Vergiss mich, vergiss mich nicht – Das Löschkonzept unter der DSGVO

Bei vielen Unternehmen kommt im Zusammenhang mit der EU-Datenschutzgrundverordnung (DSGVO) immer wieder die Frage nach dem „Löschkonzept“ auf. Dieser Beitrag beschreibt die wesentlichen Schritte, die Unternehmen gehen müssen, um ein zur DSGVO konformes Löschkonzept und die damit verbundene Dokumentation zu erstellen.

DSGVO: Rechtlicher Hintergrund

Bis zum 25. Mai 2018 müssen Unternehmen die DSGVO umsetzen. Dazu gehören auch Konzepte, wie personenbezogene Daten aufbewahrt und vor allem gelöscht werden. Die Voraussetzungen, unter denen Unternehmen personenbezogene Daten löschen müssen, sind etwa in Art. 17 und 25 DSGVO geregelt. Grundsätzlich sollen personenbezogene Daten nur solange gespeichert werden, wie dies unbedingt notwendig ist (vgl. Erw.-Grund 39 der DSGVO). Eine Löschpflicht kann auch entstehen, wenn die betroffene Person die Löschung verlangt, weil sie von ihrem „Recht auf Vergessenwerden“ (Art. 17 DSGVO) Gebrauch macht, oder sie eine zuvor abgegebene Einwilligung widerruft, oder sie Widerspruch gegen die weitere Verarbeitung ihrer Daten einlegt.

Das Konzept des „Rechts auf Vergessenwerden“ ist als Institut nicht neu und auch älter als das sogenannte Google-Urteil des Europäischen Gerichtshofs (EuGH, Urt. v. 13.05.2014, Az. C-131/12), mit dem dieses Recht einer breiten Öffentlichkeit bekannt wurde. Die Pflicht zur Löschung von Daten auf Verlangen der betroffenen Person ist schon im bisher geltenden Bundesdatenschutzgesetz (BDSG) normiert (§ 35 BDSG); die dem BDSG zugrunde liegende EU-Datenschutzrichtlinie stammt aus 1995. Auch nach so vielen Jahren haben allerdings viele Unternehmen diese bereits unter dem BDSG bestehende Pflicht nicht umfassend umgesetzt. Das mag seine Ursache darin haben, dass in der Praxis die selektive Löschung von Daten die Unternehmen vielfach vor erhebliche technische, organisatorische und teilweise auch rechtliche Herausforderungen stellt.

Ein häufiges praktisches Problem dabei ist, überhaupt zu wissen, wo im Unternehmen die zu löschenden Daten gespeichert sein könnten (und daher gelöscht werden müssen), welche Systeme wie miteinander Daten austauschen, und wer alles die Daten erhalten hat und ggfs. über den Löschwunsch informiert werden muss. Was in einem Unternehmen mit monolithisch-zentralistischer IT-Infrastruktur noch machbar erscheint, wird bei kleinen Unternehmen spätestens mit dem Einzug aktueller Technologien wie Cloud Computing, Virtualisierung auf allen Ebenen und der Auslagerung ganzer Geschäftsprozesse zu einer schwer überschaubaren Vielfalt von Datenverarbeitungen.

Auf rechtlicher Ebene stellen die gesetzlichen Aufbewahrungspflichten, die vor allem im Handels- und Steuerrecht geregelt sind, ein Gegengewicht zu den Löschwünschen der betroffenen Personen dar, allerdings nur, soweit die fraglichen Daten aufbewahrungspflichtig sind. Das gilt zwar für viele, aber eben nicht für alle Geschäftsunterlagen. Zudem spielt bei aufbewahrungspflichten Unterlagen die Authentizität und Integrität eine große Rolle. Das Unternehmen muss sicherstellen, dass die Unterlagen nicht nachträglich geändert werden. Müssen also Daten gelöscht werden, muss genau zwischen solchen Daten unterschieden werden, die nicht ohne Verletzung der Authentizität und Integrität der aufbewahrungspflichtigen Unterlage entfernt werden können, und solchen Unterlagen (oder Teilen davon), bei denen dies möglich ist bzw. die schon gar keiner Aufbewahrungspflicht unterliegen. Die bisher von vielen verfolgte Strategie, den teilweise weit formulierten gesetzlichen Aufbewahrungspflichten einfach dadurch nachzukommen, alle auch nur entfernt in Frage kommenden Unterlagen und Daten für die längste in Frage kommende Aufbewahrungspflicht zu speichern, geht daher unter der DSGVO nicht mehr auf.

