Ulrike Seip, Senior Referentin Datenschutz bei der DZ Bank AG
Die nunmehr schon vier Jahren etablierte EU-Datenschutzgrundverordnung (DSGVO) hat enormen Umsetzungsaufwand in den Unternehmen zur Folge gehabt. Besonders das LÖSCHEN ist ein Thema, dessen Umsetzung in Unternehmen teilweise noch Jahre in Anspruch nehmen wird. Probleme, aber auch Lösungsansätze sollen hier betrachtet werden.
Gesetzlich Grundlagen
Auch bereits vor DSGVO-Zeiten war das Erfordernis, Daten zu löschen, wenn sie nicht mehr benötigt werden, im Bundesdatenschutzgesetz verankert. Die Löschpflicht ist untrennbar mit dem Prinzip der Datensparsamkeit verbunden: nur so viele personenbezogene Daten wie erforderlich, nur so lange wie erforderlich sollen personenbezogene Daten gespeichert werden. Die Vorgabe, dass personenbezogene Daten zu löschen sind, schlägt sich an verschiedenen Stellen in der DSGVO nieder:
- Grundsätze für die Verarbeitung personenbezogener Daten: Datenminimierung und Speicherbegrenzung, (Art. 5 Abs.1 lit c) und lit e) DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Verarbeitung nur soweit für den Zweck erforderlich, auch durch Festlegung einer Speicherfrist (Art. 25 Abs. 2 DSGVO)
Problemstellung
Vom Grunde her sind Datenverarbeitungs- bzw. IT-Systeme auf die Verarbeitung von Daten fokussiert, das Löschen spielte bislang nicht wirklich eine Rolle. Gelöscht wurde und wird, weil das Anwortzeitverhalten von Systemen schlechter wird, wenn zu viele Daten vorhanden sind oder weil Speicherplatz teuer ist. Dazu wurden häufig in Zeitscheiben Altdaten aus den Produktivsystemen entfernt, eventuell auf Archivsysteme ausgelagert. Die Vorgehensweisen waren nicht zuletzt so, weil aufgrund vieler bestehender Aufbewahrungsvorschriften auch dafür zu sorgen ist, dass auf Daten ausreichend lange zugegriffen werden kann. Jedes Unternehmen ist aus steuerlichen Gründen zur Aufbewahrung von Daten und Unterlagen nach der Abgabenordnung und aus buchhalterischen Gründen nach dem Handelsgesetzbuch verpflichtet. Entsprechend des Unternehmenssektors kommen dazu spezifische Aufbewahrungspflichten, z. B. aus dem Wertpapierhandelsgesetz, Kreditwesengesetz u. v. a. Es gibt auch IT-Systeme, deren Anspruch auf Datenintegrität und Revisionssicherheit so hoch ist, dass bislang keinerlei Möglichkeit zum Löschen vorgesehen war.
Gleichwohl ist es nun zwingend erforderlich, in geeigneter Weise angemessene Löschmöglichkeiten herzustellen. Dabei lässt der Gesetzgeber auch in der DSGVO glücklicherweise das Prinzip der „Angemessenheit“ von Maßnahmen gelten. Das Verhältnis von „Angemessen“ ist zum einen aus dem mit der Verarbeitung verbundenen Risiko verbunden, zum anderen ist aber auch in jedem Fall davon auszugehen, dass damit auch ein vertretbarer Aufwand (wirtschaftlich angemessen) gemeint sein dürfte.
Lösungsansatz
- Löschfristen und Löschzeitpunkte
Eine praktikable Vorgehensweise zur Umsetzung der Löschpflicht beginnt mit dem Feststellen der Archivierungsfristen für die einzelnen Datenbestände. Ausgehend vom Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) wird festgehalten, welche gesetzlichen Archivierungsfristen für die einzelnen Verarbeitungen gelten. Sobald die Archivierungsfrist endet, ist der Grund für die Speicherung entfallen und die Löschpflicht besteht. Dabei macht es wenig Sinn, für in einer Verarbeitung enthaltene personenbezogene Daten mit verschiedenen Fristen zu arbeiten, weil bei der technischen Umsetzung verschiedene Löschfristen in einem Verfahren den mit der Löschung verbundenen Aufwand deutlich erhöhen dürften. Auch ist davon auszugehen, dass in einem Verfahren grundsätzlich mit einer durchgängig gleichen Löschfrist zu rechnen ist, da das Verfahren ja einen einheitlichen durchgängigen Zweck haben dürfte.
Grundsätzlich kann vertreten werden, dass Löschungen im Unternehmen durchgängig regelmäßig im Jahr zum gleichen Zeitpunkt angestoßen werden, damit eine zeitlich einheitliche Vorgehensweise gewährleistet werden kann. Es wird somit ein Zeitpunkt/Zeitraum im Jahr festgelegt werden, an dem die Löschungen erfolgen.
- Verantwortlichkeiten und Löschnachweise
Verantwortliche Personen und Stellen sind zu bestimmen, die sodann die technische Löschung der Daten durchführen. Es ist nicht unbedingt erforderlich, dass ein Löschprotokoll über jede einzelne Löschung geführt wird. Durch dokumentierte Vorgehensweisen (Arbeitsanweisung o. ä.) und auch mindestens das „Nicht-Mehr-Vorhandensein“ von Daten kann ein regelmäßiges Löschen nachvollziehbar sein. Löschprotokolle können in jedem Fall. dann erforderlich sein, wenn diese in Vereinbarungen mit Vertragspartnern zugesagt wurden.
- Besonderheiten
Datenbestände und Verfahren sind häufig durch Schnittstellen miteinander verbunden. Hier ist Vorsicht geboten, damit beim Löschen die für einen anderen Zweck in einem weiteren Verfahren notwendigen Daten nicht versehentlich nicht mehr zu Verfügung stehen. Abhängigkeiten sind zu betrachten, im Zweifel ist für die Löschfristen untereinander abhängiger Verfahren das Maximum-Prinzip (höchste vertretbare Speicherdauer gilt für alle verbundenen Systeme) zu wählen. Dies muss aber begründbar sein.
Unstrukturierte Datenbestände in Netzwerken oder Mailsystemen stellen eine weitere Besonderheit dar. Hier ist zu überlegen, ob dafür generell aus den steuerlichen Vorschriften abgeleitete Speicherfristen zur Anwendung kommen können. Bei besonderen Branchen, wie z. B. im Versicherungssektor, werden ggf. längere Speicherfristen aufgrund von besonderen Verjährungsfristen anzuwenden sein.
Fazit und Praxistipps
- Beim Löschen sollte der Fokus eindeutig auf dem regelmäßigen Löschen liegen.
- Eine Löschung ist erst nach dem Ablauf von vorliegen Archivierungsfristen relevant.
- Vorzugsweise sollten zentrale Maßnahmen, insbesondere durch die IT, in die Wege geleitet werden.
- Es geht weniger um perfektionistische verzahnte Abläufe, sondern um ein Löschen, welches für wesentliche und in jedem Fall für risikoreiche Verarbeitungen gewährleistet, dass personenbezogene Daten nur so lange verarbeitet und gespeichert werden, wie es gesetzlich erforderlich und begründbar ist.
Beitragsnummer: 22944