Entwicklung eines Löschkonzepts mit Anleitung

Nach Art. 5 Abs. 1 lit. c DS-GVO gilt der Grundsatz der Speicherbegrenzung. Das bedeutet, dass personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Entfällt der betreffende Zweck, sind die Daten grundsätzlich zu löschen.

Die Entwicklungsschritte eines Löschkonzepts

  1. Personenbezogene Daten im Unternehmen lokalisieren
  2. Daten in Kategorien einordnen
  3. Löschregeln für Kategorien festlegen
  4. Archivieren
  5. Umgang mit Sonderfällen
  6. Die eigentliche Löschung unter verschiedenen Voraussetzungen                           
  7. Sonderfall Auftragsverarbeitung

Schritt 1: Personenbezogene Daten im Unternehmen lokalisieren

Für jede Abteilung des Unternehmens sollte erfasst werden, welche personenbezogenen Daten dort verarbeitet werden.

  • Welche Daten werden auf welchen Systemen gespeichert?
  • Die Datenkategorien (die Art der Daten)
  • Besondere Kategorien personenbezogener Daten inbegriffen?
  • wie lange werden diese Daten unmittelbar für den jeweiligen Geschäftsvorgang benötigt?
  • Gibt es Aufbewahrungspflichten? Dazu sind die Rechtsvorschriften zu ermitteln, die für diese Daten gelten. Meist wird man im HGB oder der AO fündig.
  • Wann beginnt die entsprechende Aufbewahrungsfrist (beispielsweise ab dem Folgejahr für 10 Jahre).

Eine solche Bestandsaufnahme umfasst alle Applikationen, mit denen im Unternehmen personenbezogene Daten verarbeitet werden.

Mögliche Softwareanwendungen gibt es meist viele, z. B.
– Datenbanken
– CRM
– ERP
– Personalverwaltung
– Online-Shop
– E-Mail

Bei der Erstellung des Verzeichnis der Verarbeitunsgtätigkeiten werden die eingesetzten Anwendungen und Verarbeitungszwecke in der Regel bereits zugeordnet, also heißt es in diesem nachzuschauen.

Muster: Bestandsaufnahme von Verfahren und eingesetzten Softwareanwendungen (auch Paper and Pencil Verfahren sind relevant)

Muster Bestandsaufnahme für Löschkonzept

Schritt 2: Daten in Kategorien einordnen

Die erhobenen Datenarten sollten verschiedenen Kategorien zugeordnet werden, für die jeweils die gleiche Aufbewahrungsdauer gilt.

Dabei sollte danach unterschieden werden, ob es sich um besondere personenbezogene Daten handelt, da hier weitere Einschränkungen gelten können.

Eigene Kategorien sollten für Daten gebildet werden, die vom Unternehmen im Wege der Auftragsverarbeitung (AV) von einem Dienstleister verarbeitet werden, oder die das Unternehmen selbst im Auftrag eines Dritten verarbeitet. Auch Konzerngesellschaften können Auftragsverarbeiter oder Auftraggeber einer Auftragsverarbeitung sein!

Muster: Konzeptionelle Übersicht der Speicherorte von personenbezogenen Daten und Löschregeln

Konzeptionelle Übersicht der Speicherorte
How to Do Payroll And Avoid Mistakes
Excel Accounting and Bookkeeping – Template

Schritt 3: Löschregeln je Kategorie definieren

Die DSGVO sieht vor, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie dies unbedingt notwendig ist (Art. 25 Abs. 2 DSGVO i.V.m. Erw.-Grund 39). Daher sollte für jede Kategorie anhand von Erhebungsdatum, voraussichtlicher (durchschnittlicher) Bearbeitungszeit und dem Beginn der jeweiligen Aufbewahrungsfrist eine Löschregel bestimmt werden. Es ist sinnvoll, die Anzahl der Löschregeln möglichst gering zu halten.

Werden Daten zwar nicht mehr benötigt (etwa um einen Vertrag durchzuführen), müssen aber aufgrund gesetzlicher Aufbewahrungspflichten aufbewahrt werden, geht damit auch eine – rechtlich veranlasste – Zweckänderung einher.

Schritt 4: Archivieren

Ist die Bearbeitung von Daten für einen bestimmten Geschäftsvorfall abgeschlossen, steht vor der Löschung der Daten meist die Archivierung. Dabei werden die Daten i.d.R. in einem System archiviert, welches den gesetzlichen Vorschriften zur Aufbewahrung, insbesondere handels- und steuerrechtlichen Vorschriften oder Vorgaben wie den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“, genügt. Die datenschutzrechtliche Rechtfertigung ergibt sich hierbei meist aus dem Interesse des Verantwortlichen, seinen gesetzlichen Pflichten nachzukommen, kann aber auch aus seinem berechtigten Interesse (laufende Rechtsstreitigkeiten) gerechtfertigt sein. Insofern kommt es zu oben genannter Zweckänderung.

Wie lange Daten archiviert werden, ist entsprechend der gesetzlichen Bestimmungen bzw. der Dauer des berechtigten Interesses zu bestimmen; letzteres rechtfertig meistens nur kürzere Speicherungen.

Schritt 5: Sonderfälle

Wenn ein Betroffener von seinem „Recht auf Vergessenwerden“ (Art. 17 DSGVO) Gebrauch macht, oder sich herausstellt, dass Daten rechtswidrig erhoben wurden, oder eine Aufsichtsbehörde dies vom Unternehmen verlangt (Art. 58 Abs. 2 lit. g DSGVO), kann es sein, dass das Unternehmen einen Datensatz außerhalb der dafür definierten Regeln löschen muss.

