Eine automatisierte Datenverarbeitung benötigt eine automatisierte Datenlöschung. Denn Unternehmen sind verpflichtet personenbezogene Daten zu löschen, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen. In der Praxis haben jedoch die wenigsten Unternehmen diesbezüglich einen etabliertes Löschkonzept. Mit Einführung der Datenschutz-Grundverordnung kann ein solches Versäumnis ein hohes Bußgeld nach sich ziehen.
Der Inhalt im Überblick
Änderungen mit der Datenschutz-Grundverordnung
Mit der Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wird ein einheitliches Datenschutzrecht für die gesamte Europäische Union etabliert. Dies sieht zum einem klare Löschpflichten (u.a. in Art. 17 DSGVO „Recht auf Vergessenwerden“) vor. Zum anderen drohen Unternehmen im Ausnahmefall Bußgelder von bis zu 20 Millionen Euro. Alternativ bis zu 4 Prozent des globalen Umsatzes, je nachdem, was höher ist. Die Unternehmen tragen in Streitfällen die Beweislast, dass sie die Anforderungen der DSGVO umgesetzt haben.
Löschkonzept entwickeln
Entsprechend sollten Unternehmen Löschkonzepte und Löschroutinen erarbeiten und implementieren. Je später ein solcher Prozess eingeleitet wird, umso größer ist die Gefahr, einem Bußgeldverfahren ausgesetzt zu sein. Vor allem aber wird der Prozess ein Löschkonzept einzuführen zunehmend aufwändiger und schwieriger zu organisieren. Wir haben in der Vergangenheit schon einige Aspekte beleuchtet:
- Löschen und Sperren von Daten mit Konzept
- Löschfristen in Unternehmen: Mehr MUSS als KANN
- Die Aufbewahrungsfristen von Bewerberdaten
- Vorgaben für die E-Mail-Archivierung
- Protokollierung datenschutzgerecht gestalten
- DIN-Norm 66398: Die Entwicklung eines Löschkonzepts
In diesem Artikel werden wir einen Blick auf die Praxis werfen.
Plan – Do – Check – Act
Der Projektmanagement-Klassiker: Eine gute Projektplanung ist Gold wert. In der ersten Projektphase sollte der Katalog der Löschregeln möglichst vollständig erstellt werden. Dazu sind erfahrungsgemäß mehrere Abstimmungsrunden mit Fachverantwortlichen, Juristen, Technikern und Datenschützern notwendig. Um eine möglichst reibungslose Umsetzung zu gewährleisten, sollte die Geschäftsführung die Verantwortung übernehmen und Unterstützung benennen. Andernfalls könnte der unternehmensinterne Widerstand zu groß werden.
Doch der Teufel steckt im Detail. Datenbestände sind häufig unterschiedlich strukturiert, z. B. als Attribute in Datenbanken oder in Form von Dokumenten. Für die Umsetzungsphase setzen Sie Prioritäten nach Unternehmensbedarf. Dies kann sich z.B. an der Sensitivität der Datenarten, an Abhängigkeiten zwischen Systemen aber auch an Zeitpunkten für anstehende Release-Wechsel orientieren.
Die wichtige Testphase
Abhängigkeiten zwischen Datenobjekten können bei der Löschung zu Fehlfunktionen in EDV-Prozessen führen. Eine im Realbetrieb gelöschte Datei lässt sich nicht wieder herstellen. Der Phase des Testens kommt daher im Rahmen eines solchen Entwicklungsprojekts eine sehr große Bedeutung zu.
Alternativen und Sondersituationen
Als Alternative zu Löschung können Daten auch unumkehrbar anonymisiert werden. Denn die Verpflichtung zur Löschung „personenbezogener“ Daten entfällt, da anonymisierte Daten eben keinen Personenbezug mehr aufweisen. Allerdings stellt eine „unumkehrbare Anonymisierung“ eine hohe technische Anforderung dar.
