Löschkonzept nach der DSGVO – Was muss beachtet werden?

Datenschutzrechtliche Vorgaben nach der DSGVO für ein Löschkonzept

In der DSGVO und im neuen Bundesdatenschutz (BDSG-neu) existieren diverse Anhaltspunkte für die Konstruktion eines Löschkonzepts. Vorgaben bezüglich der Löschung von personenbezogenen Daten ergeben sich aus Art. 17 und Art. 25 DSGVO. Eine weitere explizite Vorgabe für die Etablierung eines Löschkonzepts ergibt sich insbesondere aus Erwägungsgrund 39 S. 8 und S. 10: Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, soll der Verantwortliche Fristen für ihre Löschung oder eine regelmäßige Überprüfung vorsehen. Insbesondere die Speicherfrist für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt werden. Löschpflichten für personenbezogene Daten können allerdings auch unmittelbar von der betroffenen Person, also dem Inhaber der jeweiliger personenbezogenen Daten ausgelöst werden: So z.B., wenn die betroffene Person eine zuvor erteilte Einwilligung gem. Art. 7 Abs. 3 DSGVO widerruft oder von ihrem Recht auf Löschung (“Recht auf Vergessenwerden”) Gebrauch macht. 

Ermittlung der stattfindenden Verarbeitungen von personenbezogenen Daten

Im Regelfall müssen Verantwortliche ohnehin ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO anlegen, weshalb die Anfertigung des VVT ohnehin zu empfehlen ist, um zu erfahren, welche personenbezogenen Daten durch welch Prozesse verarbeitet werden. Gem. Art. 30 DSGVO müssen je Verarbeitung von personenbezogenen Daten u.a. folgende Informationen in das VVT aufgenommen werden, die Sie ebenfalls für die Erstellung eines Löschkonzepts ermitteln und aufnehmen sollten: 

• Zwecke der Verarbeitung
• Beschreibung der Kategorien betroffener Personen
• Kategorien personenbezogener Daten
• Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
• Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine  internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantie

• Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien bzw. die erforderliche Aufbewahrungsdauer
• Die eingesetzte Software und die, z.B. via Schnittstellen, mit dieser Software verknüpften weitere Programme
• Einsatz von Cloud-Lösungen

Aus unserem Muster können Sie viele Fristen für die Löschung der verschiedenen Datenkategorien entnehmen. Wenn Sie alle Punkte je Verarbeitung von personenbezogenen Daten abgearbeitet haben, haben Sie eine erste Übersicht bezüglich aller Datenverarbeitungsprozesse in Ihrem Unternehmen bzw. Ihrer Organisation. 

Gesetzliche Regelungen mit Aufbewahrungsfristen 

Neben der DSGVO regeln verschiedene Gesetze Aufbewahrungs- und Löschfristen. Allgemeine Fristen ergeben sich zunächst aus dem Handelsrecht und Steuerrecht (HGB, AO). Auch das Geldwäschegesetz (GwG) formuliert für Verantwortliche wie Banken oder Rechtsanwaltskanzleien Aufbewahrungsfristen für personenbezogene Daten. Weitere Fristen ergeben sich z.B. aus dem Wertpapierhandelsgesetz (WpHG) oder anderen speziellen gesetzlichen Regelwerken. Der richtige Ansprechpartner für die Ermittlung der korrekten Löschfristen für Ihre personenbezogenen Daten ist ihr Datenschutzbeauftragter. Gemeinsam mit dem Verantwortlichen wird der Datenschutzbeauftragte die Verarbeitungsprozesse von personenbezogenen Daten ermitteln und anschließend Löschfristen ermitteln.

Bildung von Datenkategorien und Definition von Löschregeln

Als nächstes sollten Sie alle Verarbeitungsprozesse einer gemeinsamen Datenkategorie zuordnen, für die die gleichen Löschfristen gelten. So sollten Sie z.B. Verarbeitung A und Verarbeitung B, die beide jeweils eine Aufbewahrungsdauer von drei Jahren haben, einer gemeinsamen Datenkategorie zuordnen. Auch die Art der Daten, z.B. ob besondere personenbezogene i.S.v. Art. 9 DSGVO, sollten unter einer gemeinsamen Datenkategorie zusammengefasst werden. Andere gemeinsame Nenner, wie z.B. Verarbeitungen, die für Sie im Auftrag von anderen Dienstleistern unternommen werden, sollten gemeinsamen mit anderen im Auftrag verarbeiteten personenbezogenen Daten unter einer Datenkategorie zusammengefasst werden. 

