Das Thema
Bis Mai 2018 müssen Unternehmen die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen. Datenschutzkonforme Konzepte zur Löschung personenbezogener Daten sind ein wesentlicher Bestandteil eines effektiven Datenschutz Management Systems (DSMS). Die Voraussetzungen, unter denen Unternehmen personenbezogene Daten löschen müssen, sind in Art. 17 DSGVO geregelt. Eine solche Löschpflicht kann etwa dann entstehen, wenn die betroffene Person dies verlangt, sie eine zuvor abgegebene Einwilligung widerruft oder Widerspruch gegen die weitere Verarbeitung ihrer Daten einlegt. In der Praxis stellt dies die Wirtschaft teilweise vor erhebliche Herausforderungen. Zwar gab es eine ähnliche Pflicht zum Löschen von Daten bereits nach dem bislang geltenden Datenschutzrecht. Diese Anforderung haben aber nur wenige Unternehmen umfassend umgesetzt. Aufgrund der erheblich gestiegenen Risiken von Bußgeldern und Schadensersatzansprüchen nach der DSGVO besteht hier für viele Firmen nun erheblicher Handlungsbedarf.
Wann muss man personenbezogene Daten löschen?
Unternehmen müssen personenbezogene Daten etwa dann löschen, wenn sie für die Zwecke, für die erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zweck einer Datenverarbeitung entscheidet also auf über die zulässige Dauer der Speicherung der verarbeiteten Daten. Dieser so genannte Zweckbindungsgrundsatz ist eines der wesentlichen Prinzipien des europäischen Datenschutzes. Unternehmen dürfen personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erheben. Zudem dürfen Sie diese Daten nicht in einer mit den ursprünglichen Zwecken nicht zu vereinbarenden Weise weiterverarbeiten (Art. 5 Abs. 1 lit. b DSGVO). Spätestens, wenn personenbezogene Daten für die Zwecke nicht mehr erforderlich sind, für die sie verarbeitet werden, muss das Unternehmen diese Daten löschen.
Herausforderung Backups und Backup-Tapes
Hier stellt sich in der Praxis aber fast immer wieder dasselbe Problem: Unternehmen sind in aller Regel gar nicht in der Lage, einzelne Datensätze aus ihren Backup-Systemen herauszufiltern und zu löschen. Derartige Datensicherungssysteme sind bislang gerade darauf ausgerichtet, vollständige Inhalte von Speichermedien oder sonstigen Datenverarbeitungen zu sichern. Ein selektives Löschen einzelner Datensätze erlauben solche Systeme (noch) nicht. Zudem macht die DSGVO auch Vorgaben zur Datensicherheit beziehungsweise zur IT-Security. Unter anderem müssen Unternehmen in der Lage sein, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wieder herzustellen (Art. 32 Abs. 1 lit. b DSGVO). Unternehmen sind also sogar gesetzlich dazu verpflichtet, Backups zu erstellen.
Wie lösen Sie diese Herausforderung in der Praxis?
Ein wesentlicher Teil der Bewältigung dieses Problems ist es, die Zwecke von Datenverarbeitungen präzise und umfassend festzulegen und diese Zwecke auch im Löschkonzept des Unternehmens klar zu dokumentieren. Im Rahmen eines effektiven DSMS sollten Unternehmen dies ohnehin tun. Hier müssen sämtliche Unternehmensbereiche tätig werden, die Daten verarbeiten, wie etwa IT, HR, Recht, Sales, Marketing, Compliance und interne Revision. Der Bereich Datenschutz oder – besser noch – ein breit aufgestelltes Projektteam zur Umsetzung der DSGVO sollten hier entsprechende Vorgaben, Strukturen, Muster oder Programme vorgeben, die die betroffenen Unternehmenseinheiten entsprechend unterstützen.