Zudem gibt es Sondersituationen in denen gelöscht werden muss. Diese können aufgrund ihrer Unvorhersehbarkeit nicht von Löschregeln im Sinne des Löschkonzepts umfasst werden. Dazu gehört das Löschen von:
- unberechtigt erhobenen personenbezogenen Daten
- personenbezogenen Daten nach einem Löschbegehren
- personenbezogenen Daten beim Rückbau von Systemen
Für diese und ähnliche Sonderfälle müssen ebenfalls Löschmaßnahmen bestimmt werden, damit das Unternehmen im Eintrittsfall nicht ohne Handlungsoption dar steht.
Weiterer Nutzen für die Organisation
Ein Löschkonzept zu erstellen und umzusetzen, ist eine dauerhafte Aufgabe. Die Weiterentwicklung von Geschäftsprozessen, Änderungen der Rechtsvorschriften und die Veränderungen an IT-Systemen stellen einen kontinuierlichen Verbesserungsprozess dar. Neben den positiven Effekten für den Datenschutz tritt vielfach weiterer Nutzen für die Organisation ein: Mit dem neuen Blick auf das Löschen von Daten können Unternehmen ihre Geschäftsprozesse präzisieren und optimieren. Überflüssige Bestände werden abgebaut und klare Vorgaben für die Datenhaltung getroffen. Ihr Qualitätsmanager freut sich jetzt schon. Und natürlich hilft der genaue Blick auf Systeme und Abhängigkeiten, damit im Zuge der Umsetzung eines Löschkonzeptes Systeme und IT-Prozesse entkoppelt oder konsolidiert werden.
Was aber macht ein Unternehmer, wenn er mit Programmen arbeitet, die weder ein Löschen noch eine Anonymisierungsmöglichkeit vorsehen, bzw. dies technisch aufgrund der zugrundeliegenden Datenbankstruktur nicht umsetzbar ist?
Den Anbieter wechseln, auch wenn es finanziell nicht machbar ist?
Im Art. 25 der DSGVO wird zwar Stand der Technik gefordert, aber auch die Implementierungskosten sollen berücksichtigt werden.
Ich glaube hier wird der Gang zur Aufsichtsbehörde wohl der sicherste Weg sein.
Andererseits werden hier auch definitiv die Softwarehersteller gefordert sein, Lösch-, bzw. Anonymisierungsroutinen zu implementieren, wenn sie weiterhin, zumindest auf dem europäischen Markt bestehen wollen.
Leider habe ich die Erfahrung gemacht, dass manche Hersteller es nicht als oberste Priorität
ansehen, ihre Produkte DSGVO.fit zu machen.
Da haben Sie Recht, in den vergangenen Jahrzehnten sind häufig personenbezogene Daten mit einer Software verarbeitet worden, die nicht gesetzeskonform war. Eine fehlende Löschfunktion ist dafür ein klarer Indikator. Die erhöhten Bußgelder der DSGVO haben hier schon einen sehr positiven Trend eingeläutet: Immer mehr Unternehmer untersuchen Ihre Softwarestruktur auf entsprechende Funktionalität und immer mehr Softwareanbieter bieten Patches/Upgrades an, um spätestens ab Mai 2018 „compliant“ zu sein.
Meine Frau und ich schreiben Bücher und verkaufen diese in unseren kleinen Online Shop. Für die Ausführung der Bestellungen brauchen wir einige Daten und diese werden auch in WordPress/Woocommerce gespeichert. Ich finde nirgends, wie lange ich diese Daten, z.B. für eine nächste Buchbestellung, aufheben darf, bzw. wann ich die unbedingt löschen muss. Wäre Löschen zwei Jahre nach der letzten Bestellung in Ordnung?
Wenn es nur um die Kontaktdaten des Kunden geht, also das was Sie mit “ für eine nächste Buchbestellung“ beschrieben haben, so könnte man die 1-2 Jahre seit der letzten Bestellung argumentieren.
Wenn es darüber hinaus auch um Geschäftsbriefe geht, so sind diese nach § 257 Abs. 1 Nr. 2, Abs. 4 HGB und § 147 Abs. 1 Nr. 2, Abs. 3 AO müssen Handels- oder Geschäftsbriefe (auch E-Mails) 6 Jahre aufbewahrt werden.
