Notwendigkeit und Sanktionsfolgen
Teil 1: Allgemeines
Schon unter Geltung des Bundesdatenschutzgesetzes (BDSG) bedurfte es klarer Verfahrensregeln, wann und wie personenbezogene Daten nach jeweiliger Kategorie zu löschen sind. Die Sanktionsmöglichkeiten über Bußgelder der zuständigen Datenschutzbehörden waren jedoch vor Inkrafttreten der DSGVO noch überschaubar und nicht Kerngegenstand von Kontrollen bei datenschutzrechtlichen Außenprüfungen. Somit waren sie auch leichter in eine risikobasierte Kosten-/ Nutzen-Abwägung „einzupreisen“. Es konnte in aller Regel zunächst behördlicherseits eine Beanstandung und Aufforderung zur „Nachbesserung“ binnen einer in der Regel großzügig bemessenen abgewartet werden, bevor tatsächlich Bußgelder aufgerufen wurden.
Mit Inkrafttreten der DSGVO im Mai 2018 änderte sich das: Die Löschpflichten ergeben sich nun direkt aus dem EU-weiten Regelungsrahmen der dortigen Artt. 5 und 17 DS-GVO, sowie ferner aus der nationalen Umsetzungsvorschrift des BDSG in den dortigen §§ 35, 41 und 43; außerdem (exemplarisch) aus dem Gesetz zum Schutz von Geschäftsgeheimnissen (§§ 2, 7), dem Handelsgesetzbuch (insb. §§ 238, 239, 257), der Abgabenordnung (insb. §§ 146, 146a, 147a) und weiteren Fachgesetzen.
Dort ist sinngemäß geregelt, dass personenbezogene Daten nach Schutzbedürftigkeit zu klassifizieren und sodann nach bestimmten Kriterien und Zeiträumen zu löschen sind, und unter welchen Umständen ausnahmsweise die Löschung auszusetzen ist, also das „Ob“ der Löschung.
Über das „Wie“ verhalten sich die Gesetze selbst nicht, es wird insoweit im Ergebnis technikoffen auf den Stand der Technik, wie er v.a. in den einschlägigen DIN-Vorschriften abgebildet ist, Bezug genommen. Als relevante Standards sind hier zu nennen die DIN 66398 (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten), DIN 66399 (Sicherheitsstufen bei der Akten- und Datenträgervernichtung), IDPPS280 (Grundsätze ordnungsgemäßer Prüfung von Compliance-Managementsystemen), IDWRS FAIT3 (Grundsätze ordnungsgemäßer Buchführung beim Einsatz elektronischer Archivierungsverfahren) etc.
Im Grundsatz aber gilt:
Daten mit Personenbezug, die verarbeitet werden (können), obwohl eine Rechtsgrundlage hierfür nicht vorliegt, sind unverzüglich zu löschen. Die Löschfristen und -Prozesse sind im Verzeichnis der Verarbeitungstätigkeiten (VVT) als Einzelverarbeitungstätigkeit zu erstellen und fortlaufend zu aktualisieren.
Liegt keine Rechtsgrundlage vor, oder ist sie entfallen, sind die betroffenen Daten zwingend zu löschen (Art. 17 DS-GVO). Die Löschpflicht ist auch gegeben
- bei einem Wegfall der Zweckbestimmung der Verarbeitung der personenbezogenen Daten,
- bei einem Widerruf der Verarbeitungseinwilligung durch die betroffene Person,
- bei einem berechtigten Widerspruch gegen die Verarbeitung,
- bei unrechtmäßiger Verarbeitung sowie
- dann, wenn die Löschung auf einer rechtlichen Verpflichtung beruht.
Die Dokumentation folgt den Artt. 5, 30 DS-GVO im Rahmen der Führung des zuvor erwähnten VVT. Dies bedeutet, dass sowohl den Verantwortlichen selbst wie auch einen eingeschalteten Auftragsverarbeiter die entsprechende Dokumentationspflicht trifft, wobei für jedes zu dokumentierende VT-Verfahren auch eine Löschfrist festzulegen ist. Wir empfehlen eine Zusammenfassung der Auflistung der im VVT geregelten Löschfristen in einer gesonderten Anlage zum Löschkonzept.