu welchem sie erhoben wurden, nicht mehr erforderlich ist (sog. Zweckbindungsgrundsatz; s. dazu bereits II, 2).

Beispiel 4:

In der Steuerkanzlei K wurden zur Abwicklung des Mandatsverhältnisses mit M Mandantendaten erhoben und verarbeitet (Art. 6 Abs. 1 lit. b DSGVO). M wird zwischenzeitlich nicht mehr betreut, so dass seine Daten zur Abwicklung des Mandatsverhältnisses nicht mehr benötigt werden. Das Löschkonzept sieht deshalb die Löschung der Daten nach einem festgelegten Zeitraum vor.

[i]Vorab Zuordnung von VerarbeitungszweckenDie Systematisierung der Datenlöschung für den Anwendungsfall „Zweckfortfall“ ist allerdings davon abhängig, dass allen Datenverarbeitungen vorab Verarbeitungszwecke zugeordnet wurden. Denn ohne die Festlegung des Verarbeitungszwecks kann dessen Fortfall nicht beurteilt werden. An dieser Stelle verringert ein Rückgriff auf das Verarbeitungsverzeichnis den erforderlichen Aufwand enorm – aus dem Verarbeitungsverzeichnis können die erforderlichen Zwecksetzungen übernommen werden.

Hinweis:

Hat man sich im Zuge der Erstellung des Verarbeitungsverzeichnisses nicht mit der präzisen Zuordnung von Verarbeitungszwecken auseinandergesetzt, besteht Nachholbedarf. Die Erfassung und Zuordnung von Verarbeitungszwecken sind wichtige Bestandteile der internen Datenschutz-Compliance.

b) Löschpflichten aus anderen Gesetzen

[i]Aber auch Anordnung längerer Aufbewahrung durch SpezialgesetzeEbenfalls sinnvoll zu systematisieren sind Löschungen im Zusammenhang mit Löschpflichten, die sich aus anderen Gesetzen ergeben (Art. 17 Abs. 1 lit. e DSGVO). Hier können spezialgesetzliche Regelungen wie bspw. § 113b Abs. 8 Telekommunikationsgesetz einschlägig sein, der für bestimmte Verkehrsdaten eigene Löschfristen vorsieht. Manchmal statuieren spezialgesetzliche Regelungen allerdings keine Pflichten zur Löschung von Daten, sondern verpflichten den Verantwortlichen sogar zu einer zeitlich über die Löschpflicht hinausgehenden Aufbewahrung von Daten.

3. Aufbewahrungspflichten

Aufbewahrungspflichten müssen bei der Erstellung eines Löschkonzepts ebenfalls berücksichtigt werden, da sie auf die Festlegung des Löschzeitpunkts gleichermaßen Auswirkungen haben wie Löschpflichten.S. 2017

Erläuterung:

Zu nennen sind hier etwa handels- und steuerrechtliche Aufbewahrungspflichten (§ 147 AO und § 257 HGB), die Aufbewahrung von Lohnkonten (§ 41 Abs. 1 Satz 9 EStG), die Aufbewahrung von Entgeltunterlagen (§28f Abs. 1 Satz 1, § 28 SGB IV) oder die Aufbewahrung bestimmter Arbeitszeitnachweise (§ 16 Abs. 2 ArbZG).

[i]Keine abschließende Aufzählung von AufbewahrungspflichtenEs können je nach Tätigkeitsbereich eines Verantwortlichen unterschiedliche Aufbewahrungspflichten gelten. Die Bestimmung der konkret zu berücksichtigenden Aufbewahrungspflichten ist i. d. R. weitaus schwieriger als die Bestimmung von Löschpflichten. Denn es gibt keine abschließende Aufzählung aller Aufbewahrungspflichten. Vielmehr kursiert im Internet eine Vielzahl verschiedener, unvollständiger Listen.

[i]Standardlöschfristen als AusgangsbasisMan sollte vor der Erstellung eines Löschkonzepts alle zu berücksichtigenden Aufbewahrungspflichten auflisten. Ausgangsbasis für eine Identifizierung der anwendbaren Aufbewahrungspflichten können Listen mit sog. Standardlöschfristen nach DIN 66398 (s. III, 3, a) sein. Bei der Verwendung dieser Listen ist allerdings Vorsicht geboten. Sie müssen auf Vollständigkeit geprüft, ggf. an die neue Rechtslage angepasst und um bereichsspezifische Aufbewahrungspflichten ergänzt werden.

a) Exkurs: DIN 66398

Die DIN 66398 „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ wurde im April 2016 veröffentlicht und ist daher noch nach alter Rechtslage (vor Wirksamkeit der DSGVO) erstellt worden. Sie bietet gleichwohl noch immer einen ersten Anhaltspunkt für die Etablierung eines Löschkonzepts.