Ein gutes Beispiel für die Vorteile einer frühzeitigen und durchdachten Zweckbestimmung als Grundlage effektiver Löschkonzepte ist etwa die Verarbeitung von Beschäftigtendaten. Hat ein Unternehmen – etwa in seinem Verarbeitungsverzeichnis – hier nur “Zwecke des Beschäftigungsverhältnisses” angegeben, so hat es ein Problem. Deutlich besser ist es, hier im Vorfeld absehbare Verarbeitungszwecke zu identifizieren und zu dokumentieren. Dabei ist insbesondere an die Wahrung berechtigter Interessen des Unternehmens zu denken (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Aber auch die Erfüllung rechtlicher Verpflichtungen ist einer der vielen Zwecke sein, den das Unternehmen in seinem Löschkonzept berücksichtigen sollte. Auch die Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen ist eine der typischen Zwecke, die im Arbeitsverhältnis häufig relevant sind (vgl. Art. 9 Abs. 2 lit. f DSGVO). Im Rahmen einer solchen datenschutzrechtlichen Zweckbestimmung und damit auch bei der Erstellung von Kriterien für Löschkonzepten empfiehlt es sich, zunächst auf in der DSGVO vorgegebenen Zwecke wie die vorstehend genannten zurückzugreifen und diese dann durch Beispiele zu konkretisieren. Gerade die Speicherung von Backups für Zwecke der Datensicherheit, aber auch die Verteidigung gegen mögliche Rechtsansprüche können bei einem solchen Vorgehen durchaus eine lange Speicherdauer rechtfertigen (vgl. Art 17 Abs. 3 lit. e DSGVO).
Ausnahmen von der Löschpflicht
Auch gesetzliche Aufbewahrungspflichten nach deutschem Recht können die Speicherung personenbezogener Daten im Rahmen der DSGVO erlauben. So gilt etwa eine Ausnahme von der grundsätzlichen Löschpflicht, wenn Verarbeitung der personenbezogenen Daten zur Erfüllung einer Verpflichtung nach deutschem Recht oder EU-Recht erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Neben den datenschutzrechtlichen Vorgaben muss man zur Umsetzung der DSGVO also auch anwendbare Aufbewahrungspflichten prüfen. Beispielsweise müssen Unternehmen etwa manche steuerrechtlichen oder handelsrechtlichen Dokumente mindestens zehn Jahre aufbewahren. Aber auch spezifischere Vorschriften wie das Geldwäschegesetz verpflichten Unternehmen, geldwäscherelevante Aufzeichnungen bis fünf Jahre nach Ende der Geschäftsbeziehung mit einem Geschäftspartner aufzubewahren.
Frühzeitige und gute Planung nötig
Gerade am Beispiel der Festlegung von Löschkonzepten und Löschfristen zeigt sich, dass Unternehmen DSGVO-Umsetzungsprojekte von Anfang an strukturiert und auf der Grundlage der wesentlichen Mechanismen der DSGVO planen sollten. Die gut geplante Umsetzung der Anforderungen des hier beschriebenen Zweckbindungsgrundsatzes kann dabei helfen, viele Folgeprobleme zu vermeiden. Wie auch bei vielen anderen Fragen der DSGVO stehen bei der Pflicht zum Löschen personenbezogener Daten Zwecke im Vordergrund, für die diese Daten verarbeitet werden. Unternehmen sind gut beraten, ihre Löschkonzepte frühzeitig und sorgfältig zu planen. Denn Fehler dürften hier kaum unbemerkt bleiben. Bei der Erhebung personenbezogener Daten müssen Unternehmen die betroffene Person nämlich auf die Dauer hinweisen, für die sie die fragliche personenbezogenen Daten gespeichert werden. Falls sie die konkrete Dauer der Speicherung nicht vorab bestimmen können, müssen Unternehmen die betroffene Person über die Kriterien für die Festlegung dieser Verarbeitungsdauer informieren – also über die wesentlichen Eckdaten ihres Löschkonzepts.
Künftig werden Unternehmen Bewerbern daher gleich am Anfang des Bewerbungsverfahrens umfassende Datenschutzinformationen zukommen lassen (sog. privacy notices). Auch beim Abschluss des Arbeitsvertrags ist es für den Arbeitgeber ratsam, zu dokumentieren, dass und auf welche Weise er seinen Informationspflichten gemäß Art. 12 ff. DSGVO nachgekommen ist. Weitere Praxistipps, Checklisten, Muster und Beispiele finden Sie auch im Handbuch EU-Datenschutz-Grundverordnung.
Partner bei Hogan Lovells International LLP (Büro Frankfurt)
Autorenprofile in den sozialen Medien: Twitter, Xing oder LinkedIn.
Aktuelle Buchveröffentlichung des Autors zum Thema:
