DSGVO: So sollte ein Löschkonzept aussehen

In der DSGVO ist das Prinzip der Datenminimierung vorgesehen. Dafür gibt es auch bereits erste Richtlinien. Wir zeigen im Detail, wie die Datenlöschung im Unternehmen umzusetzen ist. [...]

Daten müssen regelmässig gelöscht werden. Wir zeigen Ihnen wie (c) CW
Daten müssen regelmässig gelöscht werden. Wir zeigen Ihnen wie (c) CW

Im Art. 5 (Grundsätze für die Verarbeitung personenbezogener Daten) der DSGVO heißt es im ersten Absatz, lit c): Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).

Im Klartext heißt dies, dass die DSGVO für Unternehmen eine gesetzliche Verpflichtung zum Löschen personenbezogene Daten vorsieht, sofern diese für die Zwecke, für die sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind und zudem auch keine gesetzliche Aufbewahrungspflicht der Löschung entgegensteht. 

Als Datenschutz-Beauftragte empfehlen die Autoren dringend, ein Konzept zum Löschen von PbD (Personen-bezogene Daten) zu entwickeln und im Unternehmen umzusetzen. Im Anlassfall kann die Datenschutzbehörde Angaben zum Löschkonzept verlangen.

Hilfreich bei der Erstellung eines Löschkonzepts ist die DIN 66398 („Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“). 

Sie definiert ein Modell zur Entwicklung und Etablierung eines Löschkonzepts. Die Norm beschreibt Vorgehensweisen, durch die Löschregeln festgelegt werden und gibt eine Struktur zur Dokumentation des Löschkonzepts vor. Diese Leitlinie basiert auf den Erfahrungen der Toll Collect GmbH, die im Rahmen eines Normungsprojekts mit Unterstützung von fünf Unternehmen zur DIN 66398 weiterentwickelt wurde. Damit ist Deutschland Vorreiter für strategische Konzeption von Lösch-Prozessen.

Die folgende Tabelle gibt einen Überblick über die erforderlichen Tasks und die Verantwortlichkeiten des Löschkonzeptes:

Abbildung 1: Exemplarische Taskliste inkl. Verantwortlichkeiten

DROs  kategorisieren

Die Implementierung eines DSGVO konformen Löschkonzepts eng mit der Umsetzung handels- und steuerrechtlicher sowie weiterer Aufbewahrungspflichten verbunden. Es liegt auf der Hand, dass dafür eine Bestandsaufnahme erforderlich ist. Dabei werden die DROs (Datenschutz-Relevanten Objekte) ermittelt und in Datenarten kategorisiert. Für jede dieser Datenarten wird eine Löschregel festgelegt.

Eine Löschregel besteht aus einer Löschfrist und einem Startzeitpunkt, ab dem der Lauf der Frist beginnt. Der Startzeitpunkt stellt auf eine Bedingung ab, die im Lebenszyklus der jeweiligen Datenart auftritt. Die konkreten Bedingungen können danach unterschieden werden, ob sie auf den Erhebungszeitpunkt der Daten oder eine Bedingung während des Lebenszyklus abstellen.

Damit ergeben sich zwei abstrakte Startzeitpunkte:

  • Erhebung der PbD: Die Löschfrist für ein konkretes Datenobjekt beginnt bereits bei der Erhebung durch die verantwortliche Stelle.
  • Ende eines Vorgangs: Die Löschfrist für ein konkretes Datenobjekt beginnt erst mit dem Abschluss eines Vorgangs im Lebenszyklus des Objekts.

Vorgaben für die Umsetzung

Die folgende Abbildung zeigt die möglichen Unternehmensprozesse des Löschens und insbesondere die unterschiedlichen Auslöser, um Daten zu löschen:

Abbildung 2: Fallbetrachtung Löschen

Individuelles Löschbegehren Betroffener

Neben dem Prinzip der Datenminimierung ist im Art: 17 Recht auf Löschung („Recht auf Vergessenwerden“) das Betroffenenrecht festgeschrieben, dass die Löschung von PbD (Personen-bezogene Daten) begehrt werden kann. 

