Schritt für Schritt zum Löschkonzept
Speicherbegrenzung
Unter den Grundsätzen für die Verarbeitung von personenbezogenen Daten (Artikel 5 DSGVO) lässt sich auch die Speicherbegrenzung finden. Der Grundsatz besagt:
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“
Haben also personenbezogene Daten, die Unternehmen für einen bestimmten Zweck erhoben, diesen Zweck erfüllt, sind sie nicht mehr erforderlich. Daher müssen verantwortliche und Auftragsverarbeiter sie unter Beachtung weiterer rechtlicher Vorgaben löschen. Genauere Vorgaben enthält das Recht auf Vergessenwerden.
Das Recht auf Vergessenwerden
Der Artikel 17 DSGVO (Recht auf Löschung, Recht auf Vergessenwerden) nennt mehrere Gründe, warum eine Löschpflicht eintritt. Darunter:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig (siehe oben).
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte. Und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein. Und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
Die Löschpflicht gilt aber nicht, wenn die personenbezogenen Daten (weiterhin) erforderlich sind
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Löschpflichten und Aufbewahrungspflichten berücksichtigen
Verschiedene rechtliche und vertragliche Verpflichtungen führen also dazu, dass Unternehmen verpflichtet sind, personenbezogene Daten für eine bestimmte Zeit aufzubewahren. Nach dieser Zeitspanne greift dann die zuvor genannte Löschverpflichtung.
Ebenso findet Artikel 18 DSGVO (Recht auf Einschränkung der Verarbeitung) Anwendung. Danach hat die betroffene Person unter bestimmten Bedingungen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.
Artikel 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) sieht vor, dass das Verzeichnis (wenn möglich) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien enthält.
Schließlich finden sich auch noch Löschvorgaben im Bundesdatenschutzgesetz (§ 35 Recht auf Löschung).
Ein Löschkonzept muss nun die Gesamtheit dieser Vorgaben und Verpflichtungen würdigen und umsetzen.
Eine durchaus komplexe Aufgabe, weshalb sich ein schrittweises Vorgehen sowie die Nutzung von Leitlinien empfehlen.
Leitlinie zur Entwicklung eines Löschkonzepts
Die Norm DIN 66398 gibt Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten in einem Löschkonzept für personenbezogene Daten.
Sie beschreibt Vorgehensweisen, mit denen sich Löschfristen und Löschregeln für verschiedene Datenarten bestimmen lassen.
Bei der Anwendung der Norm, um ein Löschkonzept zu erarbeiten, spielen diese Begriffe eine Rolle:
Begriff | Definition |
---|---|
Datenart | Alle Daten, die zu einem gemeinsamen Zweck verarbeitet werden |
Löschfrist | Zeitspanne, nach der die Daten (in der Regel) gelöscht werden sollen, unter Beachtung von vertraglichen und rechtlichen Aufbewahrungsfristen |
Startzeitpunkt | Festlegung, ab wann die Löschfrist zu laufen beginnt |
Löschklassen | Zusammenfassung der Datenarten nach Löschfrist und Startzeitpunkt |
Löschregel | Regel für jede Löschklasse |
Umsetzungsregel | Konkretisiert die Löschregel unter Beachtung der genutzten Technik |
Verantwortlichkeiten | Werden festgelegt für die Umsetzung der Löschung sowie für die Erstellung und Pflege des Löschkonzeptes |
Der Weg zum Löschkonzept
Die grundsätzlichen Schritte auf dem Weg zu einem eigenen Löschkonzept im Unternehmen besteht nach DIN 66398 in:
- Bestimmung der Datenarten, die es in den Datenbeständen des Unternehmens gibt
- Zusammenfassung der Datenarten in Löschklassen
- Definition von Löschregeln für die Datenarten
- Definition von konkreten Umsetzungsregeln
- Definition der jeweils Verantwortlichen für die Umsetzung
- Dokumentation der ergriffenen und zu ergreifenden Schritte und Pflege der Dokumentation
Löschkonzept vervollständigen
Wie zum Beispiel eine Umfrage von TÜV Süd ergeben hat, sieht es bei den Löschkonzepten vieler Unternehmen nicht gut aus: Der TÜV Süd Datenschutzindikator (DSI) zeigt, dass etwa die Hälfte der Befragten keine klare Regelung für die Sperrung oder Löschung von nicht länger benötigten Daten hat.
So ist zu befürchten, dass manches Unternehmen keine Übersicht hat,
- was wann zu löschen ist,
- wo sich die Daten befinden und
- wie sie verteilt wurden.
Es ist deshalb höchste Zeit, das Löschkonzept einmal genauer unter die Lupe zu nehmen.