DIN-Norm als Lösung?

Das starke Engagement der deutschen Wirtschaft in der Normung ist sprichwörtlich und hat auch handfeste finanzielle Vorteile. Daher wundert es nur, dass es bis Ende 2017 gedauert hat, bis die offizielle DIN-Norm 66398 zum Thema Löschkonzept verabschiedet wurde. DIN-Normen im Volltext sind kostenpflichtig. Kostenfrei verfügbar sind aber eine im Internet leicht zu findende Vorabversion, sowie die Webseite http://din-66398.de, die eine Vielzahl von ergänzenden Informationen bereitstellt.

Die finale Fassung der DIN-Norm bzw. die Vorversion sind recht lang und konkrete Löschregeln und Löschfristen für das eigene Unternehmen liefern sie nicht. Freilich kann es auch keine Universallösung geben: Löschfristen hängen, wie weiter unten dargestellt, neben den gesetzlichen und aufsichtlichen Bestimmungen wesentlich auch von den Bedürfnissen des Unternehmens ab:

  • für jedes Unternehmen gelten zunächst die allgemeinen datenschutz-, handels- und steuerrechtlichen gesetzlichen Bestimmungen: HGB, AO, DSGVO;
  • Banken und andere nach dem Geldwäschegesetz (GwG) Verpflichtete – auch Rechtsanwälte! – müssen Unterlagen, z.B. Personalausweiskopien, aus der Geldwäscheprüfung aufbewahren;
  • Unternehmen, die unter das Wertpapierhandelsgesetz (WpHG) fallen, müssen Telefonate mit ihren Kunden aufzeichnen und speichern (§ 83 Abs. 3 WpHG);
  • Unternehmen, die Tochtergesellschaften von US-Unternehmen sind, oder selber dort Töchter haben, müssen in der Lage sein, Unterlagen zu sperren und somit vor Löschung und Veränderung zu schützen, wenn sie etwa im Rahmen einer sog. „pre-trial discovery“ (dazu weiter unten mehr) einem „litigation hold“ unterliegen;
  • Unternehmen, zu deren Kunden öffentliche Auftraggeber gehören, können Unterlagen, v.a. Angebotsunterlagen, für ein Preisprüfungsverfahren benötigen (VO PR 30/ 53).

Die DIN-Norm bzw. die Vorversion liefert aber wertvolle Hinweise, wie Verfahren zur Löschung in der Praxis umzusetzen sind, und zwar so, dass neben der DSGVO auch weitere Rechtsvorschriften beachtet werden.

In Kürze: wie man ein Löschkonzept erstellt

Die Umsetzungsprojekte zur DSGVO führen nun dazu, dass Unternehmen einen gangbaren Kompromiss zwischen den oben dargestellten Pflichten und dem Anspruch der betroffenen Person auf Löschung finden müssen. Anders als bisher drohen nun bei Verstößen gegen die DSGVO empfindliche Strafen. Es ist zwar recht unwahrscheinlich, dass ein kleines Unternehmen ein Bußgeld in der Größenordnung der immer wieder heraufbeschworenen Millionenbeträge auferlegt bekommt. Jedoch spielt im Fall eines Verstoßes bei der Bemessung der Strafe zukünftig eine Rolle, ob der Verstoß ein Einzelfall ist oder auf ein systematisches Problem hindeutet (Art. 83 Abs. 2 lit. a DSGVO).

