Nachdem die zuständige Aufsichtsbehörde in Dänemark bereits Ende März ein Bußgeld von über 160.000 € aufgrund eines mangelhaften Löschkonzeptes eines Taxi-Plattform-Betreibers empfahl (wir berichteten), wurde Anfang Juni ein weiteres Bußgeld aufgrund unzureichender oder fehlender Löschroutinen bekannt. In diesem Fall traf es ein dänisches Möbelhaus, welches seinen Online-Shop auf ein neues System umgestellt hatte, es dabei allerdings offensichtlich versäumte, die Daten aus dem alten System zu löschen. Bei den „vergessenen“ Daten handelte es sich um Adressen, Telefonnummern, E-Mails und Kundenhistorien von ca. 385.000 Kunden. Die Aufsichtsbehörde Datatilsynet empfahl daraufhin ein Bußgeld von umgerechnet über 200.000€ aufgrund eines Verstoßes gegen die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).
Dieser Fall macht wieder einmal deutlich, wie wichtig doch die Etablierung eines funktionierenden Löschkonzepts im Unternehmen und dessen IT-Systemen ist. Der folgende Beitrag beschreibt, unter Berücksichtigung der technischen Restriktionen, wie die Entwicklung eines Löschkonzepts im Unternehmen zielführend vorangetrieben und umgesetzt werden kann.
Löschkonzepte sind unternehmensindividuelle Lösungen
Ein Löschkonzept ist stets ein auf das jeweilige Unternehmen zugeschnittenes und individuell ausgestaltetes System, welches unter Berücksichtigung der bestehenden Verfahren, Systeme und Prozesse im Unternehmen das Vorgehen zur Kategorisierung und Zuordnung zu entsprechenden Löschfristen personenbezogener Daten definiert. Die Erarbeitung eines Löschkonzepts stellt damit zumeist einen komplexen und ressourcenintensiven Prozess dar. Im Kern geht es darum, anhand unterschiedlicher Prüfschritte ein Grundgerüst der Datenflüsse zu entwerfen, eine Zuordnung zu Löschzeitpunkten herzustellen und diese anschließend mit den systemseitigen Gegebenheiten zu verknüpfen bzw. darin umzusetzen.
Definition und Zuordnung zu Verarbeitungskategorien
Als erstes sollte eine Identifizierung aller relevanten Datenverarbeitungsprozesse im Unternehmen angestoßen und anschließend eine Strukturierung und Kategorisierung der Datensätze vorgenommen werden. Danach werden die zugrundeliegenden Zwecke der jeweiligen Verarbeitung definiert und eine Gliederung anhand der bestehenden Rechtsgrundlagen vorgenommen. Im weitesten Sinne bestehen danach drei Verarbeitungskategorien.
- Personenbezogene Daten, die aufgrund einer Einwilligung verarbeitet werden (Art. 6 Abs. 1 S. 1 lit. a DSGVO)
- Personenbezogene Daten, die aufgrund eines Vertragsverhältnisses oder dessen Anbahnung verarbeitet werden (Art. 6 Abs. 1 S. 1 lit. b DSGVO/ § 26 BDSG)
- Personenbezogene Daten, die aufgrund eines berechtigten Interesses verarbeitet werden (Art. 6 Abs. 1 S. 1 lit. f DSGVO)
Innerhalb dieser Kategorien sind anknüpfend daran Unterkategorien zu bilden, die jeweils festlegen, ob, unter Berücksichtigung der weiteren Prüfungsschritte, eine gesetzliche Aufbewahrungspflicht (i.d.R. 6 oder 10 Jahre) und/ oder die Erforderlichkeit der weiteren (eingeschränkten) Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen besteht. Ziel der Kategorisierung ist die Zuordnung eines personenbezogenen Datums zu einem vordefinierten auslösenden Ereignis, wie die Beendigung des Vertrages, Zeitablauf oder ein wirksamer Widerruf/ Widerspruch und damit einhergehend die verbindliche Zuordnung zu einem expliziten Aufbewahrungszeitraum.
Gesetzliche Aufbewahrungspflichten
Für die Zuordnung in die korrekte Unterkategorie bedarf es für jedes Datum innerhalb einer Kategorie einer Prüfung, ob zunächst gesetzliche Aufbewahrungspflichten (z.B. aus § 257 HGB, § 147 AO) bestehen. So sind beispielsweise Rechnungen, Buchungsbelege und Fahrtenbücher nach § 257 Abs. 1 Nr. 4 i.V.m. 257 Abs. 4 HGB für 10 Jahre, beginnend mit dem Schluss des jeweiligen Kalenderjahres, aufzubewahren. Eine sorgsame Prüfung der Aufbewahrungspflichten ist dabei ratsam, da andernfalls bei der Missachtung von steuerrechtlichen Aufbewahrungspflichten strafrechtliche Konsequenzen drohen können.
