- O2R9 Löschung von Daten

IMS Services Datenschutz

Es gibt eine gesetzliche Verpflichtung, personenbezogenen Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Bisher wird dies von Unternehmen nur sehr selten umgesetzt. Die DIN-Norm 66398 versucht jetzt, auf diesem Gebiet eine Hilfestellung zu geben.

Zwar gilt die datenschutzrechtliche Löschungspflicht grundsätzlich nur für Daten, die in Datenverarbeitungsanlagen oder in nicht-automatisierten Dateien verarbeitet oder genutzt werden. Jedoch ist § 32 Abs. 2 BDSG zu beachten, nach dem auch personenbezogene Daten in Papierform davon betroffen sind. Im Personalbereich, wo es häufig noch Aufzeichnungen in Papierform gibt, gilt daher dieselbe Löschpflicht, die für elektronisch erfasste Daten nach § 35 BDSG gilt.

Rechtlicher Hintergrund

Die rechtlichen Anforderungen sind im BDSG unter § 35 Abs. 2 (BDSG) benannt. Die Datenschutz-Grundverordnung benennt in Artikel 5 Abs.1 e:

„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“

Auch Art.17 DSGVO Recht auf Löschung („Recht auf Vergessen werden“) beschreibt in Absatz 1 weitere Gründe, personenbezogene Daten zu löschen.

Im Mai 2016 ist die neue DIN Norm 66398 veröffentlicht worden die den Namen „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ trägt.

Die DIN 66399 beschäftigt sich mit der Vernichtung von Datenträgern und legt genaue Anforderungen an die ordnungsgemäße Datenvernichtung fest.

Der systematische Umgang mit Löschung

Im Ideal sollte bei automatischer Verarbeitung auch automatisch gelöscht werden. Die DIN 66398 definiert ein Modell zur Entwicklung und Etablierung eines Löschkonzepts. Die Norm beschreibt Vorgehensweisen, durch die Löschregeln festgelegt werden. Auch empfiehlt sie eine Struktur zur Dokumentation des Löschkonzepts. Der Datenbestand des Unternehmens wird in Datenarten aufgeteilt. Für jede Datenart wird genau eine Löschregel definiert. Diese Löschregel besteht aus zwei Angaben:

· der Regellöschfrist und

· einem Startzeitpunkt, ab dem die Regellöschfrist läuft.

Für die datenschutzrechtliche Zulässigkeit müssen Datenarten durch die Anwendung von Löschregeln ‚rechtzeitig‘ gelöscht werden. Konkrete Löschregeln und Löschfristen legt die Norm allerdings nicht fest, da diese von den sehr spezifischen Vorgaben der Unternehmen abhängen.

Die verantwortliche Stelle bleibt also in der Pflicht, ein Allheilmittel ist die Norm nicht. Insbesondere die Zusammenfassung von unterschiedlichsten Datenobjekten zu einheitlichen Datenarten wird auch weiterhin eine individuelle Aufgabe für Unternehmen bleiben.

Die gesetzliche Löschpflicht wird ausgesetzt, wenn Daten aufgrund von Aufbewahrungsfristen vorgehalten werden müssen. Hierunter fallen beispielsweise Jahresabschlüsse und Bilanzen (10 Jahre), ärztliche Dokumentation (10 Jahre, teilweise bis zu 30 Jahre) und Rechnungen (2 Jahre). Darüber hinaus gibt es zahlreiche weitere Tatbestände, die einer Löschung entgegenstehen.

Sofern das Gesetz eine Aufbewahrungsfrist vorsieht, tritt anstelle der Löschung eine Sperrung. Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken; beispielsweise die Kennzeichnung als „inaktiv“.

Praktische Umsetzung

Die Empfehlung, ein Löschkonzept zu erstellen, hört sich für viele so an, als müsste ein umfangreiches Dokument erstellt werden. Praxisgerechter ist es, von der Implementierung von Löschroutinen zu sprechen, die dann Eingang in die internen Prozesse und internen Verfahrensverzeichnisse finden sollten.

Die häufig zu hörende Annahme, es sei alleinige Aufgabe des Datenschutzbeauftragten, entsprechende Löschroutinen zu implementieren, ist nicht korrekt. Der Datenschutzbeauftragte kann lediglich unterstützen – das Unternehmen muss als verantwortliche Stelle und den Großteil selbst leisten. Schließlich weiß das Unternehmen bzw. wissen die jeweiligen Abteilungen am besten, welche Daten vorhanden sind und wo sowie wie lange diese faktisch gespeichert werden.

Konkret empfiehlt sich in einem ersten Schritt folgendes Vorgehen:

Identifizierung der Datenarten (z.B. Personaldaten, Buchhaltungsdaten, Rechnungsdaten)

Aussortieren definitiv nicht mehr benötigter Daten (z.B. ausgeschiedener Mitarbeiter)

Prüfung bestehender Aufbewahrungsfristen

Löschroutinen

Es wird deutlich, dass die Etablierung von Löschroutinen in einem Unternehmen – gerade, wenn Löschverpflichtungen längere Zeit vernachlässigt wurden – erst einmal mit einem gewissen (insbesondere zeitlichen) Aufwand verbunden ist. Sobald man allerdings erst einmal die Datenarten identifiziert hat und Löschroutinen (ggf. technisch) etabliert sind, ist der tägliche Umgang recht einfach.

Nachweis der Löschung von Daten

Es gibt derzeit keine rechtlich verbindliche Grundlage wie lange ein Nachweis zur Löschung von Daten vorgehalten werden muss. Problematisch ist in dem Kontext, dass zu diesem Thema gerne vorgebracht wird, dass aufgrund der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO quasi für ewig die Information über die Löschung vorgehalten werden müssen.

Das würde jedoch nicht nur den Schutz personenbezogener Daten ad absurdum führen (s.o. „Protokollierungsdilemma“), sondern auch die ebenfalls zu berücksichtigenden Grundrechte der Unternehmen wie z.B. das Recht auf unternehmerische Freiheit des Art. 16 der Grundrechte-Charta der EU (GRCh) unverhältnismäßig einschränken.

Wir empfehlen den Nachweis der Löschung von Daten für drei Jahre aufzubewahren. Eine Verfolgung einer etwaigen Ordnungswidrigkeit im Hinblick auf eine Verletzung von Betroffenenrechten ist dann rechtlich verjährt.

Mit Eintritt dieser Verfolgungsverjährung wäre dann aber auch seitens des Unternehmens zu prüfen, ob ein weiteres Erfordernis für die Speicherung des Nachweises besteht. Das tut es jedoch in der Regel nicht. Insbesondere auch dann nicht, wenn sich aus den Sekundärdaten des Löschungsnachweises wiederum personenbezogene Daten des Betroffenen entnehmen lassen.

Die Inhalte des Löschnachweises sollten folgende Daten enthalten:

Löschdatum und Uhrzeit

Löschverfahren

Hinweis auf weitere mögliche Fristen

Bearbeiterdaten

Anlage:

Kontaktformular

Suche

Externe Inhalte