Folgende Schritte sollten Unternehmen durchführen, die ein Löschkonzept erstellen wollen:

1. Personenbezogene Daten im Unternehmen lokalisieren

Für jede Abteilung des Unternehmens sollte erfasst werden, welche personenbezogenen Daten dort verarbeitet werden. Welche Daten werden auf welchen Systemen gespeichert? Gibt es ein zentrales System für Stammdaten?

Dabei sollten erfasst werden:

  • die Datenkategorien, d.h. die Art der Daten;
  • ob es sich um besondere Kategorien personenbezogener Daten handelt;
  • die Dauer, für die diese Daten unmittelbar für den jeweiligen Geschäftsvorgang benötigt werden. Beim Massengeschäft, z.B. der Verarbeitung von Zahlungstransaktionen, könnte man eine durchschnittliche Verweildauer ermitteln;
  • ob die betreffenden Daten aufbewahrungspflichtig sind. Dazu sind die Rechtsvorschriften zu ermitteln, die für diese Daten gelten. Die Paragraphen 257 Handelsgesetzbuch (HGB) und § 147 Abgabenordnung (AO) gelten für die meisten Unterlagen und fordern eine Aufbewahrung zwischen 5 und 10 Jahren;
  • wie lange die Aufbewahrungspflicht gilt, d.h. wann die entsprechende Frist beginnt und wann sie endet;
  • auf welchem System oder Datenträger diese Daten gespeichert werden;
  • welche Datenzu- und Abflüsse in bzw. von anderen Systemen es gibt, d.h. für welche Systeme das betrachtete System die Datenquelle ist und welche Systeme für das betrachtete System maßgeblich sind (z.B. zentrale Stammdatenbank).

Eine solche Bestandsaufnahme umfasst alle Applikationen, mit denen im Unternehmen personenbezogene Daten bearbeitet werden. Davon gibt es, unabhängig von der Branche, in den meisten Unternehmen eine ganze Menge: Datenbanken (auch: die selbst geschriebene Notes oder MS Access Datenbank!), Software zum Customer Relationship Management, Software zu Archivierung von Unterlagen, Software zu Analyse von Daten inkl. Big-Data, sowie die üblichen E-Mail- und Office-Anwendungen. Ebenso sind in fast jedem Unternehmen spezielle Programmpakete für die Personalabteilung, Lohn-/Gehaltsabrechnung (ggfs. ausgelagert), Bewerbermanagement, usw. vorhanden

Immerhin: diese Bestandaufnahme muss ohnehin durchgeführt werden, wenn das Unternehmen die einzelnen Verarbeitungstätigkeiten identifiziert und dokumentiert, um sie anschließend in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aufzunehmen.

2. Daten in Kategorien einordnen

Die erhobenen Datenarten sollten verschiedenen Kategorien zugeordnet werden, für die jeweils die gleiche Aufbewahrungsdauer gilt. Dabei sollte danach unterschieden werden, ob es sich um besondere personenbezogene Daten handelt, da hier weitere Einschränkungen gelten können.

Eigene Kategorien sollten für Daten gebildet werden, die vom Unternehmen im Wege der Auftragsverarbeitung (AV) von einem Dienstleister verarbeitet werden, oder die das Unternehmen selbst im Auftrag eines Dritten verarbeitet. Auch Konzerngesellschaften können Auftragsverarbeiter oder Auftraggeber einer Auftragsverarbeitung sein!

3. Löschregeln je Kategorie definieren

Die DSGVO sieht vor, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie dies unbedingt notwendig ist (Art. 25 Abs. 2 DSGVO i.V.m. Erw.-Grund 39). Daher sollte für jede Kategorie anhand von Erhebungsdatum, voraussichtlicher (durchschnittlicher) Bearbeitungszeit und dem Beginn der jeweiligen Aufbewahrungsfrist eine Löschregel bestimmt werden. Es ist sinnvoll, die Anzahl der Löschregeln möglichst gering zu halten.

Werden Daten zwar nicht mehr benötigt (etwa um einen Vertrag durchzuführen), müssen aber aufgrund gesetzlicher Aufbewahrungspflichten aufbewahrt werden, geht damit auch eine – rechtlich veranlasste – Zweckänderung einher.

