Zum Inhalt springen

Löschkonzept gemäß DSGVO

Unternehmen sehen sich beim Erstellen eines Löschkonzepts mit zahlreichen Fragen konfrontiert. Die zentrale Frage lautet: Ist ein Löschkonzept für mein Unternehmen erforderlich? Wenn ich diese Frage mit „Ja“ beantwortet habe, folgen weitere Fragen:

  • Welche Konsequenzen hat es für eine Behörde oder ein Unternehmen, wenn kein individuell zugeschnittenes Löschkonzept gegenüber der Aufsichtsbehörde vorgelegt wird?
  • Zu welchem Zeitpunkt ist es erforderlich, aus datenschutzrechtlichen Gründen zu löschen?
  • An welchem Ort sind die personenbezogenen Daten abgelegt?
  • Wie kann ich die Aufbewahrungs- und Verjährungsfristen in Erfahrung bringen?
  • Auf welche Weise kann ich die Anforderungen an das Löschen systematisieren? • Wie finde ich geeignete Tools zur Unterstützung?
  • Auf welche Weise kann ich die Vorgaben für ein Löschkonzept ausarbeiten?
  • Auf welche Weise kann ich zeitgerecht kontrollieren, ob die persönlichen Daten gelöscht wurden?
  • Wer trägt im laufenden Betrieb die Verantwortung für das Löschen?
  1. Verpflichtung zu einem Konzept für die Löschung nach DSGVO:

Die Datenschutzaufsichtsbehörden haben angekündigt, die Prüfung von Löschkonzepten zu intensivieren, und bereits erhebliche Geldstrafen wegen fehlender Löschkonzepte ausgesprochen. Google hat bereits Zahlungen in Höhe von 5 Millionen bzw. 10 Millionen Euro geleistet, während die Danske Bank einen Betrag von 1,344 Millionen Euro überwiesen hat. Auch fünf Jahre nach dem Inkrafttreten der DSGVO verfügen viele Unternehmen und Behörden nur über ein rudimentäres Löschkonzept, das den Anforderungen der Aufsichtsbehörden nicht entspricht. Ein Verarbeitungsverzeichnis mit Löschfristen kann den spezifischen Anforderungen an ein Löschkonzept nicht gerecht werden. Es ist notwendig, zu beschreiben, wo und wie die Daten gespeichert werden, sowie zu dokumentieren, von wem und wann sie gelöscht wurden.

a) Entfall des Zwecks

b) Widerruf der Einwilligung

c) Einwände im Rahmen der Güterabwägung (z. B. Art. 6 Abs. 1 lit. f DSGVO)

d) Nicht rechtmäßige Verarbeitung

e) Rechtspflicht zum Löschen

f) Löschverlangen von Minderjährigen

Die Löschfristen für einzelne Verfahren müssen im Verarbeitungsverzeichnis des Verantwortlichen gemäß Art. 30 Abs. 1 aufgeführt werden. Obwohl der Begriff „Löschkonzept“ nicht in der DSGVO vorkommt, ist es dem Verantwortlichen durch mehrere Bestimmungen aus Artikel 5 DSGVO unmöglich, die gesetzlichen Anforderungen zu erfüllen, ohne eine eigene Dokumentation zu Löschprozessen und damit zu einem Löschkonzept zu erstellen. Dies wird besonders klar, wenn man die Erwägungsgründe zu den Art. 5 und 17 DSGVO berücksichtigt, die als erste Quelle für die Auslegung der DSGVO dienen sollen.

Gemäß Art. 5 Abs. 1 lit b, c und e ist die Datenerhebung nur für einen festgelegten Zweck zulässig, und ihre Speicherung darf sich nur so lange hinziehen, wie dies dem Zweck gerecht wird. Es ist notwendig, die Speicherung von Daten bereits zu Beginn so zu gestalten, dass eine Speicherung nur für den erforderlichen Zeitraum möglich ist. Es gelten Ausnahmen für Archivzwecke von öffentlichem Interesse, wissenschaftliche oder historische Forschung sowie statistische Zwecke. Für statistische Zwecke genügt es in der Regel, Daten zu anonymisieren, da bei reinen Statistiken kein Zugriff auf Einzeldatensätze erforderlich ist. Es wird dazu in Erwägungsgrund 39, Satz 9 ff., ausgeführt:

Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.“

Art. 5 Abs. 2 legt fest, dass der Verantwortliche die Einhaltung dieser Vorschriften nachweisen muss, um den Anforderungen an die Einhaltung gerecht zu werden („Rechenschaftspflicht“).

Erwägungsgrund 74: „Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.“

Im Kontext des Löschens personenbezogener Daten bedeutet dies, dass neben der bereits durch Art. 30 Abs. 1 DSGVO geforderten Existenz einer Liste der durch die Verfahren gespeicherten personenbezogenen Daten zusätzlich der Verantwortliche einen Prüfungsmaßstab benötigt, um erstens die zu löschenden personenbezogenen Daten identifizieren und zweitens überprüfen zu können, ob er seiner Löschpflicht bereits nachgekommen ist. Ein Verfahrensverzeichnis reicht dafür nicht aus; es bedarf eines speziellen Löschkonzepts, das auch von den Datenschutzaufsichtsbehörden gefordert werden kann.

Einige wenige Beispielsfälle könnten dies belegen:

  1. In einem Fall des Autors hat eine Landesdatenschutzbehörde unter anderem folgende Fragen gestellt, wobei eine Frist von 3 Wochen gesetzt wurde:
    • Wann und auf welche Art und Weise beabsichtigen Sie, die bei Ihnen über den Beschwerdeführer gespeicherten Daten zu löschen?
    • Beim Vorliegen von handels- und/oder steuerrechtlichen Aufbewahrungsvorschriften: Bitte nennen Sie uns die genauen gesetzlichen Grundlagen und die Dauer der Aufbewahrungsfrist (Fristbeginn, Fristende).

Schon aus der Überschrift „Datenlöschkonzeption“ geht hervor, dass die Aufsichtsbehörde von den Unternehmen ein eigenes Löschkonzept erwartet. Dieses Löschkonzept gehört zum Datenschutzmanagement, das nach einhelliger Meinung der Datenschutzbehörden von Unternehmen und Behörden umgesetzt werden muss. Firmen ohne Löschkonzept können Anfragen innerhalb von 3 Wochen nicht bearbeiten und setzen sich dadurch der Gefahr hoher Bußgelder aus.

b. Wegen eines fehlenden Löschkonzepts und der damit unzureichenden Datenlöschung von Mietern hat die Berliner Datenschutzbehörde ein Bußgeld von 14,5 Millionen Euro verhängt, das derzeit aufgrund eines Rechtsstreits beim Kammergericht noch nicht rechtskräftig ist. Obwohl der Europäische Gerichtshof zwei Vorlagefragen des Kammergerichts beantwortet hat, kann weiterhin nicht ausgeschlossen werden, dass das Bußgeld in dieser Höhe bestehen bleibt.

c. Im Jahr 2019 musste das Unternehmen Delivery Hero ein Bußgeld in Höhe von fast 200.000 EUR zahlen, da die Datenschutzbeauftragte der Meinung war, dass Rechte auf Auskunft über die Verarbeitung eigener Daten, auf Löschung oder auf Widerspruch wiederholt ignoriert wurden und dass alte inaktive Kundendaten nicht gelöscht wurden.

2. Rechtliche Anforderungen an ein Löschkonzept

Um als Beweismittel für das eigene Unternehmen oder Dritte (wie z. B. Finanzamt, Sozialversicherungen, Geschäftspartner und Mitarbeiter) zu fungieren, müssen Unterlagen mit personenbezogenen Daten oft über einen längeren Zeitraum aufbewahrt werden. Eine Löschverpflichtung erfordert dann zwei Bedingungen:

  1.  Die Daten werden für den Zweck, dem die Speicherung zugrunde lag, nicht mehr benötigt.
  2. Es existieren keine gesetzlichen Vorschriften, die eine weitere Speicherung verlangen oder zur Verfolgung rechtlicher Ansprüche zulassen.

Bei den Ausnahmen nach Art. 17 Abs. 3 kommen in der Praxis vor allem zwei häufig vor und sollten bei der Entwicklung eines Löschkonzepts berücksichtigt werden:

  1.  Rechtliche Verpflichtungen zur Archivierung (insbesondere gesetzlich oder vertraglich festgelegte Archivierungspflichten)
  2. zur Durchsetzung, Wahrnehmung oder Verteidigung von Rechtsansprüchen, das heißt, es muss erlaubt sein, Dokumente während der noch laufenden Verjährungsfristen aufzubewahren.

Obwohl es für gewisse Zwecke erforderlich ist, Daten weiter zu speichern, besteht nicht mehr die Notwendigkeit, einen Personenbezug herzustellen. In diesen Fällen müssen die Daten nicht physisch gelöscht werden; es genügt, sie unumkehrbar zu anonymisieren.

Bevor man mit der Ausarbeitung eines Löschkonzepts anfangen kann, muss zunächst einmal die Struktur eines Konzepts zum systematischen Auffinden personenbezogener Daten und zur termingerechten Löschung festgelegt werden. In diesem Zusammenhang ist die DIN 66398 zur Erstellung eines Löschkonzepts hilfreich. Die Löschung erfolgt danach vereinfacht nach folgendem Schema:

Die Systematisierung erfolgt hauptsächlich aufgrund der unterschiedlichen Arten personenbezogener Daten, die bei der Verwendung in verschiedenen Softwareverfahren mehrfach aufgeführt werden. Um die Verantwortlichkeiten und die Kontrolle über die Löschfristen zu verbessern, wäre es aus Sicht des Autors besser, die Datenarten sowohl direkt als auch in Verbindung mit der jeweiligen Software bzw. dem jeweiligen Verfahren zu erfassen. Das ergibt die folgende Skizze:

Wir haben eine Webanwendung entwickelt, die unter https://loeschapp.de zu finden ist. Diese Anwendung unterstützt dabei, Löschkonzepte, Verarbeitungsverzeichnisse und Technisch-organisatorische Maßnahmen mit deutlich reduziertem Aufwand zu erstellen und eine Liste der Auftragsverarbeitungsverträge zu verwalten.