Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Löschpflichten: Bereiten Sie jetzt Ihr Unternehmen auf aktuelle und zukünftige Anforderungen vor

0 Beurteilungen
Haben Sie ein Löschkonzept für ihre Daten? | Urheber: freshidea - Fotolia

Von Andreas Würtz,

Im Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) an die Stelle des aktuellen Bundesdatenschutzgesetzes (BDSG). Damit werden Änderungen bei den Löschpflichten akut. Unter anderem sorgt das „Recht auf Vergessenwerden“ für Handlungsbedarf. Höchste Zeit, dass Sie das Löschkonzept in Ihrem Unternehmen auf Herz und Nieren prüfen.

Löschpflichten: Das schreibt das BDSG vor

Noch gelten die Regelungen des BDSG. So sind nach § 35 Abs. 2 Satz 2 Nr. 1 BDSG Daten beispielsweise immer dann zu löschen, wenn die Speicherung der Daten unzulässig ist. Das heißt, wenn es entweder keine Rechtsgrundlage für deren Verwendung gibt oder diese nicht mehr gültig ist. Das ist etwa bei unwirksamen oder widerrufenen Einwilligungen der Fall. Oder der Zweck der Datenspeicherung wurde erfüllt und die Kenntnis dieser personenbezogenen Daten ist nicht mehr erforderlich (§ 35 Abs. 2 Satz 2 Nr. 3 BDSG).

Recht auf Vergessenwerden

Auch die DS-GVO regelt das Löschen von personenbezogenen Daten. Das heißt, die aus dem BDSG bekannten Löschpflichten bestehen auch nach der Übergangsfrist fort. Gemäß Art. 17 DSGVO sind personenbezogene Daten immer dann unverzüglich zu löschen, wenn einer der folgenden Fälle gegeben ist: 

  • Der Zweck der Verarbeitung ist erreicht und eine Kenntnisnahme ist nicht mehr erforderlich.
  • Eine gegebene Einwilligung wird widerrufen und es fehlt an einer anderen Rechtsgrundlage.
  • Die betroffene Person widerspricht der Verarbeitung und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die personenbezogenen Daten müssen zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten gelöscht werden.
  • Es wurden personenbezogene Daten eines Kindes bezüglich der angebotenen Dienste der Informationsgesellschaft (z. B. soziales Netzwerk, Online-Spiele) erhoben.

Beim „Recht auf Vergessenwerden“ spielt Art. 17 Abs. 2 DS-GVO eine wichtige Rolle. Denn macht Ihr Unternehmen als für die Verarbeitung Verantwortlicher Daten öffentlich und wurden die Daten von anderen Stellen verarbeitet, müssen wirtschaftlich vertretbare und technisch machbare Maßnahmen ergriffen werden, um die anderen Stellen über den Löschantrag der betroffenen Person (oder die Löschpflicht) zu informieren. Ziel ist, dass alle Links zu diesen personenbezogenen Daten, Kopien oder Replikationen gelöscht werden. Damit Ihr Unternehmen diesen Verpflichtungen nachkommen kann, sind zwei Dinge erforderlich: Bei einer Datenübermittlung müssen die Empfänger bekannt sein. Außerdem müssen die Informationen über die Empfänger verfügbar gehalten werden. Nur so sind die Vorgaben aus Art. 17 Abs. 2 DS-GVO zu erfüllen.

Wichtig: Schauen Sie auch ins neue BDSG. Geht es um das Löschen und Sperren von Daten, spielt auch § 35 BDSGneu eine Rolle. Lesen Sie aber genau. Dass an die Stelle der Löschung eine Sperrung tritt, gilt nur für nicht automatisiert verarbeitete Daten. Außerdem müssen weitere Voraussetzungen erfüllt sein.

Löschpflichten: Da kommt Arbeit auf Sie zu – und auf die Verantwortlichen

Den aktuellen und zukünftigen Löschpflichten nachzukommen ist eine Herausforderung. Holen Sie deshalb die zuständigen Verantwortlichen mit ins Boot. Bereiten Sie das Gespräch mithilfe der folgenden Argumente vor:

1. Argument: Gesetzliche Pflicht nach BDSG

Personenbezogene Daten zu löschen ist keine freiwillige Sache. Der Gesetzgeber hat klar festgelegt, dass verantwortliche Stellen – wie Ihr Unternehmen – personenbezogene Daten nicht unbegrenzt speichern dürfen. Die Vorschrift zur Löschung von Daten ist vornehmlich in § 35 BDSG verankert.

