Löschkonzept

Löschkonzept

Die DSGVO und die Medien erwähnen es entweder nicht explizit oder nicht oft, aber ein brisantes Thema und wichtiger Aspekt des Datenschutzmanagements ist es, einen Prozess für das Löschen nicht mehr benötigter Daten vorzusehen. Schon anhand des aktuell viel diskutierten – inzwischen unwirksamen – Bußgeldbescheides gegen Deutsche Wohnen SE  (LG Berlin, Beschluss vom 18.02.2021, Az.: (526 OWi LG) 212 Js-OWi 1/20 (1/20)) wird ersichtlich, dass ein Löschkonzept von hoher Wichtigkeit ist.

Die Deutsche Wohnen SE hatte ohne Rechtsgrundlage persönliche Daten ihrer Ex-Mieter aufbewahrt und trotz vorangegangener Beanstandung durch die Datenschutzaufsicht diese Daten nicht gelöscht. Der Bußgeldbescheid über 10 Millionen Euro wurde vom LG Berlin aufgehoben, jedoch gehen die Staatsanwahltschaft und die Datenschutzaufsicht gegen diese Entscheidung vor – die Aufhebung des Bußgeldbescheides ist also noch nicht rechtskräftig. Der Fall zeigt aber, welche Konsequenzen sich aus einem fehlenden oder unzureichenden Löschkonzept und -prozess ergeben können.

Das Löschkonzept und die DSGVO

Die DSGVO regelt ein Löschkonzept nicht so ausdrücklich wie einen Auftragsverarbeitungsvertrag oder ein Verzeichnis von Verarbeitungstätigkeiten. Die Notwendigkeit, ein Löschkonzept zu erstellen und praktisch umzusetzen, ergibt sich aus der Pflicht eines Verarbeiters personenbezogener Daten, die er nicht (mehr) verarbeiten darf, umgehend zu löschen. Die DSGVO weist an mehreren Stellen in indirekter Weise auf ein Löschkonzept hin.

Art. 5 DSGVO – Grundsätze der Datenverarbeitung

Gemäß Art. 5 Abs. 1 lit. e) DSGVO sind personenbezogene Daten nur so lange zu verarbeiten, wie es zur Erfüllung des zuvor festgelegten Verarbeitungszwecks nötig ist bzw. gesetzlich vorgegebene Aufbewahrungsfristen es verlangen. Ausnahmen bestehen, wenn die Archivierung oder die wissenschaftliche oder historische Forschung mit den Daten im öffentlichen Interesse liegt.

Art. 5 Abs. 2 DSGVO verlangt generell, dass der Verantwortliche die Einhaltung seiner Pflichten aus der DSGVO nachweisen kann. Das erfolgt am besten durch eine schriftliche (oder elektronische) Dokumentation. Dazu gehört auch die Dokumentation, wie die Pflicht, nicht mehr benötigte Daten zu löschen, erfüllt wird.

Art. 6 DSGVO – Rechtsgrundlagen der Datenverarbeitung

Um personenbezogene Daten verarbeiten zu dürfen, muss es eine Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) geben. Entfällt die Rechtsgrundlage, weil der Verarbeitungszweck erreicht ist oder sich erledigt hat, ganz gleich, auf welcher Rechtsgrundlage ein Verantwortlicher die Datenverarbeitung gestützt hat, sind die davon betroffenen personenbezogenen Daten zu löschen, sofern nicht eine der Ausnahmebestimmungen des Art. 17 Abs. 2 DSGVO einschlägig ist.

