Die DSGVO macht klare Vorgaben in vielerlei Hinsicht. Auch die Löschung personenbezogener Daten fallen unter diese Vorgaben. Ganz einfach gesagt: Die Daten müssen gelöscht werden, wenn sie nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen. So weit, so simpel. Doch hinter dem Löschen steht noch mehr: das individuelle Recht auf Vergessen. Dieses soll sicherstellen, dass Informationen mit direktem Personenbezug nicht auf Dauer abgerufen werden können. Daher sollten Unternehmen ein Löschkonzept vorweisen, das diese Vorgaben klar regelt. Wie das aussehen kann, woher die Pflicht zur Löschung kommt und was man bei einem Löschkonzept beachten sollte erfahren Sie hier.
Der Grundsatz der Speicherbegrenzung
Die DSGVO kommt mit so einigen Vorgaben und Grundsätzen daher, die alle zum Ziel haben, personenbezogene Daten und damit den Eigner zu schützen. Die Regelungen sollen dem individuellen Menschen wieder mehr Macht über seine eigenen Daten ermöglichen. Zwei dieser Grundsätze sind die Datenminimierung und die Speicherbegrenzung. Letzterer besagt Folgendes:
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“
Kurzum: Wenn also ein Unternehmen solche Daten erhoben, gespeichert und verarbeitet hat, diese jedoch für ihren Zweck nicht mehr erforderlich sind, müssen diese gelöscht werden. Natürlich immer unter Beachtung weiterer rechtlicher Vorgaben, wie beispielsweise bestehender Aufbewahrungsfristen.
Recht auf Löschung - Recht auf Vergessenwerden
Da ist es nicht verwunderlich, dass viele Unternehmen unsicher sind, wann denn nun genau gelöscht werden muss und ob andere Vorgaben greifen. Doch auch hier schafft die DSGVO eine klare Regelung. Wann genau ein Fall auftreten kann, der eine Löschung notwendig macht, regelt Art. 17 DSGVO. Hier werden mehrere Gründe für das Eintreten einer Löschpflicht genannt:
- Die personenbezogenen Daten sind für die Zwecke, für die sie originär erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich
- Die betroffene Person widerruft ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor
- Die personenbezogenen Daten wurden unrechtmäßig gespeichert
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt
Die Pflicht zur Löschung gilt allerdings nicht, soweit die Verarbeitung erforderlich ist:
- Zur Ausübung des Rechts auf freie Meinungsäußerung und Information
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Wer diese Auslegung der Löschpflicht missachtet oder missversteht, der muss jedoch, wie so häufig bei der DSGVO, mit saftigen Strafen rechnen. Bei Missachtung der Löschpflicht drohen Unternehmen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, was höher ist.
Wann müssen welche Daten gelöscht werden?
Löschkonzept entwickeln
Zwar verpflichtet die DSGVO nicht unmittelbar dazu, ein Löschkonzept aufzustellen. Allerdings ist ein solches sehr sinnvoll, um dem Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e) DSGVO einzuhalten. Entsprechend macht es Sinn, als Unternehmen Löschkonzepte und Löschroutinen zu erarbeiten und im Unternehmensalltag zu implementieren. Je später ein solcher Prozess eingeleitet wird, desto aufwändiger und schwieriger gestaltet sich die Umsetzung. Vor allem aber ist die Gefahr größer, einem Bußgeldverfahren ausgesetzt zu sein. Zur Entwicklung eines solchen Löschkonzeptes hilft die DIN 66398.
Diese wurde im Mai 2016 veröffentlicht und trägt den Namen „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“. Sie gibt Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten in einem Löschkonzept für personenbezogene Daten. Ferner beschreibt sie Vorgehensweisen, mit denen Löschfristen und Löschregeln für verschiedene Datenarten bestimmt werden können. Auch empfiehlt sie eine Struktur zur Dokumentation des Löschkonzepts.
Ein Löschkonzept ist stets ein auf das jeweilige Unternehmen zugeschnittenes und individuell ausgestaltetes System, welches unter Berücksichtigung der bestehenden Verfahren, Systeme und Prozesse im Unternehmen das Vorgehen zur Kategorisierung und Zuordnung zu entsprechenden Löschfristen personenbezogener Daten definiert. Es geht darum, mittels verschiedenster Prüfschritte ein Grundgerüst der Datenflüsse zu entwerfen, eine Zuordnung zu Löschzeitpunkten herzustellen und diese anschließend mit den systemeigenen Gegebenheiten zu verknüpfen bzw. darin umzusetzen.