2. Argument: Hohe Bußgelder ab Mitte 2018

Ab 25.5.2018 werden die Regelungen der DS-GVO verbindlich. Die Verordnung sieht ein umfassendes Recht auf Löschung vor. Bei einem Verstoß drohen Geldbußen bis zu 20 Mio. € oder bis zu 4 % des gesamten weltweit erzielten Vorjahresumsatzes (vgl. Art. 83 Abs. 5 Buchst. b DS-GVO).

3. Argument: Löschroutinen sind von nachhaltigem Nutzen

Zeigen Sie auf, dass ein Löschkonzept zu entwickeln nicht bedeutet, ein weiteres Dokument für die „Ablage P“ zu produzieren. Sondern es geht darum, regelmäßige Löschprozesse einzuführen. Damit ist es notwendig, den bestehenden Datenbestand zu identifizieren. Das heißt, im Rahmen der Einführung von Prozessen wird der Datenbestand analysiert und bereinigt.

4. Argument: Aufschieben macht es schlimmer

Das Thema Löschen auf die lange Bank zu schieben, hilft nicht, denn es macht die Angelegenheit nur noch komplizierter. Das Löschen bzw. Sperren von Daten wird immer aufwendiger, je größer der Datenbestand des Unternehmens wird. Ist das Unternehmen schon viele Jahre aktiv, werden die Entwicklung und Umsetzung eines Löschkonzepts mehr und mehr zu einem Mammutprojekt, dass immer größere Kosten verursacht. Deshalb lieber nicht zögern, sondern das Thema Löschen jetzt anpacken. Das dient dem Datenschutz und spart Kosten.

Nächste Phase für Ihr Löschkonzept: Team zusammentrommeln

Haben Sie die Unternehmensleitung von der Notwendigkeit eines Löschkonzeptes überzeugt und können auf deren Rückhalt zählen, beginnt die nächste Phase: Sie brauchen Unterstützung aus den Fachabteilungen und von den IT-Kollegen. Denn um ein schlüssiges und effizientes Löschkonzept zu entwickeln, muss eine Vielzahl von Abläufen und IT-Systemen im Unternehmen unter die Lupe genommen werden.

1. Schritt: Legen Sie Verantwortlichkeiten fest

Gehen Sie auf die Leiter der Fachabteilungen bzw. Bereichsleiter zu. Vereinbaren Sie einen Termin und zeigen Sie auf, was hinter der Löschpflicht von personenbezogenen Daten steckt. Dabei kommt es auch auf das Wissen der Fachabteilung an, um das passende Konzept zu entwickeln.

2. Schritt: Klären Sie grundlegende Fragestellungen

Bei der Entwicklung eines Löschkonzepts und das Einführen entsprechender Prozesse, ergeben sich für die Beteiligten viele Fragen. Damit alle an einem Strang ziehen und wissen, was zu tun ist, vermitteln Sie das entsprechende Grundlagenwissen. Machen Sie zu Beginn deutlich, warum Daten überhaupt zu löschen sind, und geben Sie einen kurzen Überblick über die gesetzliche Situation (BDSG, DS-GVO, BDSG-neu). Bereiten Sie sich außerdem auf die Klärung von Fragestellungen vor wie z. B.: 