Nun definieren Sie für jede Datenkategorie eine Löschregel. Hierfür ermitteln Sie die jeweils geltende Aufbewahrungsfrist für die gebildete Datenkategorie und Berechnen anschließend Beginn und Ablauf der jeweils geltenden Aufbewahrungsfrist. Auf diese Weise etablieren Sie eine Löschregel für die gleiche Gruppe von personenbezogenen Daten. Bei der Archivierung der Daten, die z.B. nach Abschluss eines Geschäftsvorgangs startet, sollten alle technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO berücksichtigt werden. Hierzu gehören beispielsweise Maßnahmen wie Schutz vor Hochwasser oder Brände für die Archivräume. 

Nach dem Ende der Aufbewahrungsdauer sollten Sie darauf achten, dass die analogen und digitalen personenbezogenen datenschutzkonform vernichtet bzw. gelöscht werden. So gelten für Papierakten, Datenträger und andere Medien unterschiedliche datenschutzrechtliche Vorgaben, die zwingend bei der Vernichtung bzw. Löschung eingehalten werden müssen. Ferner sollten auch eine Protokollierung der Vernichtung bzw. Löschung der Daten für Nachweiszwecke erfolgen. Außerdem sollte regelmäßig überprüft und kontrolliert werden, ob die definierten Löschfristen auch tatsächlich eingehalten werden. Dies gilt insbesondere für Auftragsverarbeiter, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Die eingerichteten Löschmechanismen sollten mit Testdaten ausführlich getestet werden, um z.B. Fehlfunktion bei automatisch eingerichteten Löschmechanismen frühzeitig erkennen zu können.

Protokollierungspflicht für Auftragsverarbeiter und Löschvorgaben durch Auftraggeber

Wenn Verantwortliche gleichzeitig als Auftragsverarbeiter agieren, sollten Löschvorgaben des Auftraggebers geprüft und eingehalten werden und Löschvorgänge nachweisbar protokolliert werden. Falls Ihr Unternehmen als Auftraggeber personenbezogene Daten an Auftragsverarbeiter weitergibt, damit diese Daten nach Ihrer Weisung verarbeitet werden, sollten Sie Ihrer Auftragsverarbeiter Vorgaben für die Löschung der personenbezogenen Daten mitteilen und die Löschprozesse bei Ihren Auftragsverarbeitern prüfen. Zudem sollten Sie Löschprotokolle anfordern, um zu überprüfen, ob die Löschvorgaben tatsächlich eingehalten werden.  Ggfs. muss die Löschung der personenbezogenen Daten, die zuvor Dritten offengelegt wurden, gem. Art. 19 DSGVO den Empfängern der Daten mitgeteilt werden. 

Löschung auf Verlangen von betroffenen Personen oder Aufsichtsbehörden

Falls betroffene Personen von ihrem Recht auf Löschung gem. Art. 17 DSGVO Gebrauch machen, müssen Sie personenbezogene Daten ggfs. abweichend von den zuvor definierten Fristen löschen. Art. 17 Abs. 1 und Abs. 2 DSGVO regelt einige Fälle, in denen personenbezogene Daten zu löschen sind. Art. 17 Abs. 3 DSGVO regelt dagegen wieder einige Rückausnahmen bezüglich einiger Fälle, in denen personenbezogene nicht bzw. nicht sofort zu löschen sind.. Zu berücksichtigen ist in diesem Zusammenhang auch die Regelung des § 34 BDSG-neu bezüglich der Löschung von personenbezogenen Daten, wenn das Recht auf Löschung von einer betroffenen Person ausgeübt wird. Darüber hinaus können nicht nur betroffene Personen eine Löschung verlangen, sondern gem. Art. 58 Abs. 2 lit. g) DSGVO auch die jeweiligen Aufsichtsbehörden.

Umfassende Dokumentation des Löschkonzepts & Folgen bei Nichtbeachtung

Die in diesem Blogbeitrag genannten Punkte wie z.B. die zu bestimmenden Verarbeitungen von personenbezogenen Daten, Datenkategorien oder Löschfristen müssen Sie in einem schriftlichen Dokument festhalten, um insbesondere Ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen. Ihr Datenschutzbeauftragter unterstützt Sie bei der Erstellung eines entsprechenden Dokumentes und bei der Ermittlung von Aufbewahrungsfristen für die in Ihrem Unternehmen stattfindenden Verarbeitungsprozesse. Falls die gesetzlichen Vorgaben der DSGVO bezüglich der Löschung von personenbezogenen Daten nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.