Zusammenfassung
Die datenschutzrechtlichen Vorgaben der DSGVO machen die Ausarbeitung und Umsetzung eines Konzepts zur Löschung personenbezogener Daten notwendig.
Die Umsetzung eines Löschkonzepts bietet einen vielseitigen Nutzen. Zunächst dient ein dokumentiertes Löschkonzept der Wahrung der Rechenschaftspflicht (accountability) über die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Art. 1 Abs. 2 DSGVO). Die Bestimmung von Löschfristen setzt eine Auseinandersetzung mit den Unternehmensprozessen voraus. Dies eröffnet die Möglichkeit, Prozesse effizienter zu gestalten. Auch die Datenverwaltung wird durch das Löschkonzept systematisiert und konsolidiert, da alle Datenbestände in die Betrachtung einbezogen werden müssen. Der Datenbestand kann dadurch bereinigt werden. Dies hat zur Folge, dass auch der Aufwand und die Kosten für Datenmigrationen bei Systemwechseln erheblich reduziert werden.
Die Formulierung eines Konzepts zur Löschung personenbezogener Daten ist eine komplexe und umfangreiche Aufgabe. Sie steht in der Praxis etlichen Problemen gegenüber. Zunächst müssen unbestimmte Rechtsbegriffe ausgelegt werden. Darüber hinaus ist die Festlegung des Endes von Prozessen und der daraus resultierenden Löschfristen regelmäßig eine sehr aufwendige Aufgabe. Dass eine Vielzahl von Personen wie Vorstände, Geschäftsführer, IT-Verantwortliche, Datenschutzbeauftragte und Abteilungsleiter an der Umsetzung beteiligt sind, reduziert die Komplexität der Aufgabenstellung auch nicht gerade.
1 Löschverpflichtung
Wie bereits in Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5.3 Löschungsrechte erwähnt, sind personenbezogene Daten gemäß Art. 17 DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind. Die Löschpflicht ergibt sich damit aus den Grundsätzen der Verarbeitung personenbezogener Daten. Eine Datenspeicherung ist nach Art. 5 Abs. 1 lit. e DSGVO nur in einer Form zulässig, die eine Identifizierung des Betroffenen so lange ermöglicht, wie es für die Zwecke, für welche die Daten verarbeitet werden, erforderlich ist ("Speicherbegrenzung").
Des Weiteren sind nach Art. 17 DSGVO die Daten auch dann zu löschen, wenn
- die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
- die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
In den folgenden Ausführungen wird Bezug auf die DIN 66398 genommen. Die deutsche Industrienorm 66398 ist die "Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten". Die Vorgehensweise der DIN steht unter der Annahme, dass ein tragfähiger Kompromiss zwischen den rechtlichen Vorgaben und der Praktikabilität von Löschprozessen gefunden werden muss.
Im Löschkonzept müssen verschiedene Regelungen getroffen werden. Die Regelungen sollten umfassen,
- welche Löschregeln für welche Datenbestände gelten,
- wie aus den Löschregeln die Umsetzung der Löschung in den Prozessen erreicht wird,
- wie die Löschregeln, Umsetzungsvorgaben und durchgeführten Löschmaßnahmen zu dokumentieren sind und
- wer für die aus dem Löschkonzept entstehenden Aufgaben der Umsetzung, Überprüfung und Fortschreibung verantwortlich ist.
Die Summe der Regelungen stellt zugleich das Löschkonzept dar.
2 Löschen
Die DSGVO definiert den Begriff "Löschen" nicht. Dem Grunde nach darf nach der Löschung keine Möglichkeit mehr bestehen, die Daten zu lesen oder zu rekonstruieren.
Dies kann auf verschiedenen Wegen realisiert werden. So kann die Löschung durch das Überschreiben von Daten auf Datenträgern erreicht werden. Die Löschung kann auch durch die Vernichtung des kompletten Datenträgers realisiert werden. Dabei sollten jedoch geeignete mechanische Verfahren gewählt werden (Häckseln, Schreddern), die eine Datenrekonstruktion nahezu unmöglich machen.
Die Vorgehensweise bei der Datenlöschung/-vernichtung ist mithin als Teil der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes (TOM) zu formulieren (vgl. Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOM)). Das zu wählende Verfahren richtet sich unter anderem nach der Sensitivität der Daten.
Vernichtung von Papierdokumenten
Es ist darauf zu achten, dass Papierdokumente mit personenbezogenen Daten nicht in öffentlich zugänglichen Containern oder Mülltonnen entsorgt werden. Die Papierdokumente sind so zu vernichten, dass die Wahrscheinlichkeit, dass Dritte Kenntnis über den Inhalt der vernichteten Dokumente erhalten, so weit reduziert wird, dass ein angemessenes Schutzniveau für die betroffenen Personen erreicht wird. Eine Orientierung an der DIN 66399 bei der Aktenvernichtung erscheint zwingend.
3 Datenart/Datenkategorie
Eine Datenart/Datenkategorie ist ein Teil des Datenbestands, der für einen einheitlichen Zweck verarbeitet wird. Um eine k...