Absehbare Rechtsstreitigkeiten
Weitergehend ist zu prüfen, ob das jeweilige personenbezogene Datum zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Verantwortlichen oder der betroffenen Person erforderlich ist. Der Verantwortliche hat damit auch etwaige Interessen der betroffenen Person zu berücksichtigen. Ein denkbares Beispiel aus der Praxis hierfür wäre die Videoaufzeichnung der Beschädigung eines parkenden Autos durch die ordnungsgemäß installierte Kameraüberwachung des Grundstücks eines Tankstellenbetreibers. Dem Verantwortlichen obliegt dann die Durchführung einer Interessenabwägung, um die Erforderlichkeit und Aufbewahrungsdauer für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen festzulegen.
Zuordnung zu Löschfristen
Stehen innerhalb der jeweiligen Kategorie das auslösende Ereignis, wie auch der Zeitpunkt der Löschverpflichtung fest, gilt es in einem nächsten Schritt zu klären, wie schnell die Löschung in der praktischen Umsetzung tatsächlich vorgenommen werden kann. Der Zeitraum zwischen dem Zeitpunkt der Löschpflicht und der tatsächlichen Löschung soll hier als Löschfrist beschrieben werden.
Nach Art. 17 Abs. 1 DSGVO hat die Löschung unverzüglich, also ohne unangemessenes Zögern zu erfolgen. Die tatsächliche Löschung wird damit zwar nicht unmittelbar nach Eintritt der Löschpflicht gefordert, aber innerhalb eines Zeitraums, der keine unangemessene Verzögerung darstellt. Eine zeitpunktgenaue Löschung ist hierbei für manche Datenkategorien oft nur schwer oder nur mit großem Aufwand umzusetzen. In Abhängigkeit der systemseitigen Restriktionen, sollte daher für jede Datenkategorie der Zeitraum definiert werden, innerhalb dessen die Löschung tatsächlich vollzogen werden kann. Die Löschfrist sollte aber immer so kurz wie möglich sein, denn wie das Sanktionsverfahren in Dänemark im März diesen Jahres zeigte, sind systemseitige Hemmnisse kein hinreichender Grund den Löschzeitpunkt unsachgemäß zu verlagern. Auch im Hinblick auf drohende Bußgelder empfiehlt es sich daher die gewählten Löschfristen angemessen zu begründen und zu dokumentieren.
Exkurs: Datensicherung und Archivierung
Backupsysteme sind dazu da, Sicherungskopien vorzuhalten, um im Bedarfsfall (z.B. technischer Vorfall, Virus, Umwelteinflüsse etc.) die Systeme rasch wiederherstellen und das Risiko geschäftsschädigender Datenverluste minimieren zu können. Die Erstellung von Sicherungskopien dient folglich dazu, die Verfügbarkeit und Wiederherstellbarkeit der aktiven Systeme kurz- bis mittelfristigen gewährleisten zu können. Ein Versuch auf einzelne Daten zuzugreifen oder diese zu löschen würde hierbei dem eigentlichen Zweck von Backups zuwiderlaufen und die Integrität, Sicherheit und Funktionsfähigkeit des Backups akut gefährden oder gar deren Verlust riskieren.
Bei der Archivierung wiederrum liegt die Zielrichtung darin, Dokumente und Dateien für den durch das einschlägige Gesetz oder Regelwerk bestimmten Zeitraum revisionssicher aufzubewahren.
Backupsysteme können aufgrund der konträren Zielrichtung kein Archivsystem ersetzen – und ein Archivsystem ebenso kein Backup. Folglich sollten beide Systeme getrennt voneinander geführt werden, um erhebliche Probleme bei der Umsetzung der Löschverpflichtung zu vermeiden. Die Systeme sind am Stand der Technik auszurichten. Auch sind keine unnötig langen Zeiträume der Datensicherung zu wählen sowie eine klare Kategorisierung und Gliederung der Archive vorzunehmen.
Löschprotokolle als Nachweis
Ist die tatsächliche Löschung eines Datums erfolgt, stellt sich letztlich noch die Frage nach der Dokumentationspflicht. Schließlich könnte eine Aufsichtsbehörde verlangen, dass die Löschung eines Datums nachgewiesen wird. Doch was ist ein besserer Beweis für das fachgerechte Löschen als das Nichtvorhandensein eines Datums?
Bedenkt man das auch bei konsequenter Umsetzung des Löschkonzepts die zu löschenden personenbezogenen Daten zunächst für die Dauer des jeweiligen Zeitraums des Backups erhalten bleiben und stets die Gefahr einer „Wiedereinspielung“ bereits gelöschter Daten besteht, wird jedoch klar, dass ein Löschprotokoll durchaus sinnvoll sein kann.