Schritt 6: Eigentliche Löschung

  • Ist für eine Gruppe von (archivierten) Datensätzen die Aufbewahrungsfrist abgelaufen, müssen sie gelöscht werden.
  • Dazu sollten sichere Verfahren vorgesehen werden, die – ggfs. nach manueller Bestätigung – die Löschung durchführen und den Löschvorgang automatisiert mitprotokollieren (Löschprotokoll).
  • Wenn dabei Fehler auftreten, z.B. ein Datensatz nicht gefunden werden kann oder gesperrt ist, sollte das Löschverfahren eine Meldung erzeugen.
  • Das Löschprotokoll sollte von einem entsprechend unterrichteten Mitarbeiter geprüft werden.

Dabei sollte das Unternehmen auch berücksichtigen, welche Wege die Daten im Unternehmen gehen. Gibt es mehrere Kopien der Daten, z.B. Stammdaten in verschiedenen Systemen, muss dies ebenso berücksichtigt werden, wie ein Datenaustausch zwischen verschiedenen Systemen, von denen eines das Maßgebliche ist. Eine zentrale Datenbank für Stammdaten kann dabei vieles vereinfachen.

Physisch vorhandene Daten sollten vernichtet werden, z.B. mittels Aktenreißwolf. Häufig übersehen werden dabei Festplatten und andere Speicher in Computern, Druckern oder Telefax-/Multifunktionsgeräten.

Soll die Hardware weiterverwendet werden, oder ist – wie heutzutage häufig der Fall – die Vernichtung der Datenträger praktisch nicht durchführbar, weil die Datenträger dem Unternehmen gar nicht gehören, sollte eine technisch sichere Methode zum Löschen eingesetzt werden. Die normale Löschfunktion der meisten Betriebssysteme und Datenbanken reicht allerdings in aller Regel nicht aus, um die Anforderungen der DSGVO zu erfüllen. Auch das häufig empfohlene Überschreiben ist nicht in allen Konstellationen machbar, z.B. wenn die Daten in einem Shared System oder in einer Datenbank gespeichert sind, die weitere noch aufzubewahrende Datensätze enthält. Die Verschlüsselung einer Gruppe von Datensätzen mit gemeinsamem Löschdatum kann hierfür eine Lösung sein, oder die Anonymisierung der Datensätze.

Bei in Cloud-Anwendungen gespeicherten Daten muss sich das Unternehmen meist auf den Anbieter als Auftragsverarbeiter verlassen. Eine Möglichkeit ist auch, einen Cloud Access Security Broker bzw. ein Cloud Data Protection Gateway einzusetzen, bei dem von vorneherein nur verschlüsselte Daten in der Cloud landen und es genügt, den Schlüssel zu löschen, um die Daten dauerhaft unzugänglich zu machen. Je nach technischer Lösung sind auch hier selektive Löschungen oder Löschung verschiedener Datenkategorien möglich.

Die Löschprotokolle sollten für eine gewisse Dauer aufbewahrt werden, weil Löschungen u.U. nachzuweisen sind. Das könnten z.B. Betroffene sein, die die Löschung ihrer Daten fordern, oder Aufsichtsbehörden.

Schritt 7: Sonderfall Auftragsverarbeitung

Ist das Unternehmen selbst Auftragsverarbeiter eines anderen Unternehmens, ist der Auftraggeber gehalten, Vorgaben für die Löschung zu machen, und wird in der Regel auch Löschprotokolle fordern. Daher sollte die Umsetzung der Vorgaben dokumentiert werden, d.h. sowohl das eigentliche Löschverfahren als auch die Durchführung der Löschung. Ersteres könnte in der Dokumentation der Maßnahmen zur Sicherheit der Verarbeitung (Art. 32 DSGVO) aufgenommen werden, letzteres sind die Löschprotokolle. Löschprotokolle könnten z.B. automatisiert an den Auftraggeber übermittelt werden. Dabei ist strikt darauf zu achten, dass die Protokolle nur die Löschung von Daten des Auftraggebers wiedergeben!

Ist das Unternehmen selbst Auftraggeber, sollte es den Auftragsverarbeitern entsprechend der oben dargestellten Schritte Vorgaben zur Löschung aufgeben, oder deren Verfahren abfragen und prüfen. Zudem sollten von den Auftragnehmern die Löschprotokolle abgefragt werden. Dazu gehört auch, dass geprüft wird, wie lange im Betrieb des Auftragsverarbeiters gebraucht wird, um Anweisungen zur Löschung umzusetzen. Dies ist wichtig, um bei späteren Anfragen dem Auftragsverarbeiter eine angemessene Frist setzen bzw. gegenüber einer Behörde oder einer betroffenen Person entsprechend Auskunft geben zu können.

Wenn die personenbezogene Daten gegenüber einem Dritten offengelegt wurden, da etwa eine Zweckänderung erfolgte (Art. 6 Abs. 4 DSGVO), muss das Unternehmen unter Umständen dem Empfängern der Daten die Berichtigung und die Löschung mitteilen (Art. 19 DSGVO). Daher sollte das Unternehmen regelmäßig prüfen, ob alle Datenübermittlungen dokumentiert sind und ob die entsprechenden Kommunikationskanäle funktionieren. Voraussetzung dafür ist, dass dokumentiert ist, welcher Dritte wann welche Daten bekommen hat.

Weiterlesen