In diesem Artikel wollen wir uns mit dem Löschen von Daten beschäftigen. Was ist ein Löschkonzept? Wann muss ich Daten löschen? Wie setze ich ein Löschkonzept richtig um?
Löschkonzept – Was ist das?
Zunächst einmal wird in einem Löschkonzept festgelegt wie und wann personenbezogene Daten in meinem Unternehmen gelöscht werden. Grundsätzlich gilt, dass personenbezogene Daten nur dann gespeichert werden dürften, wenn diese Speicherung einem bestimmten und legitimen Zweck dient. Dieser Grundsatz der Zweckbindung ist in Art. 5 (1) lit. b DSGVO geregelt. Sobald dieser Zweck vergeht, muss früher oder später eine Löschung der personenbezogenen Daten erfolgen. Mit dem Löschkonzept wollen wir eine systematische Vorgehens- und Handlungsweise erreichen.
Weshalb benötige ich ein Löschkonzept?
Grundsätzlich kommt der Begriff „Löschkonzept“ weder in der DSGVO, noch im Bundesdatenschutzgesetz vor. Doch fordert das Datenschutzrecht die Einhaltung bestimmter Grundsätze und Regelungen, womit ein Löschkonzept unumgänglich wird. In Art. 17 DSGVO definiert der Gesetzgeber, dass jede natürliche Person das Recht auf Löschung seiner Daten hat. Das wird oft auch als das „Recht auf Vergessenwerden“ bezeichnet. Darin heißt es in Absatz 1, dass die betroffene Person das Recht hat, von dem Verantwortlichen zu verlangen, dass dieser sie betreffende personenbezogene Daten unverzüglich löscht.
Dadurch entsteht also eine Löschpflicht für den Verantwortlichen, also für den Unternehmer. Für verschiedene Datenkategorien gibt es auch verschiedene Aufbewahrungsfristen. Damit ergeben sich auch unterschiedliche Löschfristen. Das Löschkonzept soll hierbei u.a. behilflich sein, die Fristen übersichtlich zu halten und dem Verantwortlichen dabei zu helfen, seiner Pflicht nachzukommen.
In meinem Artikel Datenschutzmanagement nach der DSGVO: Ein kleiner Leitfaden habe ich mich bereits mit dem Verzeichnis für Verarbeitungstätigkeiten befasst. In diesem Verzeichnis für Verarbeitungstätigkeiten sind die Löschfristen der jeweiligen Datenkategorien zu benennen.
Bei Nichteinhaltung warten hohe Bußgelder
Wie schmerzhaft es sein kann, gegen das „Recht auf Vergessenwerden“ zu verstoßen, mussten mittlerweile schon einige Unternehmen in Deutschland spüren. Der härteste mir bisher bekannte Fall dürfte wohl der Verstoß durch das Berliner Unternehmen Deutsche Wohnen SE sein. Hier hat die Berliner Datenschutzbehörde ein Rekordbußgeld in Höhe von 14,5 Millionen Euro verhängt. Derzeit hält der Rechtsstreit zwischen dem Unternehmen und der Berliner Datenschutzbeauftragten an, wie der Tagesspiegel im Februar dieses Jahres zu berichten wusste. Seit der Einführung der EU-Grundverordnung zum Datenschutz sind Bußgelder bis zu 20 Millionen Euro oder in Härtefällen sogar bis zu 4 Prozent des weltweiten jährlichen Umsatzes möglich. Dieser Fall zeigt, dass Aufsichtsbehörden auch bereit sind die Grenzen auszureizen oder sich zumindest daran zu orientieren.
Mittlerweile sind in Europa viele solcher härteren Fälle bekannt geworden. Das zeigt, dass es auch der Exekutive sehr wichtig ist, dass das EU-Recht auf nationaler Ebene eingehalten wird.
Wie erstelle ich ein Löschkonzept Schritt für Schritt?
Der Ablauf zur Erstellung eines Löschkonzeptes kann in drei Phasen gegliedert werden.
Phase 1: Ich identifiziere alle personenbezogenen Daten in meinem Unternehmen. Dabei handelt es sich auch gleichzeitig um den aufwendigsten Teil der Konzepterstellung. Denn es müssen wirklich alle Prozesse auf den Datenfluss hin analysiert werden. Dabei muss festgestellt werden, wer der jeweilige Verantwortliche für die Datenverarbeitung ist. Genauso muss überprüft werden von wo die Daten kommen und wo sie hingehen. Oft kommt in Unternehmen verschiedene Software zur Anwendung, die Daten in irgendeiner Art und Weise verarbeiten. Dabei kann es sein, dass einige Systeme voneinander abhängig sind. Hier muss genau untersucht werden, welches System, welche Daten zu welchem Zweck, wie verarbeiten. Wichtig ist hierbei auch zu beachten, dass nicht nur intern personenbezogenen Daten verarbeitet werden, sondern die Softwareanbieter selber auch Daten verarbeiten. Das muss in dem Konzept zum Vorschein kommen.
Phase 2: Im nächsten Schritt werden die vorher analysierten personenbezogenen Daten kategorisiert. Es gibt neben den „herkömmlichen“ personenbezogenen Daten auch sog. „besondere Datenkategorien“. Das sind Daten, die gem. Art. 9 DSGVO einen Bezug zu der Herkunft, der politischen oder religiösen Überzeugung, der Sexualität, aber auch zur Gesundheit oder Gewerkschaftszugehörigkeiten haben. Grundsätzlich ist die Erhebung solcher Daten untersagt, jedoch lässt sich dies nicht immer vermeiden. In Ar. 9 Abs. 2 DSGVO sind die Ausnahmefälle definiert.