Nach Art. 17 DSGVO haben Betroffene das Recht auf Löschung der über sie gespeicherten PbD, sofern einer der folgenden Gründe zutrifft (Auszug):

  • Die Speicherung aus fachlichen Gründen ist nicht mehr notwendig.
  • Der Betroffene zieht seine Einwilligung zurück, dass die Daten verarbeitet werden dürfen.
  • Das Unternehmen oder die öffentliche Einrichtung hat die Verarbeitung unrechtmäßig vorgenommen.

Es besteht eine Rechtspflicht zum Löschen, d.h. dass in den oben angeführten Fällen der Verantwortliche für die Löschung zu sorgen hat, sofern nicht andere Gründe dagegensprechen. Die Löschverpflichtung besteht nicht, wenn triftige Gründe vorliegen, z.B.:

  • Es gibt gesetzliche Aufbewahrungspflichten 
  • Bei gerichtlich anhängigen Fällen

Falls derartige Gründe anzuwenden sind muss eine Fallunterscheidung getroffen werden. In obiger Abbildung wird zwischen Fall A) und B) unterschieden, ob Daten weiter benötigt werden. So sind z.B. Termineintragungen keine buchhalterische benötigten Daten, sie sind daher im Regelfall zu löschen. Rechnungsdaten unterliegen jedenfalls der Aufbewahrungspflicht.

Systematisches Löschen

Zur Festlegung ihrer Standardlöschfristen kann die verantwortliche Stelle auf Fristkataloge zurückgreifen, soweit solche vorhanden und geeignet sind. Für spezifische Zwecke muss die verantwortliche Stelle aber prüfen, ob es notwendig ist, dass sie eigene Standardlöschfristen festlegt wird.
Dabei sind folgende Punkte zu berücksichtigen:

  • Die einschlägigen Rechtsvorschriften. Dazu gehören beispielsweise Vorgaben aus Gesetzen, Verordnungen oder vertraglichen Regelungen. Diese können sowohl konkrete Fristvorgaben machen als auch die Einhaltung allgemeiner Prinzipien wie Erforderlichkeit und Datensparsamkeit verlangen.
  • Wie lange die PbD für die Zwecke der verantwortlichen Stelle in ihren Geschäftsprozessen benötigt werden (Regelverarbeitung). Dazu gehören auch alle rechtlich geforderten Prozessschritte, beispielsweise die Aufbewahrung von Unterlagen für die Prüfung durch Finanzbehörden.

Gemäß dem Gebot der Datenminimierung müssen Daten, die nicht mehr der Aufbewahrungspflicht unterliegen, mit Ende jenes Jahres gelöscht werden, in dem die Aufbewahrungspflicht endet.

Archiv versus Sicherungskopien

Archiv:

Archive dienen dazu, Daten langfristig vorzuhalten. Daten werden häufig in Archive verlegt, wenn an Datensätzen oder anderen Beständen keine Veränderungen mehr vorgenommen werden, sie jedoch aus zulässigen Gründen weiterhin aufbewahrt werden müssen. Ein Archiv kann unterschiedliche Datenarten mit unterschiedlichen Löschfristen enthalten.

Sicherungskopien

Backups haben eine andere Funktion. Sie werden zur Wiederherstellung von Systemen und Datenbeständen nach Störungen benötigt. Sie dürfen daher nicht verändert werden.

Sicherungskopien existieren in der Regel in verschiedenen Versionen oder Versionsketten. Jede der Versionen kann unterschiedlich alte Datenbestände der gleichen Datenart enthalten. Die einzelnen Instanzen von Datenobjekten erreichen daher ihre Löschfrist zu sehr unterschiedlichen Zeiten. Zur Einhaltung von Löschregeln wären deshalb häufig einzelne Daten aus den Sicherungskopien zu löschen.

Zwischen Sicherungskopien und Archiven muss deshalb klar getrennt werden. Die PbD in Archiven unterliegen den Löschregeln der jeweiligen Datenarten und müssen nach diesen Regeln auch im Archiv gelöscht werden. Für die Löschung von Sicherungskopien müssen dagegen eigene Fristen festgelegt werden, die bezüglich der Regellöschfristen der im Backup enthalten „gemischten“ Daten verhältnismäßig sind.