4. Archivieren

Ist die Bearbeitung von Daten für einen bestimmten Geschäftsvorfall abgeschlossen, steht vor der Löschung der Daten meist die Archivierung. Dabei werden die Daten i.d.R. in einem System archiviert, welches den gesetzlichen Vorschriften zur Aufbewahrung, insbesondere handels- und steuerrechtlichen Vorschriften oder Vorgaben wie den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“, genügt. Die datenschutzrechtliche Rechtfertigung ergibt sich hierbei meist aus dem Interesse des Verantwortlichen, seinen gesetzlichen Pflichten nachzukommen, kann aber auch aus seinem berechtigten Interesse (laufende Rechtsstreitigkeiten) gerechtfertigt sein. Insofern kommt es zu oben genannter Zweckänderung.

Wie lange Daten archiviert werden, ist entsprechend der gesetzlichen Bestimmungen bzw. der Dauer des berechtigten Interesses zu bestimmen; letzteres rechtfertig meistens nur kürzere Speicherungen.

5. Sonderfälle

Wenn ein Betroffener von seinem „Recht auf Vergessenwerden“ (Art. 17 DSGVO) Gebrauch macht, oder sich herausstellt, dass ein Datensatz rechtswidrig erhoben wurde, oder eine Aufsichtsbehörde dies vom Unternehmen verlangt (Art. 58 Abs. 2 lit. g DSGVO), kann es sein, dass das Unternehmen einen Datensatz außerhalb der dafür definierten Regeln löschen muss.

Ebenso kann das Unternehmen verpflichtet sein, alle Löschungen und Änderungen der Daten zu stoppen. Im US-Verfahrensrecht gibt es die sogenannte „pre-trial discovery“, bei dem Unterlagen und Daten an die gegnerische Partei herauszugeben sind. Werden eigentlich herauszugebende Daten dennoch gelöscht, etwa weil die Löschregeln nicht ausgesetzt wurden, kann allein dies dazu führen, dass das Verfahren verloren wird. Betroffen sind daher Unternehmen, die der Jurisdiktion der US-Gerichte unterliegen, z.B. wenn sie die Tochtergesellschaft eines US-Unternehmens sind oder selbst ein Tochterunternehmen in den USA haben.

Idealerweise legt das Unternehmen in einer eigenen Beschreibung der Verarbeitungstätigkeit fest, wie ein Löschvorgang im Sonderfall abläuft, so dass das Unternehmen dem Betroffenen, dem US-Gericht oder einer Aufsichtsbehörde belegen kann, dass die Daten gelöscht bzw. im Fall der pre-trial discovery gesperrt und vor Veränderungen geschützt wurden. Dazu gehört die Definition der Vorgehensweise und das Festlegen eventueller manueller Eingriffe (z.B. zu Auswahl der Daten, Vier-Augen-Prinzip, Dokumentation/Protokoll).

6. Eigentliche Löschung

Ist für eine Gruppe von (archivierten) Datensätzen die Aufbewahrungsfrist abgelaufen, müssen sie gelöscht werden. Dazu sollten sichere Verfahren vorgesehen werden, die – ggfs. nach manueller Bestätigung – die Löschung durchführen und den Löschvorgang automatisiert mitprotokollieren (Löschprotokoll). Wenn dabei Fehler auftreten, z.B. ein Datensatz nicht gefunden werden kann oder gesperrt ist, sollte das Löschverfahren eine Meldung erzeugen. Das Löschprotokoll sollte von einem entsprechend unterrichteten Mitarbeiter geprüft werden.

Dabei sollte das Unternehmen auch berücksichtigen, welche Wege die Daten im Unternehmen gehen. Gibt es mehrere Kopien der Daten, z.B. Stammdaten in verschiedenen Systemen, muss dies ebenso berücksichtigt werden, wie ein Datenaustausch zwischen verschiedenen Systemen, von denen eines das Maßgebliche ist. Eine zentrale Datenbank für Stammdaten kann dabei vieles vereinfachen.

