Fristgerechtes Datenlöschen nach der DSGVO

Wann muss gelöscht werden?

Nach der Datenschutz-Grundverordnung gibt es zwei Anlässe zum Löschen, sie finden sich in Artikel 17: Der eine ist, wenn Betroffene vom Verantwortlichen verlangen, ihre Daten zu löschen, wenn einer der dort genannten Löschgründe vorliegt (und keine der genannten Ausnahmen dagegen spricht). Der andere, wenn einer der dort genannten Löschgründe vorliegt (und keine der genannten Ausnahmen dagegen spricht).

Scheinbar wird hier zweimal dasselbe gesagt. Betroffene können verlangen, wozu der Verantwortliche sowieso verpflichtet ist. Eigenartig, oder? Muss der Verantwortliche also erst löschen, wenn Betroffene es verlangen? Kann er, wenn sie es nicht verlangen, die Daten einfach weiter aufbewahren? Und wenn ja, einfach so, oder müsste er für die Daten einen neuen Zweck bestimmen?

Grundsätze der Daten­verarbeitung

Die Antwort findet sich im fünften Artikel der DSGVO, der die Maßstäbe der Datenverarbeitung enthält. Einer davon ist die Speicherbegrenzung: Die Identifizierung der Betroffenen darf nur so lange möglich sein, wie die Verarbeitungszwecke es verlangen. Allerdings gibt es in manchen EU-Staaten Regelungen, nach denen gesetzliche Aufbewahrungsfristen eingehalten werden müssen, zum Beispiel für Betriebsprüfungen: Längst bezahlte und verbuchte Rechnungen etwa sind für ihren Verarbeitungszweck nicht mehr erforderlich, müssen aber für Betriebsprüfungen aufbewahrt werden. Daher die Präzisierung in Artikel 17 – der scheinbare Widerspruch hat also seine Gründe.

Diese Fakten müssen bekannt sein

Wie schaffen Sie es nun, personenbezogene Daten termingerecht zu löschen? Dafür müssen Sie zunächst wissen, wie lange die Daten für den betroffenen Geschäftsprozess erforderlich sind. Um beim Beispiel der Rechnungen zu bleiben: Hier könnte man zunächst an die Zahlungsfrist denken, gegebenenfalls könnte aber auch die Frist geeignet sein, für die eine freiwillige Garantie gegeben wurde – bei Eintritt des Garantiefalles können Sie Jahre später die Grundlage des Rechtsgeschäfts prüfen und etwaige Verpflichtungen erfüllen.
Neben der Dauer der Erforderlichkeit müssen Sie die jeweiligen gesetzlichen Aufbewahrungsfristen kennen und wissen, wann diese beginnen und enden. Außerdem müssen die Speicherorte und Speichermedien bekannt sein, wo die personenbezogenen Daten während der Aufbewahrungszeit liegen.

Übersicht gefordert im Verarbeitungs­verzeichnis

Der Gesetzgeber hat offenbar geahnt, wie schwierig das mit dem termingerechten Löschen werden kann, wenn Unternehmen in zahlreichen Geschäftsprozessen zahlreiche Datenkategorien verarbeiten. Wie soll man da den Überblick behalten? Die Antwort gibt die DSGVO in Artikel 30. Das Verarbeitungsverzeichnis soll, „wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien“ enthalten. Achtung – hier ist nicht das umgangssprachliche „wenn möglich“ gemeint frei nach dem Motto „Im Büro ist grade alles ein wenig durcheinander, darum ist das Löschen derzeit leider nicht möglich“. Im juristischen Sinne bezeichnet dieses „Wenn möglich“ ein objektives „Möglich“ oder „Nicht möglich“ – „nicht möglich“ wäre das Löschen also beispielsweise, wenn der Gesetzgeber keine Aufbewahrungsfristen bestimmt hat oder betroffene Daten sich keinem gesetzlich festgelegten Aufbewahrungszweck zuordnen lassen – und das ist überaus selten der Fall. Also: Keine Ausreden, sondern Ärmel aufkrempeln, für jede Datenkategorie die Aufbewahrungsfrist ermitteln, alle Fristen sammeln und das Ganze dokumentieren.

Was passiert, wenn Sie nicht löschen?

Wer das termingerechte Löschen versäumt, kann sich Ärger einhandeln. Das gilt nämlich als Rechtsverstoß und kann geahndet werden, beispielsweise mit einer Geldbuße. Wetten, dass spätestens nach der ersten Geldbuße das fristgerechte Löschen klappt? Der Bußgeldrahmen reicht bis zur im EU-Recht üblichen Höhe, sprich: bis zu 20.000.000 Euro oder 4 Prozent des Vorjahresumsatzes – und zwar der gesamten Unternehmensgruppe. Ob die Aufsichtsbehörden diese Beträge in der Praxis je verhängen werden, steht in den Sternen. Aber auch geringere Geldbußen müssen nicht sein, und darum sollte man es so weit gar nicht erst kommen lassen.

Richtig löschen mit Lösch­regeln und Lösch­konzept

Um die Betroffenenrechte nach der DSGVO zu erfüllen, braucht es ein Löschkonzept mit entsprechenden Regeln. Das Löschkonzept sollte aus Gründen der Effizienz eine Löschleitlinie sein, in der die wichtigsten Regelungen zusammengefasst sind. Außerdem braucht es konkrete Löschregeln für die jeweiligen Geschäftsfelder und die dort angesiedelten Prozesse. Für Personaldaten gilt etwas anderes als etwa für Finanzdaten.

Verzeichnis der Verarbeitungs­tätigkeiten

Artikel 30 der DSGVO enthält die Regelungen für das Führen des Verarbeitungsverzeichnisses. Dazu gehören Fristen für die Löschung der betroffenen Datenkategorien. Vergessen Sie also nicht, die vorgesehenen Fristen in das Verarbeitungsverzeichnis aufzunehmen. Achten Sie darauf, das Verzeichnis der Verarbeitungstätigkeiten vollständig und aktuell zu halten. Sollten Sie einzelne Geschäftsprozesse übersehen, haben Daten keine Löschregeln und werden demzufolge nur zufällig gelöscht – oder überhaupt nicht.

Technische und organisa­torische Maßnahmen erfüllen

Auch die Regelungen zu technischen und organisatorischen Maßnahmen aus Artikel 32 der DSGVO spielen eine Rolle. Sie dienen zwar „nur“ dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, und daher ist dort neben Maßnahmen wie Pseudonymisierung und Verschlüsselung „nur“ die Verfügbarkeit genannt – und nicht deren Ende. Allerdings: Wer Daten zu lange aufbewahrt, verletzt die Rechte und Freiheiten der Betroffenen. Außerdem ist die Aufzählung nicht vollständig, was durch die Formulierung „unter anderem“ deutlich wird:

„... der Verantwortliche ... [trifft] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten;  ... Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste ...; die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen ... regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Art. 32 Abs. 1 DSGVO

Sie müssen also auch geeignete technische und organisatorische Maßnahmen zum korrekten und zeitgemäßen Löschen ergreifen. Denn nur rechtzeitig gelöschte Daten sind sichere Daten im Sinne des Artikels 32 DSGVO.



Aufgaben der Datenschutzbeauftragten

Nach Artikel 39 haben Datenschutzbeauftragte zu überwachen, dass das Unternehmen die Bestimmungen der DSGVO einhält. Dazu zählt, die Verpflichtungen des Artikels 17 zum Löschen zu prüfen, zu dokumentieren und in den Tätigkeitsbericht mit aufzunehmen.

Tipps für das Datenlöschen nach der DSGVO

1. Sorgen Sie dafür, dass das Verarbeitungsverzeichnis vollständig ist und die erforderlichen Aufbewahrungsfristen enthält.
2. Stellen Sie sicher, dass zu allen Geschäftsprozessen bekannt ist, wo die Daten gespeichert sind.
3. Gewährleisten Sie, dass es eine Löschleitlinie gibt und diese beachtet wird.
4. Stellen Sie sicher, dass eine Übersicht vorhanden ist, zu welchen Zeiten welche Daten zu löschen sind, beispielsweise in den Löschregeln.
5. Sorgen Sie dafür, dass der oder die Datenschutzbeauftragte die Löschung überwachen kann, zumindest stichprobenartig.
6. Stellen Sie sicher, dass das alles termingerecht erfolgt.
   

Und die Kernfrage: Ist sichergestellt, dass personenbezogene Daten aus allen Geschäftsprozessen termingerecht gelöscht werden?


Wir wünschen viel Erfolg beim fristgerechten Datenlöschen!