  • Welche Daten sind zu löschen? Wie sind verschiedene Datenarten festzulegen? Um festzulegen, wann welche personenbezogenen Daten zu löschen sind, und Löschregeln einzuführen, sind die Daten bestimmten Datenarten zuzuordnen. Eine Datenart lässt sich darüber definieren, zu welchem gemeinsamen (fachlichen) Zweck sie gespeichert und verwendet wird. Fällt dann z. B. der Zweck der Speicherung einer Datenart weg, sind die Daten zu löschen. Solche Datenarten können z. B. Kundendaten, Mitarbeiterdaten oder Buchhaltungsdaten sein.
  • Wie müssen die Daten gelöscht werden? In § 3 Abs. 4 Nr. 5 BDSG wird das Löschen als „Unkenntlichmachen gespeicherter personenbezogener Daten“ definiert. Grundsätzlich ist von einer sicheren Löschung auszugehen, das heißt, die personenbezogenen Daten sind nach Abschluss des Löschprozesses nicht mehr rekonstruierbar.
  • Wie sind Daten zu anonymisieren oder zu sperren? Unter gewissen Voraussetzungen sind Daten zu sperren (vgl. § 35 Abs. 3 BDSG, § 35 Abs. 1 BDSG-neu, Art. 18 DS-GVO). Das heißt, der Zugriff auf die Daten ist einzuschränken und nur einem begrenzten Personenkreis möglich. Für personenbezogene Daten, die anonymisiert werden, gelten die Bestimmungen des Datenschutzes nicht mehr, da der Personenbezug fehlt. Somit fällt auch die Löschpflicht aus datenschutzrechtlichen Gründen weg.
  • Wie werden die entsprechenden Aufbewahrungsfristen festgelegt und wo sind die Fristen zu finden? Wenn Aufbewahrungspflichten gelten, werden personenbezogene Daten grundsätzlich nicht gelöscht. Dann müssen die Daten gesperrt, ihrem Schutzbedarf entsprechend verwahrt und bis zum Ablauf der Aufbewahrungsfrist vorgehalten werden. Aufbewahrungsfristen finden sich z. B. in Rechtsvorschriften wie § 147 Abgabenordnung oder § 257 Handelsgesetzbuch oder Verträgen. 

Checkliste: Löschkonzept – so haben Sie alle Punkte im Blick 

MaßnahmeHintergrundErledigt?
Informationseigner/ Verantwortlichen benennenDaten müssen ihrem Schutzbedarf entsprechend aufbewahrt bzw. fristgerecht gelöscht werden können. Doch so lange sich niemand zuständig fühlt, wird auch nichts dergleichen passieren. Deshalb gilt es, genau zu prüfen, wer für welchen Datenbestand verantwortlich ist. Das sind z. B. Abteilungs- oder Bereichsleiter. Diese wiederum können die Aufgabe an bestimmte Mitarbeiter delegieren, die einen gesetzeskonformen Umgang sicherstellen.
Fristen festlegenFür die definierten Datenarten müssen Sie entsprechende Aufbewahrungs- bzw. Löschfristen festlegen. Festzustellen, welche Vorgaben für welche Daten gelten, liegt in der Verantwortung der jeweiligen Fachabteilungen. Es gilt, bestehende Aufbewahrungspflichten zu recherchieren und anhand derer die Fristen zu bestimmen. Fehlen entsprechende gesetzliche Vorgaben, so ist die Löschfrist nach bestem Wissen und Gewissen festzulegen.
Löschregeln definierenPersonenbezogene Daten zu löschen, darf nicht „zufällig“ erfolgen. Pro Datenart sind Löschregeln zu definieren. Um das Löschen gemäß dieser Regeln durchzuführen, müssen die IT-Systeme entsprechend eingerichtet werden. Bei großen und strukturierten Datenbeständen erfolgen die Löschungen automatisiert. Bei Löschanfragen von Betroffenen wird die Löschung manuell vorgenommen. Für das manuelle Löschen müssen Sie das genaue Vorgehen definieren und die Mitarbeiter sind entsprechend zu schulen.
Umsetzung prüfenIst das Löschkonzept fertiggestellt und werden die Löschprozesse umgesetzt, müssen Sie in regelmäßigen Abständen prüfen, ob die Löschung auch tatsächlich wie geplant funktioniert. Dokumentieren Sie, in welchen Bereichen die Löschungen erfolgreich und dem Konzept entsprechend durchgeführt werden und wo Verbesserungsbedarf besteht. Bestimmen Sie Maßnahmen, mit denen bestehende Schwachstellen behoben werden können. Führen Sie von Zeit zu Zeit mit den Ansprechpartnern aus den Fachabteilungen Gespräche, um den Stand der Dinge zu besprechen.
Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs