Grundinformationen zum Löschkonzept
Auch wenn es keine zentrale Norm zur Erstellung eines Löschkonzepts gibt, so lassen mehrere Grundsätze der DSGVO keine andere Wahl, da hier die Pflicht zur Löschung personenbezogener Daten explizit gefordert wird.
Zum einen wird in Artikel 5, Absatz 1 e) der Grundsatz der Speicherbegrenzung erläutert. Demnach dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Außerdem müssen die Daten im Sinne der Minimierung dem Anlass angemessen gehalten werden. Diese Grundsätze müssen nicht nur beachtet und umgesetzt, sondern auch nachgewiesen werden können.
Außerdem wird in Artikel 24 DSGVO darauf hingewiesen, dass geeignete technische und organisatorische Maßnahmen ergriffen werden müssen. Dies beinhaltet auch die Löschung der personenbezogen Daten und erfordert damit die Anfertigung eines entsprechenden Löschkonzepts zur Dokumentation der Vorgänge.
Nicht zuletzt wird mit Artikel 17 DSGVO „Recht auf Löschung“ deutlich, wie wichtig das Löschkonzept für den Betrieb ist. In diesem Artikel werden die Gründe und Voraussetzungen festgelegt, unter denen personenbezogene Daten gelöscht werden müssen. Ist der Zweck der Verarbeitung erfüllt, widerruft eine Person ihre Einwilligung oder wurden die personenbezogenen Daten unrechtmäßig verarbeitet, müssen die entsprechenden Daten unverzüglich gelöscht werden.
Definition von „Löschen“ im Rahmen der DSGVO
Das Löschen wird in Bezug auf personenbezogene Daten so definiert, dass selbige nach dem Prozess nicht mehr oder nur unkenntlich vorhanden sind. Der Löschvorgang bezieht sich also nicht ausschließlich auf die komplette Eliminierung, auch die Unkenntlichmachung oder Anonymisierung der personenbezogenen Elemente genügt.
Ein Löschkonzept erstellen
Aufgrund der Diversität bei der Verarbeitung der personenbezogenen Daten ist es nur schwer möglich, ein allgemeingültiges Löschkonzept vorzubereiten. Da in jedem Unternehmen Unterschiede bei der Art der Daten, ihrer Verarbeitung, des Zweckes und der Dauer der Verarbeitung vorherrschen, muss das Löschkonzepts stets individuell entwickelt und zugeschnitten werden. Sinnvoll ist das Vorgehen in vier Steps.
Step 1: Bestandsaufnahme der Datenkategorien
Die Basis für ein Löschkonzept ist die Einteilung der erfassten personenbezogenen Daten in entsprechende Kategorien. Es geht hierbei nicht nur um den direkten Bezug zum Namen, auch Informationen wie Telefonnummern, Nutzer-IDs, IP-Adressen und Gerätenummern unterliegen der Datenschutz-Grundverordnung.
Step2: Bestandsaufnahme von Speicherorten und IT-Systemen
Sind die Datenkategorien erkannt und festgehalten, geht es um den Ort, an dem diese Daten abgelegt werden. Neben IT-Systemen können das auch händische Unterlagen wie Akten oder Ordner sein. Nur wer weiß, wo die Daten liegen, kann auch entsprechende Löschmaßnahmen erstellen.
Step 3: Definition der Löschfrist
Nach den Grundsätzen der DSGVO ist das Löschen von personenbezogenen Daten in dem Moment fällig, wenn der Zweck, zu dem sie erhoben wurden, erfüllt ist und weder eine Rechtsgrundlage noch eine gesetzliche Verpflichtung die weitere Aufbewahrung nötig macht.
Die Ermittlung der Löschfristen erfolgt in zwei Stufen:
- Festlegung des Zeitpunktes der Zweckerfüllung (wann werden die Daten nicht mehr benötigt?)
- Prüfen, ob gesetzliche Vorgaben zur Aufbewahrungspflicht existieren. Selbige gibt es bei buchhaltungsrelevanten Daten nach § 257 HGB und § 147 AO und auch für personenbezogene Daten im Personalwesen. Auch hinsichtlich der Rechtsverfolgung gibt es zu beachtende gesetzliche Fristen, als Beispiel sei die Aufbewahrung von Bewerbungsunterlagen über 3 Monate genannt, da Bewerber innerhalb von 2 Monaten Schadensersatz aus dem AGG fordern können.
Liegen die Informationen aus beiden Ermittlungsschritten vor, müssen diese miteinander kombiniert werden. Gibt es bei einer Kategorie keine gesetzlichen Aufbewahrungsfristen, entscheidet der Zeitpunkt der Zweckerfüllung über die Löschung. Sofern gesetzliche Aufbewahrungs- oder Rechtsverfolgungsfristen bestehen, sind diese vorrangig zu behandeln. Es gilt zu beachten, dass die Daten dann nur noch zur Erfüllung der gesetzliche Aufbewahrungs- oder Rechtsverfolgungsfristen aufbewahrt werden müssen und von den restlichen Daten zu separieren sind.
Step 4: Löschvorgang festlegen
Im letzten Schritt müssen nun die Prozesse definiert werden, die die Einhaltung der Löschfristen aller Daten an den jeweiligen Orten gewährleisten. Bei der Sicherung von Daten in IT-Systemen muss geprüft werden, ob die Löschprozesse automatisiert werden können oder ob jeweils ein Mitarbeiter diese Aktion auslösen muss. Die Zusammenarbeit mit IT-Abteilung und den entsprechenden Fachleuten ist hier unabdingbar.
Sind die vier Steps erfolgreich umgesetzt worden, müssen die Mitarbeiter mit Löschverantwortung entsprechend eingewiesen werden. Selbige sollten zukünftig erfolgte Löschungen ohne konkrete Nennung der Daten dokumentieren. Die Abstände zwischen den Löschvorgängen sind bei automatisierten Abläufen problemlos einzuhalten, für komplexere Vorgänge müssen selbige mit einer geeigneten Regelmäßigkeit ermittelt werden.
Prüfung der korrekten Umsetzung
Grundsätzlich sollte das Löschkonzept einmal jährlich durch den Datenschutzbeauftragten geprüft werden. Zudem sind Anpassungen bei Ergänzungen, Änderungen und Wegfallen von Verarbeitungstätigkeiten oder veränderte Vorgaben durch Rechtsprechungen, Stellungnahmen und Orientierungshilfen von Verarbeitungstätigkeiten zu beachten. Darauf ist umgehend und nicht erst bei der jährlich empfohlenen Prüfung des Löschkonzeptes zu reagieren.