Vorgaben durch DIN 66398

Im Regelfall ist es ausreichend, die Standardlöschfristen des Löschkonzepts anhand ausgewählter Datenarten festzulegen. Dazu werden in einem iterativen Prozess Datenarten identifiziert, die mögliche Stellvertreter für Löschklassen sind. Für diese erfolgt die Fristfestlegung und die Definition der Löschklassen. Wenn alle weiteren Datenarten in datenschutzrechtlich vertretbarer Weise den so gefundenen Löschklassen zugeordnet werden können, ist der Prozess abgeschlossen. 

Sensitive Datenarten oder Datenarten, für die die einschlägigen Rechtsvorschriften nur enge Spielräume für die Löschung zulassen, müssen kurz nach dem Wegfall der Erforderlichkeit gelöscht werden. Die verantwortliche Stelle ist dann gehalten, die Vorhaltefrist für die jeweilige Datenart genau zu bestimmen, damit die Löschfrist entsprechend eng daran orientiert werden kann. Dazu kann eine Analyse des Geschäftsprozesses durchgeführt werden. In dieser Prozessanalyse wird bestimmt, wie lange die einzelnen Prozessschritte in der Regelverarbeitung dauern. Die Summe über diese Zeitabschnitte ergibt die Vorhaltefrist für die Datenart.

Die Regellöschfrist für die jeweilige Datenart darf dann nur so viel länger als die Vorhaltefrist  gewählt werden, wie dies nach den einschlägigen Rechtsvorschriften verhältnismäßig und zulässig ist.

Die Abstufung der Standardlöschfristen, die durch Rechtsvorgaben oder durch die Prozessanalyse gefunden wurden, kann große Abstände aufweisen. Dies kann dazu führen, dass bei der Zuordnung von Datenarten gemäß Kapitel 8.3 die Vorhaltefrist für mehrere Datenarten so weit überschritten wird, dass dies datenschutzrechtlich nicht mehr vertretbar ist. Dann sollten weitere Standardlöschfristen ergänzt werden, um eine feinere Abstufung zu erreichen.

Soweit die Verwendung von PbD nur durch allgemeine Rechtsvorschriften geregelt ist, können Spielräume für die Festlegung von Löschfristen bestehen. Diese Spielräume können genutzt werden, um die zusätzlichen Standardlöschfristen festzulegen.

Beispiele für Löschfristen:

Abbildung 3: Timeline

Abweichungen von Regel-Löschfristen:

In einzelnen Fällen werden Daten länger benötigt als nach der Regellöschfrist  vorgesehen, z. B. weil ein Reklamationsfall oder ein Rechtsstreit anhängig ist. Für diese Sonderfälle bietet es sich an, die betroffenen Daten einer anderen Datenart mit entsprechend längerer Löschfrist zuzuordnen, wenn dies nach den einschlägigen Rechtsvorschriften zulässig ist. Technisch kann dies beispielsweise abgebildet werden, indem die Datenobjekte entsprechend gekennzeichnet oder an anderer Stelle gespeichert werden.

Umsetzungsvorgaben

Die Löschregeln müssen in IT-Systemen und anderen Prozessen umgesetzt werden. Dazu soll die verantwortliche Stelle in ihrem Löschkonzept regeln, wo und wie Umsetzungsvorgaben festgelegt werden. Dabei kann unterschieden werden nach 

  • Umsetzungsvorgaben für Querschnittsbereiche. Durch solche allgemeinen Regelungen kann die Zahl der spezifischen Umsetzungsvorgaben für IT-System verringert werden.
  • Spezifischen Umsetzungsvorgaben für einzelne IT-Systeme.
  • Einzelmaßnahmen zur Bereinigung von Datenbeständen.
  • Umsetzungsvorgaben für Auftragnehmer.

Abbildung 4: Umsetzungsvorgaben

Jede der Umsetzungsvorgaben sollte die folgenden Fragen beantworten:

  • Für welche konkreten IT-Systeme oder anderen Datenbestände gilt die Umsetzungsvorgabe?
  • Welche Datenarten werden im Regelungsbereich der Umsetzungsvorgabe verwendet?
  • Für jede der Datenarten: Welche Löschregel ist anzuwenden? Welche technischen Bedingungen bilden den Auslöser der Frist? 
  • Durch welchen Mechanismus wird die Löschung durchgeführt? 
  • Soweit Löschmechanismen konfigurierbar sind: Welche Parameter sind mit welchen Werten zu verwenden, um die zu löschenden Daten zu bestimmen?
  • Wer ist für den Start und die Überwachung des Mechanismus verantwortlich?
  • Wie ist die Durchführung von Löschmaßnahmen zu dokumentieren?