Physisch vorhandene Daten sollten vernichtet werden, z.B. mittels Aktenreißwolf. Häufig übersehen werden dabei Festplatten und andere Speicher in Computern, Druckern oder Telefax-/Multifunktionsgeräten.

Soll die Hardware weiterverwendet werden, oder ist – wie heutzutage häufig der Fall – die Vernichtung der Datenträger praktisch nicht durchführbar, weil die Datenträger dem Unternehmen gar nicht gehören, sollte eine technisch sichere Methode zum Löschen eingesetzt werden. Die normale Löschfunktion der meisten Betriebssysteme und Datenbanken reicht allerdings in aller Regel nicht aus, um die Anforderungen der DSGVO zu erfüllen. Auch das häufig empfohlene Überschreiben ist nicht in allen Konstellationen machbar, z.B. wenn die Daten in einem Shared System oder in einer Datenbank gespeichert sind, die weitere noch aufzubewahrende Datensätze enthält. Die Verschlüsselung einer Gruppe von Datensätzen mit gemeinsamem Löschdatum kann hierfür eine Lösung sein, oder die Anonymisierung der Datensätze.

Bei in Cloud-Anwendungen gespeicherten Daten muss sich das Unternehmen meist auf den Anbieter als Auftragsverarbeiter verlassen. Eine Möglichkeit ist auch, einen Cloud Access Security Broker bzw. ein Cloud Data Protection Gateway einzusetzen, bei dem von vorneherein nur verschlüsselte Daten in der Cloud landen und es genügt, den Schlüssel zu löschen, um die Daten dauerhaft unzugänglich zu machen. Je nach technischer Lösung sind auch hier selektive Löschungen oder Löschung verschiedener Datenkategorien möglich.

Die Löschprotokolle sollten für eine gewisse Dauer aufbewahrt werden, weil Löschungen u.U. nachzuweisen sind. Das könnten z.B. Betroffene sein, die die Löschung ihrer Daten fordern, oder Aufsichtsbehörden.

7. Testen, testen, testen

Ähnlich wie bei Software-Entwicklungsprojekten sollte vor Inbetriebnahme der Löschverfahren ein umfassender Test erfolgen.

Wenn irgend möglich, sollte das Unternehmen testen, ob eine Löschung richtig und rechtzeitig durchgeführt wird und die Protokolle erzeugt werden. Das gilt erst recht, wenn Abhängigkeiten zwischen verschiedenen Systemen bestehen. Eine im Produktionsbetrieb befindliche Datei, von der es keine Sicherheitskopie gibt, lässt sich bei datenschutzkonformer Löschung nämlich nicht wiederherstellen.

Ebenso sollten die Auswirkungen von Löschungen auf miteinander verbundene Systeme beobachtet werden. Was passiert z.B., wenn ein Stammdatensatz in der Stammdaten-Datenbank gelöscht wird? Wie schnell wird in die angeschlossenen Systeme synchronisiert? Kommt es zu Fehlfunktionen?

8. Sonderfall Auftragsverarbeitung

Ist das Unternehmen selbst Auftragsverarbeiter eines anderen Unternehmens, ist der Auftraggeber gehalten, Vorgaben für die Löschung zu machen, und wird in der Regel auch Löschprotokolle fordern. Daher sollte die Umsetzung der Vorgaben dokumentiert werden, d.h. sowohl das eigentliche Löschverfahren als auch die Durchführung der Löschung. Ersteres könnte in der Dokumentation der Maßnahmen zur Sicherheit der Verarbeitung (Art. 32 DSGVO) aufgenommen werden, letzteres sind die Löschprotokolle. Löschprotokolle könnten z.B. automatisiert an den Auftraggeber übermittelt werden. Dabei ist strikt darauf zu achten, dass die Protokolle nur die Löschung von Daten des Auftraggebers wiedergeben!