Art. 17 DSGVO – Recht auf Löschung/Vergessenwerden

Betroffene Personen haben das Recht, die Löschung von Daten zu ihrer Person von einem Verantwortlichen zu verlangen. (Mehr zu Art. 17 DSGVO können Interessierte gern in unserem Beitrag zu Rechte nach Art. 15 – 17 DSGVO erfahren.) Dies gilt nicht, wenn und solange eine der Ausnahmen vom Löschanspruch vorliegt. Nach Art. 17 Abs. 3 DSGVO müssen Daten beispielsweise nicht gelöscht werden, wenn

1) diese zur Ausübung der Meinungsäußerungs- und Informationsfreiheit benötigt werden,

2) die Daten zur Erfüllung rechtlicher Pflichten verarbeitet werden (insbesondere gesetzliche Aufbewahrungspflichten),

3) die Verarbeitung im Interesse der öffentlichen Gesundheit erforderlich ist,

4) im öffentlichen Interesse liegende Archiv-, wissenschaftliche oder historische Forschungs- oder statistische Zwecke durch die Datenlöschung beeinträchtigt würden oder

5) wenn die Daten noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden könnten.

Beim letzten Punkt spielen die gesetzlichen Verjährungsansprüche mit in die Betrachtung. Solange  eine betroffene Person den Datenverarbeiter (Verantwortlicher) beispielsweise im Rahmen der regelmäßigen Verjährungsfrist von drei Jahren auf Schadensersatz verklagen könnte, könnte er ein Interesse haben, die Daten, die er zur Verteidigung gegen derartige Ansprüche benötigt, noch weiter aufzubewahren. Bei Gesundheitsschäden kann die Verjährungsfrist bis zu 30 Jahre betragen. Ein Verantwortlicher sollte also bei der Erstellung eines Löschkonzepts das Verjährungsrecht berücksichtigen.

Art. 30 DSGVO – Verarbeitungsverzeichnis

In Art. 30 Abs. 1 lit. f) DSGVO, in dem das Verzeichnis von Verarbeitungstätigkeiten geregelt ist, gibt es einen weiteren indirekten Hinweis auf ein Löschkonzept. Demnach ist die Dauer der Datenverarbeitung im Verarbeitungsverzeichnis anzugeben. Dies kann praktikabel durch den Verweis auf das Löschkonzept erfolgen.

Inhalt eines Löschkonzeptes

Gesetzlich festgelegte Vorgaben für den Inhalt eines Löschkonzeptes gibt es nicht. Da aus einem Löschkonzept aber ersichtlich sein muss, wann personenbezogene Daten zu löschen sind und wie dies intern geregelt ist, ist es empfehlenswert, mindestens folgende Inhalte dabei zu beachten:

Abläufe bzw. Löschprozesse

Es ist zu regeln, wie und durch wen im Unternehmen ein Löschprozess angestoßen und vorgenommen wird. Um eventuelle Fristen nicht zu verpassen, kann eine zeitgesteuerte automatische Löschung oder zumindest eine automatische Erinnerung in Betracht gezogen werden. Alternativ besteht die Möglichkeit, dass eine interne Person solche Fristen im Auge behält und die Prozesse anstößt, wenn nötig. Im Löschkonzept sollte auch vorgesehen werden, wie mit dem Recht der Betroffenen, eine Löschung ihrer Daten zu verlangen, umzugehen ist. Wichtig ist auch die Zuständigkeit für die eigentliche Ausführung der Löschung und auch die Löschdokumentation festzulegen. Die ggf. spezialgesetzlichen Rechtsgrundlagen für die Datenverarbeitung und die sich eventuell daraus ergebenden Aufbewahrungspflichten sind ebenfalls zu erfassen.

Im Unternehmen an Löschprozessen beteiligte Personen

In einem Unternehmen muss es Personen (samt Stellvertretung) geben, die eine ggf. automatisierte Löschung im Auge behalten und überprüfen sowie sich um Löschbegehren von Betroffenen kümmern. Auch eine manuelle Entsorgung von Datenträgern muss organisiert werden. Ein Verantwortlicher muss also festlegen, wer in den Löschprozessen involviert ist. Dabei spielt der Datenschutzbeauftragte oder -koordinator eine beratenden Rolle. Abhängig davon, wie ein Unternehmen die Löschung handhabt, sind eventuell auch bestimmte Personen aus den jeweiligen anderen Abteilungen, die personenbezogene Daten verarbeiten, beteiligt. Nicht zu vergessen ist auch die Möglichkeit, einen externen Dienstleister für die Datenvernichtung heranzuziehen – in solch einem Fall darf dann der Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO nicht vergessen werden (mehr zur Auftragsverarbeitung hier).

