Umsetzung eines Löschkonzepts

Worum geht es?

Das Grundrecht auf Datenschutz beinhaltet, dass personenbezogene Daten nicht ewig aufgehoben werden dürfen. Der Europäische Gerichtshof (EuGH) hat das in einem Urteil vom 24. September 2019 (C:2019:772) sogar verschärft und das Recht auf Vergessenwerden definiert. Personen sollen damit nicht unbefristet an Aussagen, Verhalten oder sonstige sie betreffende Informationen gebunden werden.

Die Herausforderung für Unternehmen: „Wie setzen wir das um, und wie sichern wir ab, dass erforderliche Daten nicht zu früh gelöscht werden?“. Abhilfe schafft das Löschkonzept. Es beinhaltet Vorgaben und Verfahren zur Löschung, um sicherzustellen, dass Löschungen zum richtigen Zeitpunkt ordnungsgemäß erfolgen.

Wann sind Daten zu löschen?

  1. Grundsätzlich sind nach Artt. 5 Abs. 1 e und 17 Abs. 1 a DS-GVO personenbezogene Daten zu löschen, wenn der Zweck zur Aufbewahrung wegfällt. Damit gibt es keine statische Grenze, wann Daten gelöscht werden müssen. Vielmehr ist die Frage zu erörtern, wann das Ziel, wofür die Daten erhoben wurden, erreicht ist.
  2. Ist der Zweck zur Aufbewahrung erreicht, stehen jedoch gesetzliche Aufbewahrungspflichten der Löschung entgegen, sind die Daten erst mit Abschluss der Aufbewahrungspflicht zu löschen.
  3. In einzelnen Ausnahmefällen sind Daten zu löschen, wenn die Löschung entgegen dem Zweck/der Aufbewahrungspflicht vorgeschrieben ist. Dies können bspw. sein:
    1. Bei konkreten gesetzlichen Vorgaben (z.B. § 3 Abs. 4 S. 2 ArbMedVV),
    2. der Betroffene die Löschung verlangt und keine Ausnahme nach Art. 17 Abs. 3 DS-GVO vorliegt,
    3. der Betroffene seine Einwilligung zur Datenverarbeitung widerruft,
    4. der Betroffene berechtigt einer Datenverarbeitung widerspricht oder
    5. die Datenverarbeitung unrechtmäßig war.

Was sollte in einem Löschkonzept geregelt werden?

Empfehlenswert ist es, sich an einem anerkannten Standard zur Entwicklung eines Löschkonzeptes anzulehnen, wie der DIN 66398:

Entstehung und Änderung des Löschkonzeptes

Das Löschkonzept soll Beschäftigten eindeutige Vorgaben zur Löschung personenbezogener Daten machen. Jedoch ist das Löschkonzept kein statisches Regelwerk, viel mehr sollte es sich an die Anforderungen, die strategische und taktische Ausrichtung und an die gegebenen Ressourcen des Unternehmens anpassen. Im Löschkonzept sollte deshalb auch beschrieben sein, wie es entstanden ist und wie mit Anpassungen umzugehen ist, die durch Änderungen von Datenverarbeitungsprozessen vorzunehmen sind.

Festlegung von Standardlöschfristen

Löschfristen sind eine wichtige Säule eines Löschkonzepts. Sucht man im Internet nach Listen mit Löschfristen, so lässt sich eine Vielzahl von Unterlagen und Dokumenten finden, die solche enthalten. Die genaue Umsetzung dieser Listen ist wenig praktikabel, lassen sie doch den Zweck einer Datenverarbeitung außen vor. Empfehlenswert ist es, eine Bestandsaufnahme der bestehenden und bekannten Löschobjekte vorzunehmen und deren Löschfrist einzuschätzen. Hierfür können die Listen mit Aufbewahrungsfristen wiederum helfen.

Die Löschfristen aus der Bestandsaufnahme können helfen, logische Gruppierungen und Zusammenhänge aufzuzeigen, mit denen Standartlöschfristen für das Unternehmen definiert werden können.

