So lässt sich die Löschung von Daten dokumentieren
Spätestens seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) müssen sich Unternehmen, die personenbezogene Daten verarbeiten, Gedanken um deren Löschung machen. Denn der drastisch erhöhte Bußgeld–
rahmen bei Datenschutzverletzungen duldet keine Nachlässigkeiten mehr.
➧ Löschanspruch der betroffenen Person
Art. 17 DSGVO sieht vor, dass jede Person von demjenigen, der ihre personenbezogene Daten verarbeitet, unter bestimmten Voraussetzungen verlangen kann, diese Daten unverzüglich zu löschen. Ebenfalls unter bestimmten Voraussetzungen hat der Verantwortliche auch ohne einen entsprechenden Antrag die Pflicht, personenbezogene Daten zu löschen.
➧ Ohne Löschkonzept kein Einhalten der DSGVO-Grundprinzipien
Art. 5 DSGVO nennt in seinen Grundprinzipien der Datenverarbeitung die Aspekte
- Speicherbegrenzung,
- Datenminimierung und
- Zweckbindung.
Um diese Grundprinzipien einhalten zu können, ist für Unternehmen ein Löschkonzept notwendig. Es stellt sicher, dass sie personenbezogene Daten dann löschen, wenn der Zweck wegfällt, auf dessen Grundlage ein Verantwortlicher die Daten verarbeitet hat.
➧ Löschkonzept weist Löschung nach
Dieses Löschkonzept spielt beim Nachweis der Löschung eine wichtige Rolle. Denn die DSGVO fordert, dass der Verantwortliche nachweisen muss, dass er seinen Pflichten nachkommt. Daraus ergeben sich Dokumentationserfordernisse. Die Rechenschaftspflicht nach Art. 5 DSGVO gilt ebenso für das Thema Löschen. Danach muss der Verantwortliche zeigen, dass und wie er die Aufgabe des Löschens personenbezogener Daten geregelt und umgesetzt hat.
Da aber die Dokumentation bzw. der Nachweis einer Datenlöschung unter Umständen dazu führt, dass ein Verantwortlicher erneut personenbezogene Daten verarbeitet, ist Vorsicht geboten. Wer beispielsweise eine Liste erstellt und pflegt, die beschreibt, dass er die Daten von Frau Musterfrau zu einem bestimmten Datum gelöscht hat, verarbeitet ja erneut die Daten von Frau Musterfrau.
Es ist ratsam, schriftlich zu dokumentieren, wie das Unternehmen vorgegangen ist, um ein Löschkonzept zu etablieren (Prozessbeschreibung) und wie es den Löschvorgang ausgestaltet.
Aus der Prozessbeschreibung sollte ersichtlich sein, wie das Unternehmen das Thema „Löschung“ umsetzt. Hier spielen Verantwortlichkeiten, Fristen und die Identifikation von Prozessen, die personenbezogene Daten verarbeiten, wichtige Rollen. Aus dieser Beschreibung sollte zudem hervorgehen, dass der Bestand an personenbezogenen Daten regelmäßig auf die Einhaltung von Aufbewahrungs- und Vorhaltefristen geprüft wird, die die Fachbereiche definiert haben, und dass etwaige Löschvorgänge gemäß den beschriebenen technischen und organisatorischen Vorgaben durchgeführt werden.
➧ Löschfristen und Löschregeln
Dazu muss für alle Prozesse, die personenbezogene Daten verarbeiten, der Verantwortliche (Fachbereich) die zur jeweiligen Datenart passende Löschfrist kennen und notieren. Als Grundlage kann das Verzeichnis von Verarbeitungstätigkeiten wichtigen Input liefern. Sinnvoll ist es, neben den einzelnen Fristen die betreffenden Löschregeln – also das Zusammenspiel aus Datenart, Löschfrist und Startdatum der Löschfrist – zu dokumentieren.
Da die Umsetzung der Datenlöschung ein Teil der technisch-organisatorischen Maßnahmen ist, ergeben sich zudem Nachweispflichten nach Art. 24 DSGVO. Die Maßnahmen lassen sich nämlich nur dann regelmäßig überprüfen, wenn entsprechende Dokumentationen vorliegen.
➧ Umsetzungsvorgaben fürs Löschen von Daten machen
Eine Beschreibung der Löschmechanismen in Umsetzungsvorgaben ist notwendig, weil sich nur so nachvollziehen lässt, wie ein Verantwortlicher die Löschregeln auf verschiedene Datenbestände anwendet. Für folgende Bereiche sollten Umsetzungsvorgaben angelegt sein:
- Einzelsysteme
- manuelle Prozesse
- Querschnittsbereiche (Transportsysteme, Backups etc.)
Wie kann der Verantwortliche jedoch nun ganz konkret nachweisen, dass er die Regeln, die er in den Umsetzungsvorgaben schriftlich niedergelegt hat, auch wirklich in der Praxis anwendet?
➧ Löschnachweis bei Einzelsystemen
Für Einzelsysteme ist es notwendig, Löschläufe zu dokumentieren, z.B. über die Standardsystemprotokollierung (Log-Protokolle). Damit kann der Verantwortliche zeigen, dass er die Löschmaßnahmen, die die Umsetzungsvorgaben beschreiben, tatsächlich implementiert hat und regelmäßig anwendet.
➧ Löschnachweis bei manuellen Prozessen
Werden die personenbezogenen Daten nicht oder nicht nur digital verarbeitet, reichen Log-Protokolle nicht aus. Aber wie lässt sich z.B. nachweisen, dass das Unternehmen ausgedruckte Dokumente datenschutzkonform vernichtet hat?
Löschnachweis bei Papierdokumenten
Es ist empfehlenswert, bei Papierdokumenten eine Arbeits- oder Verfahrensanweisung zu erstellen, die die manuellen Prozesse beschreibt, die personenbezogene Daten verarbeiten, und die darauf hinweist, dass die Aufbewahrungs- bzw. Vorhaltefristen für alle Daten gelten, also auch für gedruckte Dokumente.
Die Vernichtung der Dokumente lässt sich so regeln, dass die Beschäftigten z.B. Schredder oder Datenschutztonnen verwenden müssen, deren Inhalt ein (zertifizierter) Dienstleister entsorgt. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen Papiere, die personenbezogene Daten enthalten, mindestens nach Sicherheitsstufe P-3 (Partikelgröße max. 320 mm²) vernichtet werden. Der Verantwortliche sollte dann vom Dienstleister ein Vernichtungszertifikat erhalten bzw. einfordern. Es bestätigt, dass der Dienstleister diese Vorgaben bei der Vernichtung eingehalten hat.
Löschnachweis bei Datenträgern
Gleiches gilt für die Vernichtung von Datenträgern wie USB-Sticks oder Festplatten. Hier findet die Vernichtung der Daten durch Überschreiben oder Zerstörung der Datenträger statt. Vernichtet ein Dienstleister die digitalen Datenträger, sollte der Verantwortliche ebenfalls ein Vernichtungszertifikat erhalten bzw. einfordern. Dieses Zertifikat ist die Garantie, dass sich keine Daten wiederherstellen lassen.
➧ Löschnachweis bei Querschnittsbereichen
Nicht zuletzt sind Querschnittsbereiche wie Datensicherungen oder Systeme für den Datentransport zu betrachten. Denn auch sie können personenbezogene Daten verarbeiten. Geht es um das Löschen von Daten innerhalb einer bestehenden Datensicherung, ist es zielführend, die personenbezogenen Daten, die möglicherweise nur noch in der Datensicherung vorhanden sind, zu einem festgelegten Zeitpunkt aus allen Backups zu entfernen. Da in einem Backup verschiedenste Daten mit unterschiedlichsten Löschfristen vorliegen, gilt es, eine datenschutzrechtlich vertretbare Löschfrist zu bestimmen.
Die Backup-Strategie sollte im Rahmen eines Datensicherungskonzepts schriftlich dokumentiert sein. Die Backup-Datenträger sind sicher aufzubewahren und dürfen nur nach einem restriktiven Berechtigungskonzept zugänglich sein.
➧ Löschnachweis bei Löschbegehren
Empfehlen Sie als DSB, auch den Prozess bei Inanspruchnahme der Betroffenenrechte nach Art. 17 DSGVO („Recht auf Vergessenwerden“) festzulegen und schriftlich zu dokumentieren.