[i]Nur technische LeitlinienZu berücksichtigen ist, dass es sich um technische Leitlinien handelt, die nicht die Verbindlichkeit einer rechtlichen Regelung erreichen. Maßgeblicher Inhalt der DIN-Norm ist die Systematisierung der Datenlöschung mittels Vorhalte- und Standardlöschfristen. Diese Fristen kommen laut der Norm allerdings nur da zur Anwendung, wo anwendbares Recht auf eine „feingranulare“ Festlegung von Löschfristen verzichtet. Eine ungeprüfte Übernahme von Standardlöschfristen ist deshalb nicht empfehlenswert.

[i]Vorhaltefristen werden Standardlöschfristen zugeordnetDie Vorhaltefrist i. S. der DIN-Norm beschreibt den Zeitraum, in dem die Daten verarbeitet werden dürfen, und damit zugleich den Zeitraum, bis zu dem eine Pflicht zur Löschung eintritt. Jede Vorhaltefrist soll laut DIN einer Standardlöschfrist zugeordnet werden. Dabei kann eine Vielzahl von Vorhaltefristen in einen Katalog von wesentlich weniger Standardlöschfristen „einsortiert“ werden. Dies soll dem Verantwortlichen die systematische Datenlöschung erleichtern, denn er muss fortan nur noch einen Katalog von Standardlöschfristen „abarbeiten“.

Hinweis:

Die Etablierung eines Löschkonzepts anhand der DIN 66398 entbindet nicht von der Einhaltung gesetzlicher Pflichten, die den Verantwortlichen zu einer Löschung außerhalb der DIN-Standardlöschfristen verpflichten.

b) Sonderfall der „versteckten“ Aufbewahrungspflichten

[i]Aus einem Umkehrschluss herleitbare PflichtenBesonders schwierig ist die Identifizierung von Aufbewahrungspflichten, die sich nicht unmittelbar aus Gesetzen ergeben, weil sie sich bspw. nur aus einem Umkehrschluss herleiten lassen. Zum besseren Verständnis dient das nachstehende

Beispiel 5:

Nach wirksamer Kündigung des Arbeitnehmers N geht Arbeitgeber G als datenschutzrechtlich Verantwortlicher davon aus, dass die Daten des N keiner weiteren Verarbeitung bedürfen und eine Löschung zu erfolgen hat. Denn der Zweck der Verarbeitung ist weggefallen. G ist aber verpflichtet, der Bundesagentur für Arbeit (BA) „alle Tatsachen zu bescheinigen, die für die Entscheidung über den S. 2018Anspruch auf Arbeitslosengeld oder Übergangsgeld erheblich sein können“ (vgl. § 312 Abs. 1 SGB III). Diese Mitteilung soll G mittels dem von der BA zur Verfügung gestellten Vordruck vornehmen. Sichtet G den Vordruck, wird schnell klar, dass viele Angaben aus vergangenen Jahren erforderlich sind. Hat G diese Daten bereits gelöscht, kann er den Vordruck nicht vollständig ausfüllen und handelt ordnungswidrig (vgl. § 404 Abs. 2 Nr. 19 SGB III).

Die vorgenannte Norm aus dem Sozialgesetzbuch statuiert daher praktisch indirekt eine Aufbewahrungspflicht – diffizil, nicht wahr?!

Praxistipp:

Hat ein Verantwortlicher Gründe zu der Annahme, dass ihn eine solche „versteckte“ Aufbewahrungspflicht trifft, ist die Hinzuziehung eines Experten zur abschließenden Prüfung empfehlenswert.

c) Technische Besonderheiten

[i]Anpassung von Datensätzen ...Die Abbildung von Aufbewahrungspflichten im Rahmen eines Löschkonzepts sollte auch von der technischen Seite ordnungsgemäß betreut werden. Dies gilt insbesondere, wenn der Verantwortliche auf digitale Datenmanagement-Tools zurückgreift. Datensätze müssen aufgrund des Zusammenspiels von Lösch- und Aufbewahrungspflichten im Verlauf der Zeit u. U. angepasst werden.

Beispiel 6:

Zur Abwicklung eines Mandatsverhältnisses wurde in der Steuerkanzlei der K Name, Anschrift, Telefonnummer und Bankverbindung der Mandantin M erhoben und verarbeitet (vgl. Art. 6 Abs. 1 lit. b DSGVO). M wird zwischenzeitlich nicht mehr betreut.