Eine Standardlöschfrist sollte enthalten:

  1. Aufbewahrungsfrist
  2. Beginn der Laufzeit
  3. Beschreibung der betroffenen Löschobjekte

Löschprozessdauer

Sollte eine Löschung nicht automatisiert erfolgen, ist es so gut wie unmöglich die Löschung stichtagsgenau umzusetzen. Hier hilft die Festlegung der Löschprozessdauer. Das sind Regelungen die festlegen, wie lange es dauern darf, bis eine Löschung tatsächlich umgesetzt sein muss.

Verfahren zur Löschung

Es sollte genau definiert werden, wie im Unternehmen gelöscht werden darf und was hierbei zu beachten ist. Bspw. über bereitgestellte Container, Entsorgungsdienstleister, die vor Ort kommen, bereitgestellte Schredder etc.

Umsetzung der Löschregeln

Mit den getroffenen Vorgaben sollten konkrete Umsetzungsregeln für Querschnittsbereiche (Backups, Log-Protokolle etc.) Einzelsysteme (CRM, ERP etc.), manuelle Prozesse (physische Personalakte etc.) oder auch Auftragsverarbeitungen definiert werden. Hierbei sollten auch die Verantwortlichkeiten abgegrenzt werden.

Sonderfälle

Löschregeln sollten für den normalen Verlauf einer Datenverarbeitung definiert werden. Jedoch gibt es auch Sonderfälle, die eine frühzeitige Löschung oder das Aussetzen einer Löschregel nach sich ziehen. Auch hier sollten Regeln definiert werden. Sonderregeln könnten bspw. erforderlich sein für:

  • Rechtsstreitigkeiten
  • Steuer- und Sozialprüfungen
  • IT-Forensik und Beweissicherung
  • Fehleranalysen
  • Unzulässige Datenverarbeitungen

Sollte ich das Löschkonzept gemäß der DIN 66398 umsetzen?

Nach der DIN 66398 sollen Löschregeln für Datenarten festgelegt werden. Eine Datenart nach dem früheren BDSG waren beispielsweise „Gesundheitsdaten“. Eine Löschregel nur für Gesundheitsdaten zu definieren, hört sich einfach an, scheitert jedoch an der Praxis. Unterlagen aus dem betrieblichen Wiedereingliederungsmanagement sind in der Regel während des Beschäftigungsverhältnisses zu löschen. Im Gegensatz dazu sind Unterlagen zur arbeitsmedizinischen Vorsorge bis zum Ende des Beschäftigungsverhältnisses aufzubewahren und erst danach zu vernichten. In beiden Fällen werden Gesundheitsdaten verarbeitet, die Vorgaben zur Löschung sind völlig konträr.

Zielführender ist die Orientierung am „Löschobjekt“. Ein Löschobjekt ist der kleinste logische löschbare Datenverbund. Z.B. ist es meist unmöglich und rechtlich unzulässig, den Empfänger aus einer Rechnung zu löschen. Löschobjekt in diesem Fall ist nicht der Empfängerdatensatz, sondern die Rechnung.

Ein weiteres Beispiel: Eine Löschung von Stammdaten in der digitalen Personalakte zur Erfüllung der Aufbewahrungsfrist bedeutet, dass der Bezug, wem die aufbewahrungspflichtigen Unterlagen zuzuordnen sind, verloren geht. Daher können die Stammdaten erst mit Löschung der digitalen Akten gelöscht werden.

Nutzen

Daten sind das Öl des 21. Jahrhunderts. Dennoch müssen personenbezogene Daten nach Entfall der Zweckbindung oder am Ende der Aufbewahrungsfrist gelöscht werden. Das Löschkonzept hilft die gesetzlichen Vorgaben mit minimalem Aufwand, ordnungsgemäß und verlässlich umzusetzen. Zudem bietet es die Chance, sich von unnötigen Informationen zu entfernen, und sich dadurch auf das Wesentliche konzentrieren zu können.

Hilfreich Links:

Verfasser: MK, 28.02.2020

Bild von wir_sind_klein auf Pixabay 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert