Löschkonzept nach DSGVO
Das Löschen nach DSGVO ist eines dieser Themen, die Unternehmen immer wieder Kopfzerbrechen bereiten. Vermutlich fragst du dich auch: wann darf ich Daten löschen, wie lange muss ich sie aufbewahren, wie lösche ich richtig. In diesem Beitrag erkläre ich dir, was du zum Löschen nach DSGVO wissen musst und wie du das Ganze mit einem Löschkonzept richtig umsetzt.
Wann sind Daten gelöscht?
Löschen im Sinne des Datenschutzes bedeutet nicht einfach, dass du Daten in Papierkorb schieben kannst, egal ob digitale oder analoge Daten. Löschen heißt vielmehr, dass du die Daten derart irreversibel verändern musst, dass sie nach dem Vorgang nicht mehr vorhanden oder unkenntlich sind. Eine Verwendung oder Rekonstruktion ist dann in aller Regel nicht mehr möglich. Das bedeutet, dass die Daten nach dem Löschen keiner natürlichen Person mehr zugeordnet werden können.
Löschen nach DSGVO ist Datenverarbeitung
Vermutlich erzähle ich dir nichts Neues, wenn ich dir verrate, dass du personenbezogene Daten nur auf Basis einer Rechtsgrundlage verarbeiten darfst (Art. 5 DSGVO). Dabei ist bereits die reine Speicherung eine Verarbeitung, für die du eine Rechtsgrundlage benötigst. Wenn diese Rechtsgrundlage nicht mehr existiert, darfst du diese Daten nicht mehr speichern. Das heißt, du musst sie in aller Regel löschen. Die unbegrenzte Speicherung von personenbezogene Daten ist unzulässig. Umgekehrt gibt es aber auch gesetzliche Aufbewahrungspflichten, nach denen du verpflichtet bist, Daten für eine bestimmte Zeit aufzubewahren. Solche Pflichten findest du zum Beispiel im Steuerrecht in der Abgabenordnung.
Recht auf Löschung, Pflicht zur Löschung
Betroffene Personen haben grundsätzlich einen Anspruch auf Löschung ihrer Daten. Dabei muss die betroffene Person den Anspruch nicht einmal aktiv gegen. Des Grundsatzes der Datenminimierung gem. Art. 5 Abs. 1 c) dich geltend machen. Die DSGVO verpflichtet dich auch so, die Daten zu löschen, wenn einer der folgenden Gründe vorliegt (Art. 17 DSGVO):
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Du hast die Daten auf Basis einer Einwilligung verarbeitet und betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte. Das gilt nur, sofern keine andere Rechtsgrundlage für die Verarbeitung infrage kommt.
- Für den Fall, dass du die Verarbeitung auf Basis eines berechtigten Interesses vornimmst: Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor. Berechtigte Gründe deinerseits sind irrelevant, wenn die Verarbeitung zur Direktwerbung durchgeführt wurde. Dann musst du die Daten bei einem Widerspruch auf jeden Fall löschen.
- Du hast die personenbezogenen Daten unrechtmäßig verarbeitet.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO (Einwilligung eines Kindes) erhoben.
Löschung nicht um jeden Preis
Es gibt aber auch Ausnahmen von diesen Grundsätzen (Art. 17 DSGVO). Danach musst du die Daten nicht zwingend löschen, wenn etwa:
- die Verarbeitung erforderlich ist, zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung dient, dem du als Verantwortlicher unterliegst (darunter fallen vertraglichen Aufbewahrungspflichten – § 35 BDSG); oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Liegt einer dieser Gründe vor, musst du nicht löschen. Hier kommt es immer auf den Einzelfall an und du musst genau prüfen, ob ggf. eine Ausnahme vorliegt.
Fristen und Aufbewahrungszeiten im Auge behalten
Ich hatte oben bereits erwähnt, dass du Daten nicht löschen musst oder gar nicht löschen darfst, wenn dem eine Aufbewahrungsfrist entgegensteht. Dabei gibt es eine ganze Reihe von unterschiedlichen Aufbewahrungsfristen. Rechnungen etwa müssen mindestens 10 Jahre aufgehoben werden (§ 14 b Abs. 1 Satz 1 UStG). In unserem Löschkonzept Muster findest du eine Übersicht der wichtigsten Aufbewahrungsfristen.
Etwas schwieriger wird es, wenn es keine gesetzlichen Fristen gibt, aber du die Daten trotzdem aufbewahren musst oder willst. Wenn du z. B. Produkte verkaufst, läuft in der Regel eine Frist zur Mängelgewährleistung. Hier hast du selbstverständlich ein Interesse daran, die Vertragsunterlage aufzubewahren, bis die Ansprüche verjährt sind oder alles geklärt ist. Ein anderes Beispiel sind Personaldaten oder Bewerber, mit denen du aus welchen Gründen auch immer kein Arbeitsverhältnis geschlossen hast. Hier solltest du entsprechende Unterlagen mindestens bis zum Ablauf der Frist für die Geltendmachung von Schadensersatz nach § 15 Abs. 1 oder Abs. 2 AGG aufbewahren. Ansonsten könntest du aber auch ein Interesse daran haben, solche Daten aufzubewahren, weil du z. B. davon ausgehst, dass der oder die Kandidatin zukünftig doch noch einen Job bei dir anfangen könnte.
In solchen Fällen musst du dir genau überlegen, wie lange du die Daten aufbewahrst. Auch hier gilt, dass eine unendliche Aufbewahrung nicht zulässig ist.
Die Fristen selbst solltest du in dein Verarbeitungsverzeichnis aufnehmen.
Wenn du Daten nur noch aufbewahrst, um bestimmte Aufbewahrungspflichten zu erfüllen, musst du ggf. weitere Maßnahmen ergreifen, z. B. die Daten für andere Verwendungen sperren. In diesem Fall darfst du die Daten nur noch für die Zwecke nutzen, für die sie aufbewahrt werden.
Archive und Sicherungskopien
Zu großen Fragezeichen führt regelmäßig der Umgang mit Backups und Sicherungskopien. Zwischen beiden solltest du genau unterscheiden.
Ein Archiv nutzt du, um Daten langfristig vorzuhalten. Du benötigst die Daten nicht mehr in der aktiven Verwendung, möchtest diese aber weiter aufbewahren, um ggf. später noch einmal darauf zuzugreifen. In deinem Archiv können unterschiedliche Datenarten mit unterschiedlichen Löschfristen enthalten sein. Die Daten in Archiven dienen nicht nur der begrenzten Sicherung. In der Regel willst du diese Daten ggf. noch einmal aktiv verwenden. Diese Daten sind also von Backups streng zu unterscheiden. Für diese Daten musst du die regulären Löschfristen beachten.
Deine Backups dienen der Wiederherstellung deiner Systeme und Datenbestände nach Störungen jeglicher Art. In der Praxis wirst du einzelne Daten innerhalb einer Backup-Generation nicht löschen können. Damit wäre eine sinnvolle Sicherung kaum möglich. Allerdings benötigst du für Backups eine wesentlich geringere Vorhaltezeit. Hier musst du im Rahmen deines Backup- and Recovery-Prozesses festlegen, welche Fristen für dich angemessen sind. Sicherungskopien darfst du nicht als Archive missbrauchen.
Wie schnell muss gelöscht werden?
Sobald du keinen Grund mehr hast, die Daten aufzubewahren, musst du die Daten unverzüglich löschen. Unverzüglich meint dabei ohne schuldhaftes zögern. Im Einzelfall kann es vorkommen, dass du vor der Löschung erst prüfen musst, ob ggf. ein Ausnahmetatbestand nach Art. 17 Abs. 3 DSGVO vorliegt. Diese Prüfung kann zeitintensiv sein und eine Abwägung im Einzelfall notwendig machen. Als Faustregel gilt: Eine Frist von einem Monat solltest du keinesfalls überschreiten.
Richtig löschen!
Je sensibler die Daten, desto höher sind Anforderungen an das Löschen nach DSGVO. Die Entsorgung sensibler Daten, ungeschreddert in der Papiertonne oder das einfache Verschieben digitaler Daten in den Papierkorb reicht selbstverständlich nicht aus. Bereits bei einfachen personenbezogenen Daten ohne sensible Informationen .
Das endgültige Löschen ist nach Auffassung vieler Experten nur durch die Vernichtung der Daten bzw. des Datenträgers möglich. Das steht häufig außer Verhältnis und ist in der Praxis kaum mit vertretbaren Mitteln umsetzbar. Am Ende geht es auch gar nicht um einen absoluten Schutz. Es geht vielmehr darum, dass jemand, der nicht dazu befugt ist, nach allgemeinem Ermessen wahrscheinlich nicht in der Lage ist, das Löschen rückgängig zu machen.
Für die Wahl deiner richtigen Maßnahme musst du die Daten in Risikoklassen bzw. Schutzklassen einteilen. Je höher das Risiko bei der Verarbeitung für die betroffene Person ist, desto höher die Anforderungen an den Löschprozess. Häufig findest du folgende Kategorien: normal, hoch und sehr hoch. Die Spanne reicht dabei von einfachen Daten, die eine sehr begrenztes Risiko für die betroffene Person darstellen (normal- z. B. dienstliche E-Mail-Adresse) bis zu Daten bei einer Panne ein erhebliches Risiko für Leib und Leben der betroffenen Person nach sich ziehen können (sehr hoch – Gesundheitsdaten).
Je nach Schutzklasse und Datenträger kommen unterschiedliche Methoden in Betracht. Für SSD Festplatten reicht die Spannbreite von Data Wiping und Secure Erease bis hin zur physischen Zerstörung. Magnetische Datenträger kannst du ggf. entmagnetisieren. Mobile Datenträger können oft durch einen Factory Reset gelöscht werden. Doch selbst bei der Zerstörung des Datenträgers gibt es Unterschiede. Eine Festplatte kannst du vernichten, indem du diese zerkleinerst oder einschmilzt. Beim Zerkleinern solltest du darauf achten, dass die Schnipsel nicht zu grob sind. Wenn die Schnipsel zu groß sind, können Dritte die Daten vielleicht wieder rekonstruieren. Detaillierte Empfehlungen zur Vernichtung von Datenträgern liefert dir die „DIN 66399 – Büro- und Datentechnik –
Fazit 7 Schritte zum Löschen nach DSGVO
Wir halten fest, dass auch das richtige Löschen gelernt sein will. Mit ein bisschen Übung und strategischem Vorgehen klappt das Löschen nach DSGVO. Zusammengefasst solltest du folgende Schritte durchführen:
- Überblick über die verarbeiteten Daten erhalten (hier hilft deinVerarbeitungsverzeichnis).
- Fristen für die Löschung festlegen
- Verantwortlichkeiten klären
- Daten nach Schutzklassen ordnen
- Anforderungen an die Löschung festlegen
- Löschmethode für Datenart bestimmen
- Überprüfen
Weiterführende Links
BSI
- Daten auf Festplatten und Smartphones endgültig löschen
- CON.6: Löschen und Vernichten
- BSI, Daten auf Festplatten richtig löschen).
Standard Datenschutzmodel
BITKOM