Folgt man den bisherigen Ausführungen zu Löschpflichten, liegt ein Zweckfortfall vor und die Daten wären zu löschen (Art. 17 Abs. 1 lit. a DSGVO) – aber Vorsicht: Die Kanzleiinhaberin als Verantwortliche ist aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten zur Aufbewahrung von Daten verpflichtet.

[i]... und Zweckbindungsgrundsatz„Klingt einfach, also alle Mandantendaten zehn Jahre speichern?“ Nein, denn es existiert der vorab erläuterte Zweckbindungsgrundsatz: Die Telefonnummer der Mandantin ist für handels- und steuerrechtliche Themen nicht von Relevanz. Es muss daher sichergestellt sein, dass die Telefonnummer gelöscht wird, während andere Daten der Mandantin weiterhin gespeichert werden.

Hinweis:

Dazu kann erforderlich sein, dass ein Datensatz in dem ERP-System des Verantwortlichen verschiedene Datenfelder aufweist, die unterschiedlichen Löschfristen zugeordnet werden.

4. „Aufbewahrungsrechte“ und Verjährungsfristen

[i]Datenspeicherung außerhalb der ursprünglichen ZwecksetzungDa viele personenbezogene Daten keiner Aufbewahrungspflicht (s. III, 3) unterliegen, müssten sie unmittelbar nach Zweckerreichung oder Zweckfortfall (s. III, 2, a) gelöscht werden. Kommt der Verantwortliche dem uneingeschränkt nach, kann er sich im Fall einer nachträglichen Inanspruchnahme durch Dritte u. U. nicht angemessen zur Wehr setzen, da ihm die dafür erforderlichen Informationen fehlen. Hierzu

Beispiel 7:

Die S-Steuerberatungsgesellschaft mbH hat unmittelbar nach Abschluss eines Einstellungsverfahrens die Daten aller abgelehnten Bewerber S. 2019mangels einer Pflicht zur Aufbewahrung gelöscht. Bewerber B, der nicht zum Zuge gekommen ist, rügt kurze Zeit später seine Ablehnung als unzulässig und verlangt Entschädigung und Schadensersatz wegen eines Verstoßes gegen das Benachteiligungsverbot nach dem Allgemeinen Gleichbehandlungsgesetz (AGG).

Es wird deutlich: Eine Datenspeicherung außerhalb der ursprünglichen Zwecksetzung muss auch dann möglich sein, wenn keine gesetzlichen Aufbewahrungspflichten vorliegen. Art. 17 Abs. 3 lit. e DSGVO sieht deshalb vor, dass eine weitere Verarbeitung trotz Zweckfortfall erfolgen darf,

„soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“

Bis heute nicht höchstrichterlich geklärt ist allerdings, wann die Verarbeitung danach „erforderlich“ ist.

[i]Unterschiedliche AuffassungenReicht es aus, wenn etwaige Ansprüche noch nicht verjährt sind oder muss eine konkrete Inanspruchnahme zu befürchten sein? In der Literatur wurde diese Frage auch zum alten Datenschutzrecht unterschiedlich beurteilt. Die Stimmen, die eine „hinreichende Wahrscheinlichkeit“ einer Inanspruchnahme für eine Rechtfertigung der Aufbewahrung fordern, verkennen, dass die praktische Umsetzung eines solchen Erfordernisses mit einem immensen Aufwand verbunden ist. Es erscheint bspw. wenig pragmatisch und technisch kaum sinnvoll umsetzbar, für jedes Datenfeld innerhalb eines Datenmanagement-Systems Risikoabwägungen über die Wahrscheinlichkeit einer Inanspruchnahme einzustellen und anhand dessen einen Löschzeitpunkt festzulegen.

Eigene Stellungnahme:

M. E. ist es zu bevorzugen, sich bei der Ermittlung von Löschzeitpunkten im Zusammenhang mit Aufbewahrungsrechten i. d. R. an der Verjährung von Ansprüchen zu orientieren.

IV. Umsetzung des Löschkonzepts

Nachdem alle Daten kategorisiert, Zwecken zugeordnet, anwendbare Aufbewahrungs- und Löschpflichten identifiziert und Verjährungsfristen bewertet wurden, steht der Inhalt des Löschkonzepts quasi fest. Es stellt sich nunmehr die Frage, wie dieses Löschkonzept tatsächlich umgesetzt wird.