Als Geschäftsbrief (Handelsbrief) gilt jegliche Korrespondenz, die der Vorbereitung, der Durchführung oder der Rückgängigmachung eines Geschäfts dient.
Herr Roeske, vielen Dank für den Artikel. Wie sieht es denn mit der Aufbewahrung von Unterlagen in Bezug auf die Bearbeitung von Auskunftsanfragen und Ermittlungsunterlagen etc. im Rahmen von Datenschutzverstößen aus? Vielen Dank im Voraus für Ihre Ansicht
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat eine Information zum Auskunftsrecht veröffentlicht.
In dieser schreibt sie u.a.:“ Weil die Nichterteilung einer Auskunft nach Artikel 83 DS-GVO bußgeldbewehrt ist, hat die oder der Verantwortliche ein berechtigtes Interesse daran, die Erteilung der Auskunft gegenüber der Aufsichtsbehörde nachweisen zu können. Da die Verfolgungsverjährungsfrist für diesen Fall drei Jahre beträgt, wäre eine auf dieses Interesse gestützte Aufbewahrung für höchstens drei Jahre nicht zu beanstanden.“
Aber sie schreibt auch: „Ob die Nachweispflicht des Verantwortlichen (Artikel 5 Abs. 2 DS-GVO) auch die Pflicht beinhaltet, Negativauskünfte eine gewisse Zeit aufzubewahren, und wenn ja, für wie lange, lässt sich derzeit nicht mit Sicherheit beantworten.“ Dies verdeutlicht gut die herrschende Rechtsunsicherheit.
Die Verjährungsfrist beginnt im Regelfall erst mit Ende des Jahres, in dem der Betroffene Kenntnis vom Rechtsverstoß erlangt hat oder unter normalen Umständen hätte erlangen können. Unter diesen Umständen sind vier Jahre schnell erreicht.
Im Rahmen dieses Blogs lässt sich Ihre (sehr gute) Frage leider nicht abschließend beantworten, aber ich hoffe die Ansätze helfen weiter.
Weitere Informationen finden Sie auch in unserem Artikel „Verjährung im Datenschutz“.
Hallo zusammen,
habe eine Frage zum Thema Datenlöschung im Unternehmensumfeld.
Wie kann man dafür sorgen, das auf Laufwerken, Shares und lokalen Rechnern/USB-Sticks etc. die Datenlöschung eingehalten wird. Für Mitarbeiter ist es doch teilweise recht schwer zu unterscheiden ob gelöscht werden muss oder nicht. Weiterhin isr es konzeptional recht schwierig hier die Datenlöschungen nachzuhalten.
Bisher hatte ich mir folgendes überlegt.
– User in den jeweiligen Fachabteilungen sind selbst für die Löschung der Daten zuständig.
– Keyuser in jeder Fachabteilung fragt die entsprechende Löschung der Daten halbjährlich/jährlich bei den Mitarbeitern ab.
– Pro Fachabteilung ein Keyuser der dann die Löschungen der Daten (die gelöscht werden müssen) prüft (teilweise nur Stichprobenartig).
– Das Ergebnis wird an den Datenschutzbeauftragten per Mail halbjährlich/jährlich gesendet.
-Dieser führt darüber Bericht.
Bin hier für Optimierungen jeglicher Art offen und bedanke mich im Vorraus!
Beste Grüße
Tom
Das die Fachabteilungen, die die Kompetenzen für die Datenkategorien haben, bei einem solch manuellen Löschen führen sollen, ist eine Möglichkeit.
Die Datenlöschungen sollten dann auch Bestandteil eines internen Abteilungs- bzw. Prozess-Audits des DSB sein.
Natürlich sollte auf Dauer eine automatisierte Datenverarbeitung auch mit einer automatisierten Datenlöschung verbunden werden.
Sprich Datensätze und Dokumente werden schon bei Ihrer Erstellung, mit einem Verfallsdatum versehen und automatisiert gelöscht.
Dies ist zur Zeit noch nicht mit jeder Software möglich, sollte aber in einem Lastenheft für zukünftige Ausschreibungen enthalten sein.