Teil des Datenschutzes ist auch die regelmäßige Löschung von Daten. Für Unternehmen besteht eine gesetzliche Pflicht personenbezogene Daten zu löschen, wenn diese für die Zwecke für die sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind und zudem auch keine gesetzliche Aufbewahrungspflicht der Löschung entgegensteht. Auch bei Nichtbeachtung der Pflicht zur Löschung drohen ansonsten Sanktionen der Datenschutzaufsichtsbehörden. Die Implementierung eines DS-GVO konformen Löschkonzepts erfordert genaue Kenntnis der Datenflüsse im Unternehmen und ggfs. eine zusätzliche Bestandsaufnahme der Daten. Als Grundlage für die Erstellung des Konzepts kann auch das Verzeichnis der Verarbeitungstätigkeiten herangezogen werden.
Hilfreich bei der Erstellung eines Löschkonzepts ist die Leitlinie DIN 66398. Sie definiert ein Modell zur Entwicklung und Etablierung eines Löschkonzepts. Sie beschreibt Vorgehensweisen, mit denen Löschfristen und Löschregeln für verschiedene Datenarten bestimmt werden können.
Begrifflichkeiten etablieren
Bei der Erstellung des Löschkonzepts sollte auf die Verwendung einheitlicher Begrifflichkeiten geachtet werden. Diese sollten vor der Erstellung festgelegt werden und können beispielsweise an der DIN 66398 orientiert werden.
- Datenarten: Alle Daten, die zu einem gemeinsamen Zweck verarbeitet werden
- Löschfrist: Zeitspanne, nach der die Daten (in der Regel) gelöscht werden sollen, unter Beachtung von vertraglichen und rechtlichen Aufbewahrungsfristen
- Startzeitpunkt: Festlegung, ab wann die Löschfrist zu laufen beginnt
- Löschklassen: Zusammenfassung der Datenarten nach Löschfrist und Startzeitpunkt
- Löschregeln: Regeln für jede Löschklasse
- Umsetzungsregeln: Konkretisiert die Löschregel unter Beachtung der genutzten Technik
Inhalt
Die Gestaltung eines Löschkonzeptes ist nicht gesetzlich festgelegt, d.h. Form und Inhalt sind grundsätzlich „frei“ wählbar. Welche Angaben sollte ein Löschkonzept erfahrungsgemäß enthalten?
- Verantwortung: Sinnvoll ist, eine verantwortliche Person oder Rolle für die Löschung zu bestimmen und diese zu dokumentieren. Wer führt die Löschung durch?
- Geltungsbereich: Des Weiteren sollte der Geltungsbereich für die jeweilige Löschung bestimmt werden. Wird das Konzept z.B. für ein bestimmtes Tool/eine Anwendung erstellt oder bezieht es sich auf eine ganz bestimmte Verarbeitungstätigkeit?
- Betroffene Daten(-klassen) benennen: Selbstverständlich sollten die betroffenen Daten bzw. ggfs. Datenklassen konkret genannt werden.
- Löschfristen: Gleiches gilt für die Löschfrist(en). Wie lange werden die jeweiligen Daten gespeichert und wie wird die Frist festgelegt? Kern des Konzepts.
- Startzeitpunkt (Definition ab wann Löschfrist beginnt): Um den verantwortlichen Mitarbeitenden die Fristberechnung zu erleichtern, sollte für die jeweiligen Daten festgelegt werden, wann die entsprechende Frist zur Löschung zu laufen beginnt.
- Umsetzungsregel (Technische Beschreibung der Löschung): Soweit sinnvoll und bekannt, z.B. für selbstgeschriebene Tools und Anwendungen, sollte die Löschung auch technisch beschrieben werden. Wie wird konkret gelöscht (z.B. automatischer Prozess)?
- Manuelle Löschung: In dieselbe Richtung zielt die Angabe, ob eine Löschung manuell möglich oder sogar nötig ist. Wie wird konkret gelöscht (z.B. Entsorgung über Datentonne, Schredder, usw.)?
- Dokumentation der Löschung: Die Löschung sollte dokumentiert werden, z.B. mittels Löschprotokollen.
- Datenflussanalyse: In bestimmten Fällen ist es außerdem sinnvoll, das Löschkonzept, um eine sog. Datenflussanalyse zu ergänzen, insbesondere wenn für eine Verarbeitungstätigkeit mehrere Tools/Anwendungen genutzt werden. Die Datenflussanalyse sollte darstellen, woher die zu löschenden Daten eigentlich kommen (Quelle) und wohin diese ggfs. weitergeleitet werden. Dies vereinfacht die praktische Umsetzung der Löschung deutlich und verhindert das Daten bei der Löschung z.B. nach Art. 17 DS-GVO Tools/Anwendungen vergessen werden.
Löschkonzept erstellen
Zunächst sollten sich Unternehmen die Frage stellen, was soll Grundlage meines Löschkonzepts sein? Ein Konzept kann sich z.B. an den bereits identifizierten Verarbeitungstätigkeiten orientieren. Bei Verwendung einer Vielzahl von Tools und Anwendungen kann sich auch an diesen orientiert werden. Es besteht auch die Möglichkeit allgemein von den vorliegenden Daten auszugehen (Vertragsdaten, Kundendaten, Mitarbeiterdaten, usw.). Diese Entscheidung sollte je nach Einzelfall und zugeschnitten auf das Unternehmen erfolgen.
Die DIN 66398 wiederum beschreibt folgende grundsätzliche Schritte auf dem Weg zu einem Löschkonzept im Unternehmen:
- Bestimmung der Datenarten, die es in den Datenbeständen des Unternehmens gibt
- Zusammenfassung der Datenarten in Löschklassen
- Definition von Löschregeln für die Datenarten
- Definition von konkreten Umsetzungsregeln
- Definition der jeweils Verantwortlichen für die Umsetzung
- Dokumentation der ergriffenen und zu ergreifenden Schritte und Pflege der Dokumentation
Sonderfälle und Auftragsverarbeitung
In bestimmten Fällen kann es vorkommen, dass Datensätze außerhalb der definierten Regeln gelöscht werden müssen. Denkbar ist etwa, dass ein Betroffener von seinem Recht auf Vergessenwerden Gebrauch macht oder ein Datum rechtswidrig erhoben wurde. Auf diese Sonderfälle sollte im Konzept hingewiesen werden. Nicht abzusehende Löschfälle müssen im Löschprotokoll dokumentiert werden.
Ist ihr Unternehmen als Auftragsverarbeiter für ein anderes Unternehmen tätig, sollten die Vorgaben des Verantwortlichen für die Löschung von Datensätzen ebenfalls dokumentiert und die Ausführung in einem Löschprotokoll festgehalten werden.