Daten richtig löschen

Wann wird ein Löschkonzept benötigt?

Die Idee, dass die betroffene Person ein Recht auf Löschung ihrer Daten hat, ist fast so alt, wie die Gesetzgebung zum Datenschutz. Bereits im ersten Bundesdatenschutzgesetz von 1977 ist die Löschung von personenbezogenen Daten vorgesehen. Dabei gibt es hier bereits das Konzept der Zweiteilung: Zum einen ist es ein Recht, dass die betroffene Person ausüben kann (§ 4 Nr. 4 BDSG 1977) zum anderen ist es eine Verpflichtung, die der Verantwortliche hat (§ 14 Abs. 3 BDSG 1977). So war die Löschung von personenbezogenen Daten immer dann vorgesehen, wenn die Kenntnis der Daten für die Aufgabenerfüllung nicht mehr erforderlich war.

Diese Idee hat sich zuletzt auch in der europäischen Gesetzgebung zum Datenschutz fortgesetzt. Die Datenschutzgrundverordnung (DSGVO) fordert an verschiedenen Stellen die Auseinandersetzung mit dem Löschen von personenbezogenen Daten. So dürfen nach Art. 5 DSGVO die Daten nur soweit gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. In Art. 17 DSGVO wird der Verantwortliche ganz konkret dazu verpflichtet die Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden oder auf sonstige Weise verarbeitet werden, nicht mehr notwendig sind.

Löschen: Eine Definition

Die DSGVO definiert den Begriff des Löschens nicht. In Anlehnung an die Definition des Bundesdatenschutzgesetzes in der alten Fassung ist das Löschen als die Unkenntlichmachung von personenbezogenen Daten zu verstehen. Laut Peuker (vgl. Sydow, DSGVO Art. 17 Rn. 32) handelt es sich beim Löschen um „eine grundsätzlich irreversible Handlung, die eine Kenntnisnahme von und Informationsgewinnung aus personenbezogenen Daten fortan verhindert – etwa durch (ggf. mehrfaches) Überschreiben, Unleserlichmachen, Löschen von Verknüpfungen oder Decodierungsschlüsseln“. An die Stelle der Löschung kann auch die Anonymisierung treten. Zur Anonymisierung personenbezogener Daten und den rechtlichen und technischen Voraussetzungen soll hier auf unseren Blog-Artikel verwiesen werden.

Löschfristen vs. Aufbewahrungsfristen

Der unverzüglichen Löschung von personenbezogenen Daten stehen in der beruflichen Praxis häufig gesetzliche Aufbewahrungsfristen entgegen. Neben den gesetzlichen Regelungen zur Löschung personenbezogener Daten gibt es auch rechtliche Grundsätze, die eine Speicherung von Daten für einen Mindestzeitraum vorsehen. Dies betrifft zum Beispiel Steuerunterlagen, die für 10 Jahre aufgehoben werden müssen. Damit es in der Praxis nicht zum Konflikt kommt, sollten schon bei der Dokumentation der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 lit. f DSGVO im Rahmen jeder Verarbeitungstätigkeit die Fristen für die Löschung der einzelnen Datenkategorien sowie die Aufbewahrungsfristen und Archivierungsregeln dokumentiert sein.

Wie wird das Löschen personenbezogener Daten dokumentiert?

Die Notwendigkeit, das Löschen von personenbezogenen Daten zu planen und zu dokumentieren ergibt sich ebenfalls aus den Anforderungen des Art. 24 DSGVO. Danach muss der Verantwortliche Prozesse planen, umsetzen, überprüfen und aktualisieren, um den Anfordergen der DSGVO gerecht zu werden. Im Rahmen der Rechenschaftspflichten aus Art. 5 und Art. 24 ergibt sich die Notwendigkeit, Aufzeichnungen für die Löschung vorweisen zu können, zum Beispiel in Form von Protokollen. Dazu haben wir eine Checkliste erstellt, die wir gerne als Download bereitstellen.

Was sind die Inhalte des Löschkonzepts?

Wie kann also ein Löschkonzept konkret aussehen und welche Bestandteile sollte es enthalten?

