Nachdem die zuständige Aufsichtsbehörde in Dänemark bereits Ende März ein Bußgeld von über 160.000 € aufgrund eines mangelhaften Löschkonzeptes eines Taxi-Plattform-Betreibers empfahl (wir berichteten), wurde Anfang Juni ein weiteres Bußgeld aufgrund unzureichender oder fehlender Löschroutinen bekannt. In diesem Fall traf es ein dänisches Möbelhaus, welches seinen Online-Shop auf ein neues System umgestellt hatte, es dabei allerdings offensichtlich versäumte, die Daten aus dem alten System zu löschen. Bei den „vergessenen“ Daten handelte es sich um Adressen, Telefonnummern, E-Mails und Kundenhistorien von ca. 385.000 Kunden. Die Aufsichtsbehörde Datatilsynet empfahl daraufhin ein Bußgeld von umgerechnet über 200.000€ aufgrund eines Verstoßes gegen die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).

Dieser Fall macht wieder einmal deutlich, wie wichtig doch die Etablierung eines funktionierenden Löschkonzepts im Unternehmen und dessen IT-Systemen ist. Der folgende Beitrag beschreibt, unter Berücksichtigung der technischen Restriktionen, wie die Entwicklung eines Löschkonzepts im Unternehmen zielführend vorangetrieben und umgesetzt werden kann.

Löschkonzepte sind unternehmensindividuelle Lösungen

Ein Löschkonzept ist stets ein auf das jeweilige Unternehmen zugeschnittenes und individuell ausgestaltetes System, welches unter Berücksichtigung der bestehenden Verfahren, Systeme und Prozesse im Unternehmen das Vorgehen zur Kategorisierung und Zuordnung zu entsprechenden Löschfristen personenbezogener Daten definiert. Die Erarbeitung eines Löschkonzepts stellt damit zumeist einen komplexen und ressourcenintensiven Prozess dar. Im Kern geht es darum, anhand unterschiedlicher Prüfschritte ein Grundgerüst der Datenflüsse zu entwerfen, eine Zuordnung zu Löschzeitpunkten herzustellen und diese anschließend mit den systemseitigen Gegebenheiten zu verknüpfen bzw. darin umzusetzen.

Definition und Zuordnung zu Verarbeitungskategorien

Als erstes sollte eine Identifizierung aller relevanten Datenverarbeitungsprozesse im Unternehmen angestoßen und anschließend eine Strukturierung und Kategorisierung der Datensätze vorgenommen werden. Danach werden die zugrundeliegenden Zwecke der jeweiligen Verarbeitung definiert und eine Gliederung anhand der bestehenden Rechtsgrundlagen vorgenommen. Im weitesten Sinne bestehen  danach drei Verarbeitungskategorien.

  • Personenbezogene Daten, die aufgrund einer Einwilligung verarbeitet werden (Art. 6 Abs. 1 S. 1 lit. a DSGVO)
  • Personenbezogene Daten, die aufgrund eines Vertragsverhältnisses oder dessen Anbahnung verarbeitet werden (Art. 6 Abs. 1 S. 1 lit. b DSGVO/ § 26 BDSG)
  • Personenbezogene Daten, die aufgrund eines berechtigten Interesses verarbeitet werden (Art. 6 Abs. 1 S. 1 lit. f DSGVO)

Innerhalb dieser Kategorien sind anknüpfend daran Unterkategorien zu bilden, die jeweils festlegen, ob, unter Berücksichtigung der weiteren Prüfungsschritte, eine gesetzliche Aufbewahrungspflicht (i.d.R. 6 oder 10 Jahre) und/ oder die Erforderlichkeit der weiteren (eingeschränkten) Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen besteht. Ziel der Kategorisierung ist die Zuordnung eines personenbezogenen Datums zu einem vordefinierten auslösenden Ereignis, wie die Beendigung des Vertrages, Zeitablauf oder ein wirksamer Widerruf/ Widerspruch und damit einhergehend die verbindliche Zuordnung zu einem expliziten Aufbewahrungszeitraum.

Gesetzliche Aufbewahrungspflichten

Für die Zuordnung in die korrekte Unterkategorie bedarf es für jedes Datum innerhalb einer Kategorie einer Prüfung, ob zunächst gesetzliche Aufbewahrungspflichten (z.B. aus § 257 HGB, § 147 AO) bestehen. So sind beispielsweise Rechnungen, Buchungsbelege und Fahrtenbücher nach § 257 Abs. 1 Nr. 4 i.V.m. 257 Abs. 4 HGB für 10 Jahre, beginnend mit dem Schluss des jeweiligen Kalenderjahres, aufzubewahren. Eine sorgsame Prüfung der Aufbewahrungspflichten ist dabei ratsam, da andernfalls bei der Missachtung von steuerrechtlichen Aufbewahrungspflichten strafrechtliche Konsequenzen drohen können.

Absehbare Rechtsstreitigkeiten

Weitergehend ist zu prüfen, ob das jeweilige personenbezogene Datum zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Verantwortlichen oder der betroffenen Person erforderlich ist. Der Verantwortliche hat damit auch etwaige Interessen der betroffenen Person zu berücksichtigen. Ein denkbares Beispiel aus der Praxis hierfür wäre die Videoaufzeichnung der Beschädigung eines parkenden Autos durch die ordnungsgemäß installierte Kameraüberwachung des Grundstücks eines Tankstellenbetreibers. Dem Verantwortlichen obliegt dann die Durchführung einer Interessenabwägung, um die Erforderlichkeit und Aufbewahrungsdauer für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen festzulegen.

