Dieses Verlagserzeugnis wurde nach bestem Wissen und nach dem aktuellen Stand von Recht, Wissenschaft und Technik zum Druckzeitpunkt erstellt. Der Verlag übernimmt keine Gewähr für Druckfehler und inhaltliche Fehler.

Alle Rechte vorbehalten. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Nutzung in anderen als den gesetzlich zugelassenen Fällen bedarf der vorherigen, schriftlichen Einwilligung des Verlags. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung in elektronischen Systemen.

Hinweis: Aus Gründen der besseren Lesbarkeit und Einfachheit wird in den folgenden Texten meist die männliche Form verwendet. Die verwendeten Bezeichnungen sind als geschlechtsneutral bzw. als Oberbegriffe zu interpretieren und gelten gleichermaßen für alle Geschlechter.

Autoren:

Sascha Kuhrau, Regina Mühlich, Andreas Sutter.

Rechtehinweis:

Titelbild: © pickup – stock.adobe.com

Copyright:

Gerichtsstand: AG Augsburg

Autoren dieser Ausgabe:

Sascha Kuhrau

Sascha Kuhrau, Inhaber von a.s.k. Datenschutz aus dem bayerischen Simmelsdorf, ist mit seinem Team als externer Datenschutz- und Informationssicherheitsbeauftragter für Firmen und Kommunen tätig. Weiterhin werden kleine und mittlere Organisationen bei der Einführung von Informationssicherheitskonzepten wie ISIS12 unterstützt. Der Fokus liegt auf pragmatischen Lösungen, Mensch und Mitarbeiter stehen im Vordergrund.

Regina Mühlich

Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Als Expertin für Datenschutz, Datenschutzbeauftragte und Datenschutz-Auditorin sowie Compliance Officer unterstützt sie mit ihrem Team Unternehmen im Bereich Datenschutz, Compliance und Qualitätsmanagement in Deutschland, Österreich sowie der Schweiz. Sie ist Vorstandsmitglied des Berufsverbandes für Datenschutzbeauftragte Deutschland (BvD) e. V.

Kontakt: consulting@AdOrgaSolutions.de https://www.AdOrgaSolutions.de/

Andreas Sutter

Andreas Sutter ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. Er berät seine Kunden rund um Datenschutz- und andere Compliance-Fragen, bildet Datenschutzbeauftragte/Datenschutzkoordinatoren aus und ist Mitglied im Datenschutz-Expertenrat des Branchenverbands „AfW – Bundesverband Finanzdienstleistung.

Editorial

Liebe Leserinnen und Leser,

ein Löschkonzept zu erstellen und umzusetzen erinnert oftmals an ungeliebte Aufräumarbeiten. Schließlich geht es darum, personenbezogene Daten, die nicht mehr benötigt werden bzw. nicht mehr verarbeitet werden dürfen, zu löschen bzw. zu vernichten.

Doch anders als bei der Ordnungsfindung, z. B. im privaten Kleiderschrank, können wir für die Entscheidung, wann personenbezogene Daten gelöscht oder vernichtet werden, nicht nach Marie Kondōs Aufräummethode vorgehen. Vielmehr brauchen wir hierfür klar formulierte Löschregeln, die präzise angeben, wann und wie wir personenbezogene Daten löschen.

So weit, so gut. Doch wie so oft, wird es bei der praktischen Umsetzung dann doch komplexer. Durch die unterschiedlichen Rechtsgrundlagen, auf deren Basis personenbezogene Daten in Organisationen verarbeitet werden, hilft hier keine Löschregel nach dem „One size fits all“-Ansatz. Vielmehr heißt es, für die einzelnen Verarbeitungstätigkeiten eigene Löschregeln aufzustellen und sicherzugehen, dass diese umgesetzt werden können.

Wie Ihnen dies in 33 Schritten gelingt, lesen Sie in diesem Praxisspezial.

Ich wünsche Ihnen eine aufschlussreiche Lektüre und wertvolle Impulse für Ihre Datenschutzorganisation.

Ihre Monica Hochbauer Fachbereich Datenschutz und IT-Sicherheit Redaktion Datenschutz für Praktiker

Bildquelle: © hanss – stock.adobe.com

Das Löschkonzept – Realisierung und Nutzen

Bildquelle: © Alexander Borisenko – stock.adobe.com

Anonymisieren statt löschen?

Bildquelle: © Ewa Leon – stock.adobe.com

Das Vernichten von physischen Datenträgern und die DIN 66399

Bildquelle: © thodonal – stock.adobe.com

Richtlinie Löschen & Entsorgen

Bildquelle: © beeboys – stock.adobe.com

Löschkonzepte: Interview mit dem Bayerischen Landesamt für Datenschutzaufsicht

Inhalt

Das Löschkonzept – Realisierung und Nutzen

Ziel und Zweck eines Löschkonzepts

Ausgangspunkt: das Verzeichnis der Verarbeitungstätigkeiten

Datenminimierung und Datensparsamkeit

Löschfristen erkennen und bestimmen – Praxisbeispiele

Die Löschmatrix – das Herzstück des Löschkonzepts

Vereinfachen, aber wie?

Löschregeln entwickeln

Problemfälle: Archiv und Datensicherung

Sonderfälle der Löschung

Der digitale Löschvorgang

Der analoge Löschvorgang

Dokumentation

Betriebswirtschaftlicher Nutzen des Löschkonzepts

Anonymisieren statt löschen?

Definition: Löschen

Definition: Anonymisierte Daten

Anonymisierung als Verarbeitung

Exkurs

Handlungsempfehlungen

Das Vernichten von physischen Datenträgern und die DIN 66399

Die Löschpflicht (Art. 17 DSGVO)

Vernichten vs. Löschen

Was sind Datenträger?

Datenträgervernichtung

DIN 66399

Löschen als Verarbeitung

Anwendung in der Praxis

Exkurs

Richtlinie Löschen & Entsorgen

Löschkonzepte: Interview mit dem Bayerischen Landesamt für Datenschutzaufsicht

Sonstiges

Autoren

Editorial

Impressum

Schritt für Schritt zum Löschkonzept

Das Löschkonzept: Realisierung und Nutzen

Das DSGVO-konforme Löschen ist für viele Organisationen eine große Herausforderung. Dennoch lohnt sich der Aufwand, ein Löschkonzept stringent umzusetzen und detailliert zu planen, um Datenschutzverstöße zu vermeiden. In diesem Beitrag erfahren Sie, wie Sie Schritt für Schritt zu Ihrem Löschkonzept gelangen.

1. Ziel und Zweck eines Löschkonzepts

Das Löschkonzept gehört nicht ohne Grund zu den großen Herausforderungen im Datenschutz. Hier verschmelzen formelle, technische und betriebswirtschaftliche Aspekte. Die Erstellung und Umsetzung des Löschkonzepts benötigt in der Regel viel Zeit und hat in der Folge große Auswirkungen auf die innerbetrieblichen Prozesse. Daher muss die Umsetzung auch von verschiedenen Unternehmensteilen in der Zusammenarbeit mit dem Verantwortlichen für den Datenschutz gemeinsam geplant und umgesetzt werden.

Das Ziel dieses Praxisspezials ist es darum, Ihnen einfache und umsetzbare Hinweise zu geben, und weniger die wissenschaftlichen Hintergründe im Detail zu erläutern. Es kann sich dabei nur um eine grobe Richtschnur handeln, denn ganz besonders im Löschkonzept zeigt sich die Individualität der Datenschutzanforderungen.

Mit der Erstellung eines Löschkonzepts können Sie mehrere Ziele verfolgen. So hilft es z. B. bei der Verhinderung der unerlaubten Verarbeitung personenbezogener Daten und schützt so vor den negativen Folgen von Datenschutzverstößen.

>>Warum benötigt jedes Unternehmen ein eigenes Löschkonzept?<<

Dafür gibt es in der DSGVO zwei entscheidende Gründe. Zum einen ist jede Datenverarbeitung verboten, für die es keinen Rechtsgrund (mehr) gibt.¹ Zum anderen haben die betroffenen Personen das Recht auf „Vergessenwerden“, auch bekannt als das Recht auf Löschung² ihrer Daten. Dieses Recht ist von der verantwortlichen Stelle nicht nur auf Nachfrage, sondern auch proaktiv zu wahren. Das bedeutet in der Konsequenz, dass das verantwortliche Unternehmen personenbezogene Daten unaufgefordert löschen muss, wenn es keinen rechtlichen Grund mehr für die Verarbeitung gibt.

Grundsatz:

Jede verantwortliche Stelle hat die Pflicht zur Erstellung eines Löschkonzepts, da sich nur so die Vorgaben der DSGVO wirksam umsetzen lassen.

Das Fehlen eines entsprechenden Konzepts stellt in der Regel bereits einen Datenschutzverstoß dar, und/oder bewirkt in der Folge entsprechende Verstöße.

Da es sich sehr schnell zeigt, dass es wesentlich einfacher ist, Daten zu erheben, als sie zu löschen, erweist sich an dieser Stelle der Vorteil der Datenminimierung.³ Auch die Struktur und Ordnung der Datenspeicherung spielt hierbei eine sehr große Rolle. Die Erstellung und Umsetzung eines Löschkonzepts geht also in der Praxis in der Regel mit sehr viel „Aufräumarbeit“ einher. Entsprechend unangenehm ist dieses Thema und wird gerne auf die lange Bank geschoben. Im Falle von Prüfungen durch die Aufsichtsbehörde führt ein fehlendes Löschkonzept aber sehr schnell zu Problemen. Das Löschkonzept ist regelmäßig ein Teil von Prüfanfragen durch die Behörden.

Der Grund für die Komplexität des Themas liegt auch im sogenannten Löschparadoxon: Wie kann der Verantwortliche die Löschung dokumentieren, ohne weiterhin personenbezogene Daten zu verarbeiten? Das gelingt nur durch die regelmäßige und dokumentierte Umsetzung sogenannter Löschregeln, die das Kernelement eines Löschkonzepts bilden. Der Nachweis bzw. die Dokumentation der Löschung erfolgt dann durch den Nachweis der Löschregeln und die Dokumentation der systematischen Umsetzung.

Eine Orientierung für die Erstellung und Umsetzung bildet die DIN 66398, die sich als Leitlinie versteht. Die Grundideen dieser Norm stellen wir in dieser Praxishilfe dar.

Weitere Informationen aus Datenschutzsicht finden sich im Kurzpapier Nummer 11 der DSK⁴ und im Baustein 60 des Standard-Datenschutzmodells (SDM).⁵

Die sichere Umsetzung des Themas „Löschen“ hat aber auch einen Aspekt aus dem Bereich IT-Sicherheit. Denn neben personenbezogener Daten geht es ja auch um weitere Informationen und Geschäftsgeheimnisse, die es aus Sicht des Unternehmens zu schützen gilt. Daher findet sich auch im IT-Grundschutz des BSI ein Baustein „Löschen und Vernichten“⁶.

Wenn wir von „Löschen“ reden, ist nicht nur die dauerhafte Vernichtung von Daten, sondern alternativ auch die Anonymisierung gemeint. Beides stellt technisch große Herausforderungen an die Verantwortlichen. Bei dem Versuch der Vernichtung von Daten besteht immer die Gefahr, dass sie sich wieder ganz oder teilweise rekonstruieren lassen oder Rest-Datenbestände auf den Datenträgern verbleiben, die von Dritten ausgelesen werden könnten. Ebenso besteht bei einer unzureichenden Anonymisierung die Gefahr, dass diese nicht vollständig ist, also Daten im Zweifel wiederhergestellt werden könnten. Hier bedarf es also eines risikobasierten Vorgehens, in Abhängigkeit vom Schutzniveau der Daten. Hinweise dazu finden sich u. a. in der DIN 66399.

Außerdem sei erwähnt, dass ein umfassendes Löschkonzept nicht nur digital gespeicherte Daten umfassen sollte, sondern auch analoge Daten in Papierform oder Daten auf anderen Speichermedien, wie z. B. Mikrofilm.

Betriebswirtschaftlich zeigt sich der Vorteil eines Löschkonzepts darin, dass Prozesse effizienter werden und die Datenverarbeitung strukturierter wird. Daher handelt es sich hierbei um einen der wenigen Bereiche im Datenschutz, der auch sehr schnell wirtschaftliche Vorteile mit sich bringt.

Ziele des Löschkonzepts sind:

Verhinderung der unerlaubten Verarbeitung personenbezogener Daten

Wahrung der Rechte der betroffenen Personen

Verhinderung von Verlust der Vertraulichkeit von Daten

Datenminimierung und Datenstrukturierung

2. Ausgangspunkt: das Verzeichnis der Verarbeitungstätigkeiten

Der Grundstein für die Erstellung eines Löschkonzepts ist das Verzeichnis der Verarbeitungstätigkeiten.⁷ Damit es aber als wirksame Grundlage dienen kann, muss es ausreichend differenziert sein.

Schritt 1: Prüfung der Verarbeitungszwecke

Schritt 2: Prüfung der Erforderlichkeit von Daten

Ein entscheidendes Differenzierungskriterium ist dabei der Zweck der Verarbeitung. Auf der einen Seite ist zu prüfen, ob die gewünschten Zwecke überhaupt notwendig sind, und auf der anderen Seite stellt sich die Frage, ob die erhobenen Daten für die Erfüllung des Zweckes erforderlich sind.

Die sorgfältige Beantwortung dieser Fragen stellt den ersten Schritt bei der Erstellung des Löschkonzepts dar. Daten haben sozusagen eine „Klebewirkung“, d. h., wenn man sie erst einmal erhoben hat, wird man sie zum Teil nur sehr schlecht wieder los. Daher gilt der Grundsatz der Datensparsamkeit, der unter Punkt 3 noch genauer beschrieben wird.

Schritt 3: Bestimmung der Rechtsgrundlage

Schritt 4: Bestimmung der Fristen

Im nächsten Schritt müssen die Rechtsgrundlagen der Verarbeitungen überprüft werden. Das hat auch den Hintergrund, dass sich die Löschfristen bzw. Aufbewahrungsfristen nach den rechtlichen Grundlagen der Verarbeitung richten.

Beispiel

Die Verarbeitung sogenannter Handelsbriefe ist auf der Basis von Art. 6 Abs. 1 lit. c DSGVO, also der rechtlichen Verpflichtung, erlaubt.

Die rechtliche Verpflichtung, auf die man sich dabei bezieht, findet sich in § 257 Abs. 4 HGB. So sind Handelsbriefe mindestens sechs Jahre lang aufzubewahren.

Nach Ablauf dieser Frist entfällt die rechtliche Verpflichtung und damit in der Regel die Rechtsgrundlage für die Datenverarbeitung. Damit entsteht zunächst eine direkte Löschpflicht.

Rechtliche Verpflichtungen gibt es allerdings in zweierlei Ausprägungen. In dem oben genannten Beispiel müssen die Daten für den entsprechenden Zeitraum vorgehalten werden. Es gibt aber auch rechtliche Verpflichtungen, nach denen Daten nur für den genannten Zeitraum aufbewahrt werden dürfen. Es stellt sich also immer die Frage der sogenannten Erforderlichkeit der Verarbeitung.

Beispiel

Der Versicherungsmakler-Vertrag erlaubt dem Versicherungsmakler für die Dauer des Vertrags grundsätzlich die Verarbeitung von Daten, die für die Erfüllung und Durchführung des Vertrags erforderlich sind.⁸

Zieht man jetzt daraus den Schluss, dass die Daten erst nach Beendigung des Vertrags zu löschen sind, begeht man möglicherweise einen großen Fehler. Denn die Daten sind bereits dann zu löschen, wenn sie für die konkrete Durchführung oder Erfüllung nicht mehr zwingend erforderlich sind.

Auch an diesem Beispiel sieht man, dass es sinnvoll ist, so wenig Daten wie möglich zu verarbeiten, um den Prüfprozess im Hinblick auf die Erforderlichkeit so gering wie möglich zu halten.

Darüber, wie Löschfristen richtig erkannt und bestimmt werden, wird unter Punkt 4 die Rede sein.

Schritt 5: Prüfung der Qualität der Datenquellen

Schritt 6: Prüfung der Qualität der Auftragsverarbeiter

Weitere Inhalte des Verzeichnisses der Verarbeitungstätigkeiten sind die Quelle und die Empfänger von Daten. Die Auswahl qualitativ hochwertiger Quellen ist, sofern überhaupt möglich, eine wichtige Grundlage, um nicht falsche Daten oder Daten in schlechter Qualität zu erhalten. Gerade im Massengeschäft kommt es immer wieder vor, dass Daten von den Dienstleistern an falsche Empfänger übermittelt werden. Damit hat der Verantwortliche das Problem, dass er diese fehlerhaften Daten zum einen erkennen und zum zweiten frühzeitig löschen muss. Ein weiteres Problem der Datenquellen ist, dass gleiche oder ähnliche Daten von verschiedenen Quellen an verschiedene Teile des Unternehmens fließen können. Eine Strukturierung der Prozesse ist aus diesem Grund sehr empfehlenswert.

Ebenso muss geprüft werden, an welche Empfänger, insbesondere an welche Auftragsverarbeiter, Daten weitergeleitet werden. Im Falle von Auftragsverarbeitern verbleibt die Löschpflicht – und damit die Berücksichtigung im Löschkonzept – in der Sphäre des Verantwortlichen. Bei der Auswahl des Auftragsverarbeiters muss also bereits im Vorfeld darauf geachtet werden, dass dieser eine einfache und unkomplizierte Möglichkeit bietet, die Daten, die er erhalten hat, auch wieder zu löschen.

Eine besondere Bedeutung haben Auftragsverarbeiter, die mit der Löschung oder Vernichtung von Daten beauftragt werden. Dazu gehören z. B. Dienstleister aus dem Bereich der Aktenvernichtung. Bei diesen muss in besonderem Maße die Qualität der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters vom Verantwortlichen geprüft und kontrolliert werden.

Da im Verzeichnis der Verarbeitungstätigkeiten auch die Fristen für die Löschung der verschiedenen Datenkategorien genannt werden müssen,⁹ sollten dieses und das Löschkonzept natürlich insgesamt sauber aufeinander abgestimmt sein. Aus diesem Grund spricht vieles dafür, das Verzeichnis der Verarbeitungstätigkeiten sehr genau zu differenzieren und nicht allgemeine Verarbeitungstätigkeiten zu definieren, die verschiedene Zwecke, Inhalte und Löschfristen beinhalten. Diese Differenzierung ist im Übrigen auch im Hinblick auf die technischen und organisatorischen Maßnahmen zweckmäßig.

Datenminimierung und Datensparsamkeit hilft bei der praktischen Umsetzung des Löschkonzepts. Denn so werden nur Daten in dem Umfang verarbeitet, wie sie für den Zweck zwingend erforderlich sind. Beschränken Sie den Umfang der verarbeiteten Daten auf das notwendige Maß.

Beispiel

Viele Verarbeitungsverzeichnisse führen eine Verarbeitungstätigkeit „Personal“ auf. Dabei wird übersehen, dass sich darunter eine Vielzahl von verschiedenen Verarbeitungstätigkeiten verbirgt, die unterschiedliche Rechtsgrundlagen und Vorhaltefristen haben. Das reicht von der Reisekostenabrechnung bis zur Strahlenschutzbelehrung oder von der Zeiterfassung bis zur Abmahnung. Folglich muss jeder dieser Vorgänge sinnvollerweise als eigene Verarbeitungstätigkeit definiert werden, damit sich im Löschkonzept eine korrespondierende Löschregel erstellen lässt.

Sie haben die kostenlose Leseprobe beendet. Möchten Sie mehr lesen?

Löschkonzept nach DSGVO erstellen und anwenden

Andere haben auch gelesen:

Weitere Bücher von diesem Autor