Aus diesen Angaben lassen sich auf einfache Weise Audit-Pläne für die Löschvorgaben erstellen.

Es ist häufig nicht erforderlich, die Vorhaltefrist der einzelnen Datenarten in jedem IT-System auszunutzen. Deshalb können den Umsetzungsvorgaben gegebenenfalls kürzere Löschfristen, als nach den Regellöschfristen der jeweiligen Datenarten zulässig sind, definiert werden. Dadurch wird dem datenschutzrechtlichen Prinzip der Datensparsamkeit Rechnung getragen. Die Entscheidung über kürzere Fristen muss jedenfalls fachliche und betriebliche Anforderungen berücksichtigen.

Umsetzungsvorgaben für Querschnittsbereiche

Löschmaßnahmen müssen in Querschnittsbereichen umgesetzt werden. Oft können die Vorgaben einheitlich geregelt werden. Insbesondere für die folgenden Bereiche können einheitliche Regeln naheliegen.

Querschnittsbereich Backup: 

Für Sicherungskopien muss nach den enthaltenen Datenarten geregelt werden, wann sie zu löschen sind. Gegebenenfalls ist festzulegen, wie Datenbestände auf Sicherungskopien aufzuteilen sind, damit datenschutzrechtlich vertretbare Löschfristen umgesetzt werden können. Sicherungskopien können neben der Produktionsumgebung auch für weitere Umgebungen erstellt werden, z. B. Testumgebungen oder Entwicklungsumgebungen. Wenn in diesen Sicherungskopien ebenfalls PbD enthalten sein können, müssen die Umsetzungsvorgaben auch für diese Umgebungen gelten.

Querschnittsbereich Protokolle: 

Soweit in Protokollen PbD enthalten sind, sind sie Datenarten zuzuordnen. Wenn vielfach ähnliche Inhalte protokolliert werden, kann die Löschung über eine Vorgabe für den Querschnittsbereich geregelt werden. Gegebenenfalls können auch eigene Datenarten für verschiedene Typen von Protokollen oder Log-Einträgen definiert werden. Falls in Protokollen Datenobjekte anderer Datenarten enthalten sind, ist zu beachten, dass diese Datenobjekte in Protokollen nicht später gelöscht werden als die originären Datenobjekte.

Weitere Umsetzungsvorgaben

Zu den weiteren Vorgaben der DIN 66398 gehören u.a. folgende Punkte:

  • Vorgaben für Einzelmaßnahmen
  • Vorgaben für DROs im Arbeitsalltag
  • Vorgaben für manuelle Prozesse
  • Sonderverwendungen, Restbestände , unzulässige Bestände
  • Umsetzungsvorgaben für Auftragnehmer (Auftragsverarbeiter)

Empfehlung basierend auf Erfahrungswerten

Neben der Taskliste inkl. der Festlegung der Verantwortlichkeiten wird die Erstellung einer Löschmatrix empfohlen.

Löschmatrix:

Abbildung 5: Beispiel für eine Löschmatrix

Die Umsetzungsvorgaben sollen in die Dokumentationsstruktur der verantwortlichen Stelle eingeordnet werden. In den weiteren Abschnitten dieses Kapitels werden Hinweise dazu und zur Verantwortung für die Pflege und die Freigabe der Umsetzungsempfehlungen gegeben.

Schlussbemerkung 

Das Löschen von PbD wurde im Zuge der Vorbereitungen auf die DSGVO von den meisten Unternehmen konsequent, nachvollziehbar und effizient umgesetzt. Das regelmäßige Löschen der nicht mehr benötigten Daten ist jedoch nach den persönlichen Erfahrungen der Autoren über weite Strecken noch nicht zur Gänze umgesetzt. 

Die DIN 66398 wirkt beim ersten Blick etwas unstrukturiert. Sie ist keine verpflichtende Norm im Sinne der DSGVO. Allerdings kann sie eine wertvolle Hilfe bei der Erstellung eines Löschkonzeptes sein. 

Das Tagebuch wird zur Verfügung gestellt von 


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*