Zuordnung zu Löschfristen

Stehen innerhalb der jeweiligen Kategorie das auslösende Ereignis, wie auch der Zeitpunkt der Löschverpflichtung fest, gilt es in einem nächsten Schritt zu klären, wie schnell die Löschung in der praktischen Umsetzung tatsächlich vorgenommen werden kann. Der Zeitraum zwischen dem Zeitpunkt der Löschpflicht und der tatsächlichen Löschung soll hier als Löschfrist beschrieben werden.

Nach Art. 17 Abs. 1 DSGVO hat die Löschung unverzüglich, also ohne unangemessenes Zögern zu erfolgen. Die tatsächliche Löschung wird damit zwar nicht unmittelbar nach Eintritt der Löschpflicht gefordert, aber innerhalb eines Zeitraums, der keine unangemessene Verzögerung darstellt. Eine zeitpunktgenaue Löschung ist hierbei für manche Datenkategorien oft nur schwer oder nur mit großem Aufwand umzusetzen. In Abhängigkeit der systemseitigen Restriktionen, sollte daher für jede Datenkategorie der Zeitraum definiert werden, innerhalb dessen die Löschung tatsächlich vollzogen werden kann. Die Löschfrist sollte aber immer so kurz wie möglich sein, denn wie das Sanktionsverfahren in Dänemark im März diesen Jahres zeigte, sind systemseitige Hemmnisse kein hinreichender Grund den Löschzeitpunkt unsachgemäß zu verlagern. Auch im Hinblick auf drohende Bußgelder empfiehlt es sich daher die gewählten Löschfristen angemessen zu begründen und zu dokumentieren.

Exkurs: Datensicherung und Archivierung

Backupsysteme sind dazu da, Sicherungskopien vorzuhalten, um im Bedarfsfall (z.B. technischer Vorfall, Virus, Umwelteinflüsse etc.) die Systeme rasch wiederherstellen und das Risiko geschäftsschädigender Datenverluste minimieren zu können. Die Erstellung von Sicherungskopien dient folglich dazu, die Verfügbarkeit und Wiederherstellbarkeit der aktiven Systeme kurz- bis mittelfristigen gewährleisten zu können. Ein Versuch auf einzelne Daten zuzugreifen oder diese zu löschen würde hierbei dem eigentlichen Zweck von Backups zuwiderlaufen und die Integrität, Sicherheit und Funktionsfähigkeit des Backups akut gefährden oder gar deren Verlust riskieren.

Bei der Archivierung wiederrum liegt die Zielrichtung darin, Dokumente und Dateien für den durch das einschlägige Gesetz oder Regelwerk bestimmten Zeitraum revisionssicher aufzubewahren.

Backupsysteme können aufgrund der konträren Zielrichtung kein Archivsystem ersetzen – und ein Archivsystem ebenso kein Backup. Folglich sollten beide Systeme getrennt voneinander geführt werden, um erhebliche Probleme bei der Umsetzung der Löschverpflichtung zu vermeiden. Die Systeme sind am Stand der Technik auszurichten. Auch sind keine unnötig langen Zeiträume der Datensicherung zu wählen sowie eine klare Kategorisierung und Gliederung der Archive vorzunehmen.

Löschprotokolle als Nachweis

Ist die tatsächliche Löschung eines Datums erfolgt, stellt sich letztlich noch die Frage nach der Dokumentationspflicht. Schließlich könnte eine Aufsichtsbehörde verlangen, dass die Löschung eines Datums nachgewiesen wird. Doch was ist ein besserer Beweis für das fachgerechte Löschen als das Nichtvorhandensein eines Datums?

Bedenkt man das auch bei konsequenter Umsetzung des Löschkonzepts die zu löschenden personenbezogenen Daten zunächst für die Dauer des jeweiligen Zeitraums des Backups erhalten bleiben und stets die Gefahr einer „Wiedereinspielung“ bereits gelöschter Daten besteht, wird jedoch klar, dass ein Löschprotokoll durchaus sinnvoll sein kann.

Um einer Wiedereinspielung bereits gelöschter Daten entgegenzuwirken, könnte ein Löschprotokoll als sogenannte Blacklist (in Anlehnung an eine Werbesperrdatei) fungieren. Die Blacklist beinhaltet hierbei für die Dauer des Backupzykluses das Protokoll des Löschvorgangs (System-Log) oder eine einmalige digitale Markierung (z.B. einen Hashwert) der bereits gelöschten Daten, um durch einen (systemseitigen) Abgleich die Löschung „wiedereingespielter“ Daten zu ermöglichen. Um nicht selbst Bestandteil der Backups zu werden, sollte das Löschprotokoll in einem redundanten externen System vorgehalten werden. Nur die technische Trennung bietet ein sicheres, redundantes Konzept.

Ausblick

Insgesamt sehen sich Unternehmen bei der Entwicklung und Umsetzung eines, den Anforderungen der DSGVO entsprechenden, Löschkonzepts, nicht zuletzt aufgrund der oftmals historisch gewachsenen IT-Infrastrukturen, vor große Herausforderungen gestellt. Durch nachhaltiges und strukturiertes Datenmanagement, eine konsequente Kategorisierung sowie strikte Trennung von Backups und Archiven kann aber auch diese Herausforderung gewinnbringend gemeistert werden.

Die drastischen Bußgelder in Dänemark sowie die anstehende Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht hinsichtlich der Umsetzung von Löschvorgaben in ERP-Systemen machen dabei deutlich, dass Unternehmen nicht länger zögern sollten sich der Entwicklung eigener Löschkonzepte anzunehmen.