Löschung von Daten

Art. 17 DSGVO Recht auf Löschung (""Recht auf Vergessenwerden"") und wann müssen Daten gelöscht werden?


Grundsätzlich regelt Art. 17 DSGVO die Löschung von Daten. Unternehmen und beispielsweise auch Vereine müssen personenbezogene Daten löschen, wenn der Zweck für die vorherige Erhebung oder Verarbeitung der Daten, das weitere Vorhalten der Daten nicht mehr erfordert. Insoweit koppelt die EU-DSGVO die zugelassene Dauer für eine Datenspeicherung direkt an den Zweck der Datenverarbeitung.


Man spricht hier vom Zweckbindungsgrundsatz, der einen wesentlichen Eckpfeiler des neuen europäischen Datenschutzrechts bildet. Grundsätzlich dürfen Unternehmen und Vereine personenbezogene Daten nur für vorher genau umschriebene, eindeutige und legitime Zwecke erheben und verarbeiten. Was die Verarbeitung von Daten angeht, muss diese auch mit dem ursprünglichen Zweck vereinbar sein.


Aus diesem Zweckbindungsrundsatz folgt, dass personenbezogene Daten genau dann zu löschen sind, wenn sie für die ursprünglichen Zwecke der Datenerhebung und -verarbeitung nicht mehr gebraucht werden.


Warum überhaupt löschen?


Im Datenschutz gilt der Grundsatz, dass man Daten nicht unbegrenzt speichern darf.

Zwar gilt die datenschutzrechtliche Löschungspflicht grundsätzlich nur für Daten, die in Datenverarbeitungsanlagen oder in nichtautomatisierten Dateien verarbeitet oder genutzt werden.

Jedoch ist § 32 Abs. 2 BDSG zu beachten, nach dem auch personenbezogene Daten in Papierform davon betroffen sind.


Im Personalbereich, wo es häufig noch Aufzeichnungen in Papierform gibt,

gilt daher dieselbe Löschpflicht, die auch für elektronisch erfasste Daten nach § 35 BDSG gilt."


Löschen auf Gedeih und Verderb?


Heißt das jetzt, ich muss alle Daten unverzüglich löschen egal ob ich Sie noch benötige oder nicht?

Nein!


Die gesetzliche Löschpflicht wird ausgesetzt, wenn Daten aufgrund von Aufbewahrungsfristen vorgehalten werden müssen. Hierunter fallen beispielsweise Jahresabschlüsse und Bilanzen (10 Jahre), ärztliche Dokumentation (10 Jahre, teilweise bis zu 30 Jahre) und Rechnungen (2 Jahre). Darüber hinaus gibt es zahlreiche weitere Tatbestände, die einer Löschung entgegenstehen.

Sofern das Gesetz eine Aufbewahrungsfrist vorsieht, tritt anstelle der Löschung eine Sperrung gem. § 35 Abs. 3 BDSG.


An die Stelle einer Löschung tritt eine Sperrung, soweit:


  1. Im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen

  2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden

  3. Eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist

Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken; beispielsweise die Kennzeichnung als „inaktiv“.


Praktische Umsetzung


Die Empfehlung, ein Löschkonzept zu erstellen, hört sich für viele so an, als müsste ein umfangreiches Dokument erstellt werden.


Praxisgerechter ist es, von der Implementierung von Löschroutinen zu sprechen, die dann Eingang in die internen Prozesse und internen Verfahrensverzeichnisse finden sollten.

Die häufig zuhörende Annahme, es sei alleinige Aufgabe des Datenschutzbeauftragten, entsprechende Löschroutinen zu implementieren, ist nicht korrekt.


Der Datenschutzbeauftragte kann lediglich unterstützen – das Unternehmen bzw. der Verein muss als verantwortliche Stelle und damit Herrin der Daten den Großteil selbst leisten.

Schließlich weiß das Unternehmen bzw. der Verein bzw. wissen die jeweiligen Abteilungen am besten, welche Daten vorhanden sind und wo und wie lange diese faktisch gespeichert werden.


Konkret empfiehlt sich in einem ersten Schritt folgendes Vorgehen:


  1. Identifizierung der Datenarten (z.B. Personaldaten, Mitgliedsdaten, Buchhaltungsdaten, Rechnungsdaten)

  2. Aussortieren definitiv nicht mehr benötigter Daten (z.B. ausgeschiedener Mitarbeiter und Mitglieder)

  3. Prüfung bestehender Aufbewahrungsfristen

Sobald das Unternehmen oder der Verein den bestehenden Datenbestand genauer identifiziert hat, ist neben dem Datenschutzbeauftragten der Steuerberater und der Wirtschaftsprüfer des Unternehmens/des Vereins hinzuzuziehen. Darüber hinaus ist in Bezug auf die Umsetzung die Zusammenarbeit mit der IT-Abteilung gefragt. Es sollte auch die Protokollierung der gelöschten Daten beispielsweise mittels timestamp nicht vergessen werden.


Löschroutinen – ein erfolgloses Unterfangen?


Es wird deutlich, dass die Etablierung von Löschroutinen in einem Unternehmen/Verein gerade, wenn Löschverpflichtungen längere Zeit vernachlässigt wurden, erst einmal mit einem gewissen (insbesondere zeitlichen) Aufwand verbunden ist.


Sobald man allerdings erst einmal die Datenarten identifiziert hat und Löschroutinen (ggf. technisch) etabliert sind, ist der tägliche Umgang recht einfach.


Wir erstellen Ihnen ein individuelles Löschkonzept!