Die einzelnen Schritte zur Erstellung eines Löschkonzeptes im Unternehmen besteht nach DIN 66398 in:
- Bestimmung der Datenarten, die es in den Datenbeständen des Unternehmens gibt
- Zusammenfassung der Datenarten in Löschklassen
- Definition von Löschregeln für die Datenarten
- Definition von konkreten Umsetzungsregeln
- Definition der jeweils Verantwortlichen für die Umsetzung
- Dokumentation der ergriffenen und zu ergreifenden Schritte und Pflege der Dokumentation
Beispiel: Löschkonzept im Personalbereich
Am Beispiel der Human Ressources-Abteilung zeigt sich, wie vielschichtig die Datenlöschung werden kann. Denn vor allem hier haben viele Mitarbeiter mit personenbezogenen Daten zu tun. Zusätzlich muss das Löschkonzept dabei auch im Einklang mit allgemeinen Aufbewahrungsfristen stehen. Das Löschkonzept ermöglicht also einen wichtigen Spagat zwischen verschiedenen Pflichten. Die Löschung erstreckt sich dabei vom Bewerbungsprozess über die Personalakten, die Lohnabrechnung und die Alltagskommunikation per E-Mail bis hin zur Vernichtung von Personalunterlagen nach dem Ende eines Beschäftigungsverhältnisses.
Löschen von Bewerbungsunterlagen physisch oder elektronisch: Dabei reicht es nicht nur, die Bewerbungsunterlagen vom Server zu löschen oder Papierbewerbungen zu Schreddern, sondern auch im internen E-Mailverkehr muss sichergestellt werden, dass die Daten rückstandslos gelöscht werden. Aber auch Bewerbungsportale müssen bedacht werden, wenn Unterlagen von Bewerbern dort direkt hochgeladen werden können.
Mitarbeiterdaten aus dem Arbeitsalltag löschen: Dazu gehören natürlich auch E-Mails, die relevante Informationen enthalten oder auch sämtliche Dokumente, die im Hinblick auf die Lohnabrechnung relevant sind.
Vernichtung von Personalunterlagen nach Ausscheiden: Verlässt ein Mitarbeiter das Unternehmen, muss innerhalb des Löschkonzeptes festgelegt werden, welche Daten der Personalakte umgehend gelöscht werden müssen und welche Informationen nach Aufbewahrungsfristen erst vernichtet werden können. Hier ist vor allem auch darauf zu achten, dass die Löschung nur durch Mitarbeiter der Personalabteilung erfolgt.
Der Personalbereich ist nur eine Abteilung, die besondere Herausforderungen an ein Löschkonzept stellt. Da jeder Fachbereich eigene Spezifika mit sich bringt macht es Sinn, individuelle Gestaltungsrahmen nach den unterschiedlichen Anforderungen der Abteilungen in einem Löschkonzept festzuhalten.
Muster-Löschkonzept – Vorlagen für Unternehmen jeder Größe
Häufig stellt die Entwicklung eines Löschkonzeptes vor allem kleine und mittelständische Unternehmen vor große Herausforderungen. Zu oft fehlen die Kompetenzen in Sachen Datenschutz im eigenen Betrieb, weshalb das Löschkonzept unvollständig oder fehlerhaft dokumentiert wird. Zu viele Einzelbereiche mit unterschiedlichen Anforderungen müssen damit unter einen Hut gebracht werden, das sorgt für viele Unsicherheit. Um dem Grundsatz der Speicherbegrenzung jedoch gerecht zu werden, ist ein durchaus sinnvoll sich damit auseinanderzusetzen. Wer wenig Vorgangswissen hat, sollte also auf Vorlagen zurückgreifen. Je nach Unternehmensgröße können diese jedoch sehr unterschiedlich ausfallen. Welches Konzept benötigt ein kleines Start-Up im Gegensatz zum großen Konzern? Und wie müssen Löschfristen in verschiedenen Unternehmensbereichen realisiert sein? Die vielen Fragen rund um das „Recht auf Vergessenwerden“ führen zu Unsicherheiten, sogar mit entsprechenden musterhaften Löschkonzepten. Daher ist es sinnvoll sich durch einen Experten für Datenschutz oder einen Juristen absichern zu lassen. Dieser prüft das Löschkonzept auf seine Tauglichkeit und macht auf Fehler im Konzept aufmerksam. Im Rahmen einer Komplettbetreuung ist die Erstellung eines Löschkonzeptes häufig bereits kostenlos inbegriffen, sodass man sich den Aufwand Lösch-Vorlagen mühevoll umzumünzen sparen kann. Der Rückgriff auf Experten kann in jedem Fall für eine Risikominimierung sorgen.