Einfach zusammengefasst beschäftigt sich das Löschkonzept mit den Fragen:

  • Was?
  • Wann?
  • Wie?
  • Von Wem?

Der richtige Zeitpunkt des Löschens – Datenkategorie und Speicherfrist sind Grundlage

Es empfiehlt sich, auf die Dokumentation der Verarbeitungstätigkeiten abzuzielen. Denn die Vorgaben aus der Datenschutzgrundverordnung sehen vor, dass die Speicherfrist bzw. die Löschfrist sich auf die Datenkategorien beziehen soll, und beide, sowohl die Datenkategorien als auch die Speicherfristen, sind hier bereits dokumentiert. Sollten die Informationen nicht hinreichend konkret in dem Verzeichnis von Verarbeitungstätigkeiten abzulesen sein, dann bietet sich im Rahmen des Löschkonzeptes zugleich die Gelegenheit, die Datenkategorien zu bestimmen und die jeweiligen Löschfristen festzulegen. Bei der Bestimmung der Löschfristen muss der Fachbereich unterstützen. Es ist nicht die Aufgabe des Datenschutzbeauftragten die Löschfristen oder Speicherdauer festzulegen. Anhaltspunkte zu Aufbewahrungsfristen liefern neben den gesetzlichen Vorgaben aus dem Handelsgesetzbuch, der Abgabeordnung u.a. auch die Internetseiten von z.B. Haufe, Reisswolf oder den Industrie- und Handelskammern.

Wie werden personenbezogene Daten DSGVO-konform gelöscht?

Das Löschkonzept sollte daneben auch die eingesetzten Anwendungen und Programme berücksichtigen, mit denen die personenbezogenen Daten verarbeitet werden. Auch hier kann das Verzeichnis von Verarbeitungstätigkeiten einen Hinweis gegeben. Diese Information ist wichtig, um sich mit der Methodik der Löschung beschäftigen zu können. So kann man z.B. gemeinsam mit dem Hersteller einer Datenbankanwendung Wege finden, um Datensätze mit personenbezogenen Daten zu löschen oder diese Daten zu anonymisieren, falls man bestimmte Informationen, die keinen Personenbezug aufweisen zu statistischen Zwecken weiter benötigt. Häufig bieten z.B. CRM-Tools bereits Funktionen zum Löschen von personenbezogenen Daten.

Auch für das Thema der Löschung von unstrukturierten Daten liefert das Verzeichnis von Verarbeitungstätigkeiten den notwendigen Hinweis. Sollten für eine Verarbeitungstätigkeit Office-Anwendungen wie z.B. Microsoft Word oder Excel zum Einsatz kommen und der Verantwortliche die Dateiablage nicht über ein Dokumentenmanagementsystem organisiert haben, dann werden die personenbezogenen Daten, die in den Dokumenten und Arbeitsmappen liegen als unstrukturierte Daten zu identifizieren sein. Da auch für unstrukturierte Daten die Löschung berücksichtigt werden muss, ist hier die strukturierte Speicherung der Dateien besonders wichtig. Wenn die Speicherfrist für die Dateien festgelegt worden ist, dann kann z.B. die Ablage nach Jahren und Monaten die Löschung erleichtern. (Laufwerk://2021/Januar/Testdatei.doc)

Neben den Anwendungen und Programmen ist es auch sinnvoll die Ablageorte zu identifizieren. Die Pflicht zur Löschung von personenbezogenen Daten bezieht sich z.B. auch auf archivierte Daten. Ist also die Aufbewahrungsfrist erreicht und die Daten waren im elektronischen Archiv gespeichert, dann müssen die personenbezogenen Daten auch hier gelöscht werden. Sollten Datensicherungen erzeugt worden sein, die so lange aufbewahrt werden, dass gesetzliche Aufbewahrungsfristen abgelaufen sind, dann sind die Daten auch aus der Datensicherung zu entfernen.

Auch andere Arten von Datenträgern oder Betriebsmittel sind für das Löschkonzept zu betrachten. So können z.B. Personalakten oder mobile Datenträger berücksichtigt werden müssen. Die Löschung von personenbezogenen Daten gilt insbesondere bei der Außerbetriebnahme von IT-Systemen oder Datenträgern.

Bei der Entsorgung und Vernichtung von Datenträgern kann die DIN 66399 gute Hinweise liefern. Die DIN-Vorschrift liefert auf Basis der Feststellung einer Schutzklasse (normaler, hoher oder sehr hoher Schutzbedarf) konkrete Vorgaben (Sicherheitsstufen 1-7) für die Vernichtung von Datenträgern. So sind z.B. für die Vernichtung von personenbezogenen Daten auf dem Datenträger Paper mindestens die Sicherheitsstufen 3 oder 4 vorgesehen. Konkret bedeutet das, dass Materialteilchen, die am Ende des Vernichtungsprozesses übrig bleiben, nicht größer als max. 320mm2 bzw. 160 mm2 sein sollten.

Insgesamt gilt, dass sich die Löschung der personenbezogenen Daten an den Verarbeitungstätigkeiten und dem Arbeitsalltag orientieren soll.

Wer ist für das Löschen von personenbezogenen Daten verantwortlich?

Die Löschung sollte im besten Fall automatisch erfolgen. So kann man bei Datenbankanwendungen möglicherweise bereits „Halbwertszeiten“ für Daten oder Datensätze festlegen. Die Person oder Funktion, der die Rolle zufällt, sich um das Löschen von personenbezogenen Daten zu kümmern, würde dann durch Stichprobenkontrollen die erfolgte Löschung überprüfen und im Kontext der Nachweispflichten die Löschung bestätigen.

Nicht immer lässt sich die Löschung allerdings automatisieren. In diesen Fällen soll die verantwortliche Person die Löschung anstoßen und die Löschung im Anschluss protokollierten. Wenn die Datenbankanwendung keine Funktion für die Löschung anbietet, dann müssen die Datensätze manuell selektiert werden und die Löschung durch die verantwortliche Person angestoßen und wenn diese erfolgreich war, bestätigt werden.

Auch bei der Vernichtung von Datenträgern durch Dienstleister ist der Nachweis über die Vernichtung vom Auftragnehmer zu erbringen. Dabei sollte darauf geachtet werden, dass die Protokollierung so konkret wir möglich ist. Sollten z.B. mehrere Behälter abgeholt worden sein, dann sollte sich die Dokumentation auch auf die einzelnen Behälter beziehen und neben Zeitpunkt der Abholung, Zeitpunkt der Vernichtung auch die für die Vernichtung angewendete Schutzklasse und Sicherheitsstufe enthalten.

Es empfiehlt sich, hierfür ein Löschprotokoll zu entwerfen, das die oben genannten Punkte berücksichtigt und dem Nachweis ein einheitliches Aussehen gibt. So kann das Löschprotokoll z.B. den Namen der Verarbeitungstätigkeit, die Datenkategorie, die Aufbewahrungsdauer oder Speicherfrist, die gesetzliche Grundlage für die Aufbewahrung, die Anwendung, das IT-System, den Datenträger, die Löschmethode und Namen des Verantwortlichen enthalten. Mit der Unterschrift und dem Datum hat man dann alle notwendigen Informationen zusammengetragen und die Löschung bestätigt. Eine Vorlage für ein solches Löschkonzept, haben wir für Sie vorbereitet.

Das Recht der betroffenen Person

Die Zuordnung der Verantwortlichkeiten und die Festlegung der Methode zur Löschung sind auch dann wichtig, wenn die betroffene Person von ihrem Recht auf Löschung oder von ihrem Werbewiderspruch Gebrauch macht. In diesen Fällen müssen die Daten und Datensätze unverzüglich, aber maximal innerhalb der Frist von einem Monat, identifiziert werden können und die Daten müssen soweit unkenntlich gemacht worden sein, dass die Anforderungen an die Löschung erfüllt sind. Da der Nachweis der Löschung nicht nur gegenüber der betroffenen Person zu führen ist, sondern möglicherweise auch eine Datenschutzaufsichtsbehörde die ordnungsgemäße und fristgerechte Löschung nachgewiesen haben möchte, ist die Dokumentation in beiden Fällen wichtig.