Um einer Wiedereinspielung bereits gelöschter Daten entgegenzuwirken, könnte ein Löschprotokoll als sogenannte Blacklist (in Anlehnung an eine Werbesperrdatei) fungieren. Die Blacklist beinhaltet hierbei für die Dauer des Backupzykluses das Protokoll des Löschvorgangs (System-Log) oder eine einmalige digitale Markierung (z.B. einen Hashwert) der bereits gelöschten Daten, um durch einen (systemseitigen) Abgleich die Löschung „wiedereingespielter“ Daten zu ermöglichen. Um nicht selbst Bestandteil der Backups zu werden, sollte das Löschprotokoll in einem redundanten externen System vorgehalten werden. Nur die technische Trennung bietet ein sicheres, redundantes Konzept.
Ausblick
Insgesamt sehen sich Unternehmen bei der Entwicklung und Umsetzung eines, den Anforderungen der DSGVO entsprechenden, Löschkonzepts, nicht zuletzt aufgrund der oftmals historisch gewachsenen IT-Infrastrukturen, vor große Herausforderungen gestellt. Durch nachhaltiges und strukturiertes Datenmanagement, eine konsequente Kategorisierung sowie strikte Trennung von Backups und Archiven kann aber auch diese Herausforderung gewinnbringend gemeistert werden.
Die drastischen Bußgelder in Dänemark sowie die anstehende Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht hinsichtlich der Umsetzung von Löschvorgaben in ERP-Systemen machen dabei deutlich, dass Unternehmen nicht länger zögern sollten sich der Entwicklung eigener Löschkonzepte anzunehmen.
Maik
28. August 2019 @ 10:33
Bezüglich der Mail-Archivierung würde ich mich immer für ein System entscheiden, indem Mails kategorisiert werden können bzw. dies automatisiert anhand von Schlagwörtern geschieht, dies kombiniert mit mehreren Email-Postfächern für die versch. Zwecke. Kategorien können dann die einzelnen gesetzl. Aufbewahrungspflichten sein. Weiter wäre es bei guten Systemen nicht nur eine Aufbewahrung, sondern auch eine automatisierte Löschung/Vernichten nach der Aufbewahrungssperre einzustellen. MS Exchange/O365 unterstützt dies schon standardmäßig.
Judith
23. August 2019 @ 8:11
Vielen Dank für die zusammengestellten Informationen!
Wie ist Ihrer Meinung nach der Konflikt zwischen unterschiedlichen Aufbewahrungsfristen und der zeitnahen Löschung personenbezogener Daten (pbD) zu sehen? Konkret: E-Mail-Archivierung
In unserem Unternehmen werden vielfach pbD über die Kommunikation per eMail verarbeitet (Hilfen zur Erziehung, Beratungsstellen, Frühförderung, Ehrenamt etc.). Die von der GOBD geforderte eMail-Archivierung für Handelsbriefe stellt uns vor große Herausforderungen da Angebote, Rechnungen usw. über die gleichen eMail-Postfächer laufen. Händisch die pbD nach Ablauf der entsprechenden Fristen aus dem Archiv zu löschen, ist ein Riesenaufwand (geschätzt, zwischen 50-80% der gesamten Kommunikation). Die GOBD-Frist für die Aufbewahrung der pbD festzulegen scheint ähnlich abwegig da so aus einer Frist von 3 Monaten für pbD 10 Jahre werden können.
Philian Hole
23. August 2019 @ 16:56
Vielen Dank für Ihren Kommentar. Das Verknüpfen von Archivsystemen mit den entsprechenden Löschvorgaben ist keine leichte Aufgabe. Zielführend kann es daher nur sein durch eine konsequente Kategorisierung (z.B. durch separate Postfächer) von Beginn an eine Einteilung der steuerrechtlich relevanten Daten zu erreichen, um so die korrekten Löschzeitpunkte definieren und umsetzen zu können.
Frank Zimmermann
22. August 2019 @ 15:00
Danke für den informativen Artikel! Was leider völlig ausgeklammert wurde, ist die Tatsache, dass eine Löschung in vielen Systemen technisch nicht vorgesehen ist. Bei einer einzelnen Datei ist dies trivial, aber in Datenbanken können Datensätze nur gelöscht werden, wenn der Entwickler dies vorgesehen hat. Wenn nicht, dann geht es nicht. Wie soll man damit umgehen?
Philian Hole
23. August 2019 @ 16:44
Vielen Dank für Ihren Kommentar. Wie das Bußgeld in Dänemark Ende März diesen Jahres gezeigt hat, nehmen die Aufsichtsbehörden auf technische Hürden leider keine Rücksicht. Art. 17 DSGVO bzw. Art. 5 Abs. 1 lit. e DSGVO sieht für technische Restriktionen keine Erleichterungen oder Ausnahmen vor. Letztlich ist jeder Verantwortliche daher dazu angehalten vor dem Einsatz von (neuen) Systemen zu prüfen, ob die Einhaltung der Regelungen der DSGVO gewährleistet werden kann. Dies ergibt sich auch aus dem, durch die DSGVO neu eingeführten, Prinzip des Datenschutzes durch Technikgestaltung nach Art. 25 Abs. 1 DSGVO.