Datenschutz verstehen – Löschkonzept nach der DSGVO – Was muss beachtet werden?
Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (DSGVO) fällt oft der Begriff Konzept in verschiedenen Zusammenhängen. Hierzu gehören z.B. ein Berechtigungskonzept oder ein Datensicherungskonzept. Das Thema Löschkonzept gehört ebenfalls zu den zentralen Bereichen, wenn es um die Datenschutz-Umsetzung geht. In diesem Beitrag erfahren Sie mehr zum Thema Löschkonzept und wie Sie mit der Hilfe unseres Musters mit Aufbewahrungsfristen ein entsprechendes Verfahren in Ihrem Unternehmen etablieren können.
Inhalt:
- Löschkonzept nach der DSGVO
- Ermittlung der Verarbeitungen von personenbezogenen Daten
- Gesetzliche Regelungen mit Aufbewahrungsfristen
- Bildung von Datenkategorien und Definition von Löschregeln
- Protokollierungspflicht für Auftragsverarbeiter und Löschvorgaben durch Auftraggeber
- Löschung auf Verlangen von betroffenen Personen oder Aufsichtsbehörden
- Umfassende Dokumentation des Löschkonzeptes
Datenschutzrechtliche Vorgaben nach der DSGVO für ein Löschkonzept
In der DSGVO und im neuen Bundesdatenschutz (BDSG-neu) existieren diverse Anhaltspunkte für die Konstruktion eines Löschkonzepts. Ein solches ist deswegen wichtig, weil personenbezogene Daten als wichtiges Grundrecht angesehen und deswegen so gut wie möglich beschützt werden sollen. Je länger diese Daten gespeichert sind, desto größer ist das Risiko, dass eine entsprechende Datenpanne passiert. Deshalb ist es wichtig, ein DSGVO konformes Löschkonzept im Unternehmen anzuwenden.
Vorgaben bezüglich der Löschung von personenbezogenen Daten ergeben sich aus Art. 17 und Art. 25 DSGVO. Eine weitere explizite Vorgabe für die Etablierung eines Löschkonzepts ergibt sich insbesondere aus Erwägungsgrund 39 S. 8 und S. 10: Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, soll der Verantwortliche Fristen für ihre Löschung oder eine regelmäßige Überprüfung vorsehen. Insbesondere die Speicherfrist für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt werden. Löschpflichten für personenbezogene Daten können allerdings auch unmittelbar von der betroffenen Person, also dem Inhaber der jeweiligen personenbezogenen Daten ausgelöst werden: So z.B., wenn die betroffene Person eine zuvor erteilte Einwilligung gem. Art. 7 Abs. 3 DSGVO widerruft oder von ihrem Recht auf Löschung (“Recht auf Vergessenwerden”) Gebrauch macht.
Ermittlung der stattfindenden Verarbeitungen von personenbezogenen Daten
Im Regelfall müssen Verantwortliche ohnehin ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO anlegen, weshalb die Anfertigung des VVT ohnehin zu empfehlen ist, um zu erfahren, welche personenbezogenen Daten durch welch Prozesse verarbeitet werden. Gem. Art. 30 DSGVO müssen je Verarbeitung von personenbezogenen Daten u.a. folgende Informationen in das VVT aufgenommen werden, die Sie ebenfalls für die Erstellung eines Löschkonzepts ermitteln und aufnehmen sollten:
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantie
- Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien bzw. die erforderliche Aufbewahrungsdauer
- Die eingesetzte Software und die, z.B. via Schnittstellen, mit dieser Software verknüpften weitere Programme
- Einsatz von Cloud-Lösungen
Aus unserem Muster können Sie viele Fristen für die Löschung der verschiedenen Datenkategorien entnehmen. Wenn Sie alle Punkte je Verarbeitung von personenbezogenen Daten abgearbeitet haben, haben Sie eine erste Übersicht bezüglich aller Datenverarbeitungsprozesse in Ihrem Unternehmen bzw. Ihrer Organisation. Unternehmen sollten unbedingt einen Datenschutzbeauftragten zur Beratung hinzuziehen, sodass hier alle notwendigen Daten zusammengetragen werden.
Gesetzliche Regelungen mit Aufbewahrungsfristen
Neben der DSGVO regeln verschiedene Gesetze Aufbewahrungs- und Löschfristen. Allgemeine Fristen ergeben sich zunächst aus dem Handelsrecht und Steuerrecht (HGB, AO). Auch das Geldwäschegesetz (GwG) formuliert für Verantwortliche wie Banken oder Rechtsanwaltskanzleien Aufbewahrungsfristen für personenbezogene Daten. Weitere Fristen ergeben sich z.B. aus dem Wertpapierhandelsgesetz (WpHG) oder anderen speziellen gesetzlichen Regelwerken. Der richtige Ansprechpartner für die Ermittlung der korrekten Löschfristen für Ihre personenbezogenen Daten ist ihr Datenschutzbeauftragter. Gemeinsam mit dem Verantwortlichen wird der Datenschutzbeauftragte die Verarbeitungsprozesse von personenbezogenen Daten ermitteln und anschließend Löschfristen ermitteln.
Bildung von Datenkategorien und Definition von Löschregeln
Als nächstes sollten Sie alle Verarbeitungsprozesse einer gemeinsamen Datenkategorie zuordnen, für die die gleichen Löschfristen gelten. So sollten Sie z.B. Verarbeitung A und Verarbeitung B, die beide jeweils eine Aufbewahrungsdauer von drei Jahren haben, einer gemeinsamen Datenkategorie zuordnen. Auch die Art der Daten, z.B. ob besondere personenbezogene i.S.v. Art. 9 DSGVO, sollten unter einer gemeinsamen Datenkategorie zusammengefasst werden. Andere gemeinsame Nenner, wie z.B. Verarbeitungen, die für Sie im Auftrag von anderen Dienstleistern unternommen werden, sollten gemeinsamen mit anderen im Auftrag verarbeiteten personenbezogenen Daten unter einer Datenkategorie zusammengefasst werden.
Nun definieren Sie für jede Datenkategorie eine Löschregel. Hierfür ermitteln Sie die jeweils geltende Aufbewahrungsfrist für die gebildete Datenkategorie und Berechnen anschließend Beginn und Ablauf der jeweils geltenden Aufbewahrungsfrist. Auf diese Weise etablieren Sie eine Löschregel für die gleiche Gruppe von personenbezogenen Daten. Bei der Archivierung der Daten, die z.B. nach Abschluss eines Geschäftsvorgangs startet, sollten alle technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO berücksichtigt werden. Hierzu gehören beispielsweise Maßnahmen wie Schutz vor Hochwasser oder Brände für die Archivräume.
Nach dem Ende der Aufbewahrungsdauer sollten Sie darauf achten, dass die analogen und digitalen personenbezogenen datenschutzkonform vernichtet bzw. gelöscht werden. So gelten für Papierakten, Datenträger und andere Medien unterschiedliche datenschutzrechtliche Vorgaben, die zwingend bei der Vernichtung bzw. Löschung eingehalten werden müssen. Ferner sollten auch eine Protokollierung der Vernichtung bzw. Löschung der Daten für Nachweiszwecke erfolgen. Außerdem sollte regelmäßig überprüft und kontrolliert werden, ob die definierten Löschfristen auch tatsächlich eingehalten werden. Dies gilt insbesondere für Auftragsverarbeiter, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Die eingerichteten Löschmechanismen sollten mit Testdaten ausführlich getestet werden, um z.B. Fehlfunktion bei automatisch eingerichteten Löschmechanismen frühzeitig erkennen zu können.
Protokollierungspflicht für Auftragsverarbeiter und Löschvorgaben durch Auftraggeber
Wenn Verantwortliche gleichzeitig als Auftragsverarbeiter agieren, sollten Löschvorgaben des Auftraggebers geprüft und eingehalten werden und Löschvorgänge nachweisbar protokolliert werden. Falls Ihr Unternehmen als Auftraggeber personenbezogene Daten an Auftragsverarbeiter weitergibt, damit diese Daten nach Ihrer Weisung verarbeitet werden, sollten Sie Ihrer Auftragsverarbeiter Vorgaben für die Löschung der personenbezogenen Daten mitteilen und die Löschprozesse bei Ihren Auftragsverarbeitern prüfen. Zudem sollten Sie Löschprotokolle anfordern, um zu überprüfen, ob die Löschvorgaben tatsächlich eingehalten werden. Ggfs. muss die Löschung der personenbezogenen Daten, die zuvor Dritten offengelegt wurden, gem. Art. 19 DSGVO den Empfängern der Daten mitgeteilt werden.
Löschung auf Verlangen von betroffenen Personen oder Aufsichtsbehörden
Falls betroffene Personen von ihrem Recht auf Löschung gem. Art. 17 DSGVO Gebrauch machen, müssen Sie personenbezogene Daten ggfs. abweichend von den zuvor definierten Fristen löschen. Art. 17 Abs. 1 und Abs. 2 DSGVO regelt einige Fälle, in denen personenbezogene Daten zu löschen sind. Art. 17 Abs. 3 DSGVO regelt dagegen wieder einige Rückausnahmen bezüglich einiger Fälle, in denen personenbezogene nicht bzw. nicht sofort zu löschen sind.. Zu berücksichtigen ist in diesem Zusammenhang auch die Regelung des § 34 BDSG-neu bezüglich der Löschung von personenbezogenen Daten, wenn das Recht auf Löschung von einer betroffenen Person ausgeübt wird. Darüber hinaus können nicht nur betroffene Personen eine Löschung verlangen, sondern gem. Art. 58 Abs. 2 lit. g) DSGVO auch die jeweiligen Aufsichtsbehörden.
Umfassende Dokumentation des Löschkonzepts & Folgen bei Nichtbeachtung
Die in diesem Blogbeitrag genannten Punkte wie z.B. die zu bestimmenden Verarbeitungen von personenbezogenen Daten, Datenkategorien oder Löschfristen müssen Sie in einem schriftlichen Dokument festhalten, um insbesondere Ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen. Ihr Datenschutzbeauftragter unterstützt Sie bei der Erstellung eines entsprechenden Dokumentes und bei der Ermittlung von Aufbewahrungsfristen für die in Ihrem Unternehmen stattfindenden Verarbeitungsprozesse. Falls die gesetzlichen Vorgaben der DSGVO bezüglich der Löschung von personenbezogenen Daten nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.