In Zeiten in denen Speicherplatz immer günstiger wird, verwundert es nicht, dass Unternehmen personenbezogene Daten ungerne löschen oder adäquat anonymisieren möchten. Die 2016 geschaffene EU-Datenschutzgrundverordnung gibt allerdings an vielen prominenten Stellen ein ganz klares Gebot zur Löschung vor.
Die Flut an und die Dezentralisierung von Dateien und Dokumenten – ob elektronisch oder papierbasiert – ist in der Regel so umfassend, dass ein Unternehmen nicht um ein Löschkonzept herumkommt. Der Umstand das Unternehmen ein gelebtes Löschkonzept benötigen, wird auch seitens der herrschenden Meinung immer wieder betont, aber in der Praxis selten implementiert.
Ein aktuelles Bußgeldverfahren der Datenschutzaufsichtsbehörde „Datatilsynet“ in Dänemark zeigt nun wieder einmal, wie wichtig ein Konzept für das Löschen in Unternehmen ist. Ein dänisches Unternehmen hatte personenbezogene Daten nicht nur viel zu lange und viel zu umfangreich aufbewahrt, sondern konnte auch kein adäquates Löschkonzept vorlegen. Dieser Tatsache war es dann wohl auch geschuldet, dass die Höhe des Bußgeldes (bzw. die Empfehlung eines Bußgeldes an das Gericht) auf 160.000 € angehoben wurde.
Auch in Deutschland wird das Thema des Löschens in naher Zukunft mehr in den Fokus rücken. Die bayrische Datenschutzaufsichtsbehörde teilte online mit, dass sie anstehend Unternehmen auf Löschroutinen in ERP-Systemen kontrollieren wird; Ergebnisse dazu gibt es noch nicht.
Nun könnte ein Unternehmen sich die DSGVO zu Nutze machen und die personenbezogenen Daten in einer Weise anonymisieren, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Somit würden diese Daten dann nicht mehr in den Schutzbereich der Datenschutzgesetze fallen. Allerdings ist eine rechtskonforme und allumfassende Anonymisierung sehr schwierig und auch praxisfern.
Müssen nun alle Daten sofort gelöscht werden? Nein! Für viele personenbezogene Daten im Unternehmen bestehen gesetzliche Aufbewahrungspflichten oder starke berechtigte Interessen des Unternehmens, diese personenbezogene Daten bis zum Entfall dieser Zwecke vorzuhalten. Diese gesetzlichen Aufbewahrungspflichten überwiegen zum Beispiel auch ein Löschbegehren eines Betroffenen. Daher sollten Sie nie personenbezogene Daten im Zuge eines Löschbegehrens einfach unüberlegt löschen.
Welche personenbezogene Daten aufbewahrungspflichtig sind und/oder einer geschäftsprozessbedingten Vorhaltefrist bedürfen, die noch mit der DSGVO in Einklang steht, ist mitunter nicht leicht zu bestimmen und immer differenziert zu betrachten. Im Laufe einer (ehem.) Geschäftsbeziehung können sich diese Aufbewahrungsfristen auch verändern – z. B. wenn es zu einem Rechtsstreit kommt.
Daher ist es für ein Unternehmen wichtig, sehr sorgfältig über alle Verfahren in denen personenbezogene Daten verarbeitet werden buchzuhalten – dies geschieht im Verzeichnis der Verarbeitungstätigkeiten. In diesem werden dann auch die Rechtsgrundlagen bestimmt, von denen wiederrum Aufbewahrungsfristen abgeleitet werden. Das Verzeichnis der Verarbeitungstätigkeiten ist somit auch der Ausgangspunkt des Löschkonzeptes. Zudem ist ein wichtiger aber oft vergessener Aspekt eines Löschkonzeptes der Startzeitpunkt, an dem die Aufbewahrungsfrist beginnt. Vereinfacht gesagt werden dann aus diesen beiden Werten sog. Löschklassen gebildet, denen wiederrum eine Löschfrist zugeordnet und in einer Löschmatrix abgebildet werden.
In der Regel fehlt es aber Unternehmen an Praxiserfahrung und Zeit eine Implementierung eines rechtskonformen Löschkonzeptes inkl. der Rechenschaftspflichten allein umzusetzen. Daher sollten sich Unternehmen bei der Schaffung eines Löschkonzeptes immer beraten lassen.
Über den Autoren:
Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.