Phase 3: Im letzten Schritt werden die Löschregeln, mit den dazugehörigen Fristen für die einzelnen Kategorien definiert. Hier wird festgestellt, welche Aufbewahrungsfristen es gibt und welche Fristen sich daraus für die Löschung ableiten lassen. Des Weiteren wird hier festgelegt, wer für die Löschung der Daten verantwortlich ist. Auch die konkrete Umsetzung sollte hier bereits definiert sein. Wie werden die Daten gelöscht? Werden sie ggf. nur anonymisiert?
Welche Regeln müssen noch beim Löschkonzept eingehalten werden?
Abgesehen von den oben bereits erwähnten Aufbewahrungsfristen, gibt es noch weitere gesonderte Regeln sowie spezielle Fälle, die ich als Unternehmer berücksichtigen muss.
Wenn ein Betroffener die Löschung seiner Daten fordert
Jede Person hat das Grundrecht auf Löschung seiner personenbezogenen Daten, vorausgesetzt es gibt kein anderes Recht, das diesem entgegensteht. In dem Löschkonzept muss geregelt sein, wie diesem Löschbegehren entsprochen werden kann.
Wenn die Aufsichtsbehörde von mir die Löschung verlangt
Sollte die Aufsichtsbehörde für den Datenschutz die Löschung von Daten verlangen, gelten die herkömmlichen Fristen nicht mehr. Die Aufsichtsbehörde kann die sofortige Löschung von mir verlangen oder eine eigene Frist abverlangen. Hier muss dann ebenfalls schnell und außerhalb der Norm gehandelt werden können.
Wenn die Datenerhebung rechtswidrig war
Manchmal stellt sich später heraus, dass die von dem Unternehmen erhobenen Daten gar nicht hätten verarbeitet werden dürfen. Grundsätzlich gilt, wie bereits oben besprochen, der Grundsatz der Zweckbindung und der grundlegenden Legitimation. Es muss also immer ein rechtlicher Grund vorliegen für die Erhebung der Daten. Ist dieser nicht gegeben, muss schnell gehandelt werden. Insbesondere, da es sich um ein Prozedere außerhalb der standardisierten Verfahrensweise handelt.
Wenn die Löschung der Daten rechtswidrig war
Neben der rechtswidrigen Erhebung von personenbezogenen Daten, ist auch der gegenteilige Fall möglich. Die Löschung von Daten kann dann rechtswidrig sein, wenn ein anderes Rechtsgut höher wiegt als das Recht oder die Pflicht auf Löschung personenbezogener Daten. Dies könnte bspw. in einem laufenden Ermittlungsverfahren der Fall sein. Hier könnten z.B. Videoaufnahmen als wichtige Beweise gelten, die nicht gelöscht werden dürfen. Die Aufsichtsbehörde kann dann von mir den Stopp der Löschung personenbezogener Daten verlangen.
Ich brauche Hilfe bei der Erstellung eines Löschkonzeptes
Grundsätzlich gibt es im Internet eine ganze Menge von diversen Tools und Vorlagen für ein Löschkonzept. Allerdings sind diese nicht immer hinreichend, um den Anforderungen der Aufsichtsbehörde gerecht zu werden. Das Löschkonzept gehört zum Datenschutzmanagement dazu und sollte auch mit den Verzeichnissen für Verarbeitungstätigkeiten verknüpft werden. Hier empfiehlt es sich bereits zu Beginn, wenn das Datenschutzmanagement angegangen wird, die Weichen für das später erforderliche Löschkonzept zu stellen.
In der Praxis hat es sich oft gezeigt, dass für die Erledigung dieser komplexen Aufgabe externe Unterstützung sehr hilfreich sein kann. Dazu gehört ein sehr gutes Projektmanagement. Ich benötige die Akzeptanz meiner Mitarbeiter und die Fähigkeit die Einhaltung des Löschkonzeptes tatsächlich zu gewährleisten. Dazu bedarf es Fingerspitzengefühl im Umgang mit meinem Personal, aber auch einer zeitaufwendigen Analyse. Um all das zu koordinieren, kann ein externer Datenschutzberater hilfreich sein.
Schon gerüstet für die DSGVO? Haben Sie schon ein Datenschutzkonzept oder betreiben ein Datenschutzmanagement? Haben Sie Ihr eigenes Löschkonzept entwickelt oder brauchen Sie Unterstützung? Gerne helfe ich Ihnen dabei. Ich komme gerne zu Ihnen und gehe im Vorleistung. Das erste Beratungsgespräch für Sie ist kostenlos.
Dipl-Ing. Pierre Dornbrach, MBA & Eng.
Sicherheitsingenieur & Datenschutzberater
Ich bin selbständiger Sicherheitsingenieur und unterstütze Sie im Aufbau Ihres Datenschutzmanagementsystems oder beim Arbeitsschutz als Fachkraft für Arbeitssicherheit. Als technisch sehr versierter Wirtschaftsingenieur verfüge ich über die Fähigkeit die betriebliche Sicherheit nach dem Stand der Technik in Ihrem Unternehmen auch wirtschaftlich sinnvoll umzusetzen. Sie suchen einen Datenschutzbeauftragten in Ihrer Nähe? Ich bin in der Region Teltow-Fläming aktiv. Meine Kunden kommen allerdings auch aus der Region Cottbus, Spree-Neiße und Senftenberg.