Ist das Unternehmen selbst Auftraggeber, sollte es den Auftragsverarbeitern entsprechend der oben dargestellten Schritte Vorgaben zur Löschung aufgeben, oder deren Verfahren abfragen und prüfen. Zudem sollten von den Auftragnehmern die Löschprotokolle abgefragt werden. Dazu gehört auch, dass geprüft wird, wie lange im Betrieb des Auftragsverarbeiters gebraucht wird, um Anweisungen zur Löschung umzusetzen. Dies ist wichtig, um bei späteren Anfragen dem Auftragsverarbeiter eine angemessene Frist setzen bzw. gegenüber einer Behörde oder einer betroffenen Person entsprechend Auskunft geben zu können.

Wenn die personenbezogene Daten gegenüber einem Dritten offengelegt wurden, da etwa eine Zweckänderung erfolgte (Art. 6 Abs. 4 DSGVO), muss das Unternehmen unter Umständen dem Empfängern der Daten die Berichtigung und die Löschung mitteilen (Art. 19 DSGVO). Daher sollte das Unternehmen regelmäßig prüfen, ob alle Datenübermittlungen dokumentiert sind und ob die entsprechenden Kommunikationskanäle funktionieren. Voraussetzung dafür ist, dass dokumentiert ist, welcher Dritte wann welche Daten bekommen hat.

Im Zuge des DSGVO-Einführungsprojekts sind im Unternehmen wahrscheinlich schon die Verträge zur Auftrags(daten)verarbeitung überprüft und ggfs. aktualisiert worden. Dabei sollte geprüft worden sein, ob dort Regelungen zur Löschung enthalten sind (vgl. Art. 28 Abs. 1 lit. f DSGVO), die mit dem eigenen Löschkonzept konform sind. Die Erfahrung zeigt, dass auch scheinbar DSGVO-konforme Verträge die Löschung lückenhaft regeln oder zu sehr im Interesse des Auftragsverarbeiters formuliert sind („einfach alles löschen“). Gegebenenfalls müssen die Verträge angepasst werden

9. Das Löschkonzept

Die oben dargestellten Datenerhebungen, Kategorien, Entscheidungen und Regelungen, insbesondere die Löschregeln, sollten dokumentiert und zusammengefasst werden – et voilà, damit hat das Unternehmen ein Löschkonzept. Auf dieses kann z.B. in einer Beschreibung einer Verarbeitungstätigkeit verwiesen werden.

Fazit

Auch wenn schnell der Eindruck entstehen mag, die DSGVO bürde den Unternehmen auch in Punkto Löschung nur unnötige Bürokratie auf: es greift zu kurz, das Löschkonzept nur aus der DSGVO-Perspektive zu betrachten. Unternehmen sind längst aufgrund ganz anderer Vorschriften verpflichtet, selektive, zeitlich gesteuerte Verfahren zur Aufbewahrung von Daten zu haben. Dies gehört letztlich zur Steuerung und Kontrolle des Unternehmens und der Risiken, denen es ausgesetzt ist. DSGVO (und zuvor das BDSG) verhindern nur, dass die von vielen Unternehmen bislang verfolgte Strategie, einfach alles dauerhaft auf den heutzutage kostengünstig verfügbaren Massenspeichern aufzubewahren, beibehalten werden kann.

Daher ist die Implementierung eines DSGVO-Löschkonzepts eng mit der Umsetzung handels- und steuerrechtlicher sowie weiterer Aufbewahrungspflichten verbunden, die ebenfalls eine genaue Kenntnis der Datenflüsse im Unternehmen und ggfs. eine Bestandsaufnahme erfordern. Auch ein Widerspruch etwa gegen den Erhalt von E-Mail-Werbung (§ 7 Abs. 3 UWG) lässt sich nur durch Löschung bestimmter Daten umsetzen. Wer also anlässlich der DSGVO feststellt, dass im eigenen Unternehmen Verbesserungsbedarf besteht, kann damit gleichzeitig mehrere weitere Anforderungen abdecken. Ein gut gemachtes, durchgehend umgesetztes Löschkonzept trägt daher erheblich zu einer guten Compliance des Unternehmens bei.

 

Titelbild / Cover picture: Copyright © fotolia & PayTechLaw

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like