1. Löschen

[i]Löschen darf nicht umkehrbar seinDa das Löschen von Daten i. S. der DSGVO eine finale und vollständige Unkenntlichmachung des betreffenden personenbezogenen Datums ohne Wiederherstellungsmöglichkeit bedeutet, darf das Löschen nicht umkehrbar sein. Wie dieser Erfolg erzielt wird, ist Sache des Verantwortlichen und kann von der physischen Vernichtung bis zum Überschreiben, Durchstreichen oder Schwärzen reichen. Im Einzelnen kommen die folgenden Maßnahmen in Betracht:

  • [i]Einzelne Maßnahmendas Überschreiben oder Entfernen von Daten auf einem Datenträger;

    Hinweis:

    Die Informationen dürfen nicht durch Verknüpfungen erhalten bleiben. Werden sonstige Datenträger wie SD-Speicher oder CD-/DVD-ROM überschrieben, muss der Vorgang technisch so gestaltet werden, dass eine Rekonstruktion der Daten aus verbliebenen Metadaten oder Caches nicht möglich ist.

  • die physikalische Zerstörung des Datenträgers durch Schreddern (mechanisch), Verbrennen (thermisch) oder chemische Maßnahmen;S. 2020

    Hinweis:

    Die Daten auf einer Festplatte sind erst ab einem vergleichsweise hohen Zerstörungsgrad der Festplatte nicht mehr wiederherstellbar – insbesondere bei mechanischen oder magnetischen Einwirkungen.

  • der Zugang zu dem Datum ausschließende Maßnahmen;

    Erläuterung:

    Hier kommt z. B. in Betracht, dass die logische Verknüpfung von Informationen aufgehoben wird und das Datum dadurch irreversibel vernichtet ist. Eine weitere Möglichkeit besteht darin, dass das Datum durch die Entfernung von Codierung oder Entschlüsselung nicht mehr interpretierbar ist und die entsprechenden Maßnahmen nicht oder nur mit unverhältnismäßig hohem Aufwand reversibel sind.

[i]Maßstab in Bezug auf die WiederherstellbarkeitFraglich ist in diesem Zusammenhang stets, welchen Maßstab der Verantwortliche in Bezug auf die Wiederherstellbarkeit anlegen muss. Denn naturgemäß besteht ein Unterschied zwischen den technischen „Wiederherstellungsfähigkeiten“, die der Verantwortliche, ein IT-Fachmann, ein in der IT-Forensik tätiges Unternehmen oder ein Geheimdienst hat.

Praxistipp:

Verständigen Sie sich auf ein gesundes Mittelmaß. Als Orientierungshilfe können Sie auf eine weitere DIN-Norm, die DIN 66399 zurückgreifen (s. IV, 2).

2. Exkurs: DIN 66399

[i]Technische Erwägungen zur DatenträgervernichtungIm Oktober 2012 wurde die neue DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“ veröffentlicht. Anders als die DIN 66398 (Bestimmung von Löschzeitpunkten) beschäftigt sich die DIN 66399 mit den technischen Erwägungen zur Datenträgervernichtung – also dem Löschvorgang an sich. Sie geht dabei über den Regelungsbereich des Datenschutzes hinaus, da sie sich nicht nur mit der Löschung personenbezogener Daten, sondern auch mit der Löschung sonstiger (vertraulicher) Daten befasst.

[i]Systematisierung von SchutzklassenDie DIN 66399 verfolgt, wie für DIN-Normen üblich, den Ansatz der Systematisierung. Dazu unterteilt sie Daten in unterschiedliche Schutzklassen (Schutzklasse 1: „normale“ interne Daten/Schutzklasse 2: vertrauliche Daten/Schutzklasse 3: besonders geheime Daten). Diese Schutzklassen werden sodann unterschiedlichen Sicherheitsstufen zugeordnet, die wiederum Auswirkungen auf die Voraussetzungen für eine DIN-konforme Vernichtung (Vernichtungsvorgang, Wiederherstellbarkeit) haben.

[i]Einhaltung der DIN als Argumentationshilfe gegenüber der AufsichtsbehördeDa die Norm nicht die Wirkungen eines Gesetzes hat, führt ihre Einhaltung nicht automatisch zu einer Entlastung des Verantwortlichen in dem Sinne, dass ihre Einhaltung mit einer datenschutzkonformen Datenlöschung gleichzusetzen wäre. Gleichwohl führt die Einhaltung der DIN-Norm dazu, dass gegenüber einer Datenschutz-Aufsichtsbehörde argumentiert werden kann, dass man sich mit dem Thema bereits inhaltlich auseinandergesetzt hat und übliche und aktuelle Vorgaben einhält.

3. Organisation des Löschvorgangs

[i]Löschroutine oder anzustoßender VorgangDie Löschung von Daten kann entweder automatisiert (Löschroutine) oder in einem manuell anzustoßenden Löschvorgang erfolgen. Welche Vorgehensweise gewählt wird, hängt von dem Automatisierungsgrad in dem Unternehmen des Verantwortlichen ab.

[i]Zuständigkeiten festlegenIn jedem Fall sollten Verantwortliche definieren, welche Mitarbeiter das Löschkonzept fortlaufend prüfen, anpassen und durchsetzen. Wichtig ist auch, dass die jeweiligen Mitarbeiter die notwendigen Befugnisse zur Erfüllung der ihnen übertragenen Aufgabe besitzen und im Rahmen von Schulungen entsprechend auf die Tätigkeit vorbereitet werden. S. 2021

[i]DokumentationDer letzte wichtige Punkt zur rechtskonformen Organisation des Löschvorgangs ist dessen Dokumentation. Nur dadurch kann der Verantwortliche nachweisen, dass er seiner Löschverpflichtung ordnungsgemäß nachgekommen ist (sog. Rechenschaftspflicht, s. bereits II, 1). Dies kann relevant werden, wenn bspw. die Aufsichtsbehörde eine Überprüfung der Datenlöschungen bei dem Verantwortlichen anstrengt. Allerdings beißt sich hier die Katze in den Schwanz, denn wie will man letztverbindlich nachweisen, ein bestimmtes Datum gelöscht zu haben, ohne das Datum selbst wiederum zu speichern.

Praxistipp:

Ein vollständiger Nachweis kann in diesem Bereich nicht gelingen. Sinnvoll ist daher die Wahl eines pragmatischen Ansatzes. Die Löschdokumentation sollte nicht die gelöschten Daten enthalten, sondern die jeweils gelöschten Datenbestände abstrakt beschreiben.

Der Verantwortliche kann den Nachweis dann mit den ihm zur Verfügung stehenden Dokumentationen in Verbindung mit den Unterlagen zu dem etablierten Löschkonzept führen.

IV. Checkliste zur Einrichtung eines Löschkonzepts

  • Kategorisierung aller Datenverarbeitungen des Unternehmens, wenn möglich unter Rückgriff auf das Verarbeitungsverzeichnis;

  • Festlegung genereller Löschzeitpunkte für Datenverarbeitungen nach der Identifizierung anwendbarer Lösch- und Aufbewahrungspflichten und deren Abbildung im Löschkonzept;

  • Prüfung eventueller Aufbewahrungsrechte außerhalb der Aufbewahrungspflichten;

  • organisatorische Umsetzung des Löschkonzepts unter Berücksichtigung unternehmensinterner Verantwortlichkeiten, einer technisch sauberen Durchführung von Löschvorgängen und der Dokumentation im erforderlichen Umfang.

Fazit

Die Pflicht zur rechtskonformen Löschung von Daten trifft den Verantwortlichen schon länger. Aber erst durch die Etablierung eines Bußgeldtatbestands für Verstöße durch die DSGVO kann ein Pflichtenverstoß für den Verantwortlichen inzwischen finanziell richtig weh tun. Das Unterlassen einer erforderlichen Löschung oder sonstige Fehler bei der Löschung lassen sich allerdings durch ein auf das Unternehmen zugeschnittenes Löschkonzept vermeiden. Ein korrekt implementiertes Löschkonzept kann eine erhebliche Arbeitserleichterung sein und ermöglicht, die Abläufe im Fall einer Überprüfung durch die Aufsichtsbehörde oder von personellen Wechseln reproduzierbar vorzuhalten.

Autor

Jonas Puchelt,
Rechtsanwalt und Fachanwalt für Informationstechnologierecht. Er ist bei FPS, Fritze Wicke Seelig Partnerschaftsgesellschaft von Rechtsanwälten mbB in Frankfurt/M. tätig und auf die Beratung von Unternehmen im Rahmen technologischer Fragestellungen spezialisiert. Sein Beratungsschwerpunkt liegt im IT- und Datenschutzrecht mit einem besonderen Fokus auf juristische Fragestellungen des IT-Projektgeschäfts und der IT-Security. Herr Puchelt ist zudem Lehrbeauftragter an der Technischen Hochschule Mittelhessen – er hält Teile der Vorlesung „Recht für Informatiker“.

Fundstelle(n):
NWB 2020 Seite 2012 - 2021
SAAAH-51824