Datenarten

Die verarbeiteten Daten in Arten oder Kategorien zu unterteilen hilft, die Aufbewahrungs- und Löschfristen übersichtlich festzulegen. Arbeitszeitdaten sind beispielsweise weitaus länger aufzubewahren als Bewerberdaten.

Aufbewahrungs- bzw. Löschfristen

Die Festlegung von Aufbewahrungs- und Löschfristen ist ein sehr wichtiger Bestandteil eines Löschkonzeptes. Einerseits gibt es gesetzlich vorgegebene Fristen, aber auch solche, die der jeweilige Verantwortliche bis zu einem gewissen Maß selbst festlegen kann. Wenn beispielsweise ein Anspruch wegen Körperverletzung bei Arztbehandlungen in 30 Jahren verjährt, die Behandlungsunterlagen gesetzlich zehn Jahre aufzubewahren sind, kann der Verantwortliche entscheiden, ob er die Daten nur entsprechend der gesetzlichen Pflicht zehn Jahre aufbewahrt oder er sie zur möglichen Rechtsverteidigung länger aufbewahren möchte. Dabei kann er entscheiden, ob die die Daten 20 Jahre aufbewahrt und die maximale Frist von 30 Jahren nicht ausschöpft.

Löschklassen

Die Löschklassen ergeben sich aus den jeweiligen Startzeitpunkten für die Frist. Auszugehen ist dabei von einem Start der Aufbewahrungsfrist ab Erhebung, Vorgangs- oder Beziehungsende. Die Startzeitpunkte kann der Verantwortliche übrigens nicht willkürlich festlegen bzw. nicht ausschließlich. Sie richten sich auch nach Gesetzen.

Bei der Strukturierung und Erstellung eines Löschkonzeptes kann ein Verantwortlicher auch die DIN 66398 zur Hilfe heranziehen.

Fazit

Wann immer personenbezogene Daten zu löschen sind, ist es empfehlenswert ein Löschkonzept vorliegen zu haben und dieses Konzept in eine Löschrichtlinie (Leitungsebene) einzubinden. Auch sollte ein Unternehmen dieses Dokument auf einem möglichst aktuellen Stand halten und dazu festlegen, wer sich in welchen Zeitabständen darum zu kümmern hat. So zeigt das Löschkonzept, wer wann welche Löschung vornehmen muss. Auch ist ein Verantwortlicher sehr viel besser darauf vorbereitet, einem Löschbegehren eines Betroffenen nachkommen zu können. Das heißt natürlich nicht, dass dann blind alle Daten dieser Person zu löschen sind. Stehen der Löschung Gesetze oder eigene berechtigte Interessen entgegen, kann ein Verantwortlicher dieser Person gegenüber fundiert begründen, weshalb er bestimmte Daten noch nicht löschen kann. Wird allerdings offensichtlich, dass ein Verantwortlicher einem Löschbegehren einer betroffenen Person nicht korrekt nachkommen kann oder Daten Betroffener über die Aufbewahrungsfrist hinaus aufbewahrt, drohen Schadenersatzansprüche, Bußgelder oder auch Abmahnungen.

Ein Löschkonzept ist ein wichtiger Bestandteil eines guten Datenschutzmanagements. Auch kann damit Unwissenheit in Bezug darauf vermieden werden, welche Prozesse einzuhalten sind, wenn eine Person mit einem Löschbegehren an ein Unternehmen herantritt. Genauso hilfreich ist, dazu beizutragen, Art. 5 Abs. 1 lit. b), c) und e) DSGVO (Zweckbindung, Datenminimierung, Speicherbegrenzung) einzuhalten.

Wir können Ihnen dabei beratend zur Seite stehen, nicht nur bei der Erstellung des Löschkonzepts, sondern auch bei der Einführung eines kompletten Datenschutzmanagements. Kontaktieren Sie uns am besten heute dazu.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.