Die begrenzte Speicherung personenbezogener Daten gehört zu den Grundparadigmen des Datenschutzes. Ein unternehmensindividuelles Löschkonzept bildet die Grundlage, um eine ordnungsgemäße Löschung und Einschränkung personenbezogener Daten gewährleisten zu können. Doch auch zwei Jahre nach Inkrafttreten der DSGVO stellt die Umsetzung angemessener Löschverfahren für viele Unternehmen eine erhebliche Hürde dar.
Status der Umsetzung – Fokus Löschkonzept
Mehr als zwei Jahre sind seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) mittlerweile vergangen. Gemäß einer Vielzahl von Studien und Umfragen der deutschen Aufsichtsbehörden sowie von Fachverbänden schreitet die Umsetzung der DSGVO bei der Mehrheit der Unternehmen gut voran. Eine vollständige Umsetzung der DSGVO können hingegen noch nicht viele Unternehmen vermelden. Aus der Umfrage des Digitalverbandes Bitkom im September 2019 geht beispielsweise hervor, dass zwar 67 % der Unternehmen eine Umsetzung zu großen Teilen abgeschlossen haben, jedoch nur bei 25 % der Unternehmen von einer vollständigen Umsetzung der Anforderungen aus der DSGVO ausgegangen werden kann. Und selbst hier ist eine Beurteilung schwierig, da eine einheitliche Beurteilung des Umfangs und der Qualität der Umsetzung nicht gegeben ist.
Des Weiteren ist immer wieder zu hören, dass bei den zunehmend an Bedeutung gewinnenden technischen und organisatorischen Schutzmaßnahmen und insbesondere bei der Erstellung und Umsetzung von Löschkonzepten Nachholbedarf besteht. Die Erstellung eines alle Unternehmensprozesse umfassenden, wirksam implementierten Löschkonzepts wurde in manchen Fachveröffentlichungen als "Königsklasse" oder "größte Herausforderung" des Datenschutzes bezeichnet.
Warum braucht Ihr Unternehmen ein Löschkonzept?
Anders als beim "Verzeichnis der Verarbeitungstätigkeiten", lässt sich der Begriff des "Löschkonzeptes" in der DSGVO nicht unmittelbar nachschlagen. Die Notwendigkeit zur Erstellung und Umsetzung eines Löschkonzeptes ergibt sich in der DSGVO aus Artikel 5 (konkret in Art. 5 Abs. 1 lit. e) und Artikel 17 bis 19. Ergänzende Erläuterungen lassen sich in den Erwägungsgründen 39 und 65 bis 67 der DSGVO finden. Wie bei allen Pflichten der DSGVO werden diese ergänzt durch die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, gemäß welcher die Erfüllung aller Pflichten konzeptionell und operativ nachvollziehbar sein muss.
Aufbauend auf den vorgenannten Regelungen zu den Betroffenenrechten und den Paradigmen der Speicherbegrenzung und Rechenschaftspflicht lässt sich ableiten, dass die Erstellung und Umsetzung eines Löschkonzeptes verpflichtend und erforderlich für die Umsetzung der DSGVO ist.
Wer sich zusätzlich zu dieser Herleitung eine eindeutigere Sachlage wünscht, der könnte zunächst im Internet nachschlagen, wie sich die Aufsichtsbehörden zu diesem Thema positionieren. Welche Konsequenzen ein fehlendes Löschkonzept haben kann, zeigt bspw. der Fall „Deutsche Wohnen SE“. Die dauerhafte Speicherung von Mieterdaten in einem Archivsystem wurde seitens der Berliner Beauftragten für Datenschutz und Informationsfreiheit u. a. als Verstoß gegen den Grundsatz der Speicherbegrenzung ausgelegt, woraufhin ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE verhängt wurde. In Dänemark wurden in diesem Zusammenhang Bußgelder in 6-stelliger Höhe gegen einen Taxi-Plattform-Betreiber und ein Möbelhaus verhängt. In weiteren Fällen wurde in Frankreich und Deutschland Bußgelder in Höhe von 400.000 Euro bzw. 294.000 Euro wegen fehlender Schutzmaßnahmen und exzessiver Datenspeicherung unter Missachtung der Speicherfristen verhängt.
Typische Probleme bei der Umsetzung
Wenn die Sachlage also doch relativ klar ist, warum besteht dennoch bei vielen Unternehmen ein großer Nachholbedarf bei der Erstellung und Umsetzung eines Löschkonzeptes?
Individuallösungen sind gefragt
Für viele Themenbereiche des Datenschutzes gibt es mittlerweile hilfreiche Umsetzungshinweise und –vorlagen von den Aufsichtsbehörden und anderen Fachverbänden. Für das Thema Löschkonzept ist dieses hingegen nicht der Fall. Die Begründung hierfür ist in der Komplexität der Erstellung und Umsetzung von Löschkonzepten zu suchen. Ein Löschkonzept, welches allgemeingültig für alle Unternehmen anwendbar ist, gibt es schlichtweg nicht.
Darüber hinaus besteht in vielen Unternehmen kein klares Verständnis vom Inhalt und Umfang eines Löschkonzepts. Lassen Sie sich nicht erzählen, eine Liste von handels- und steuerrechtlichen Aufbewahrungsfristen, ergänzt um den Hinweis, dass man nach zehn Jahren löschen werde, sei ein Löschkonzept.
Komplexität der Datenverarbeitungsvorgänge
Die Identifizierung aller im Unternehmen abgebildeten Datenverarbeitungsvorgänge und der darin verarbeiteten Daten ist die elementare Grundlage für die Erstellung und erfolgreiche Umsetzung eines Löschkonzeptes. Das Verzeichnis der Verarbeitungstätigkeiten – welches prinzipiell bei jedem Unternehmen vorliegen sollte – bildet hierfür in der Regel eine gute Grundlage.
In der Praxis zeigt sich jedoch häufig, dass hinsichtlich des inhaltlichen Detailgrads des Verzeichnisses sowie der Aktualität der enthaltenen Angaben ein erheblicher Nachholbedarf besteht, um basierend darauf ein Löschkonzept zu erstellen. Dieses betrifft bspw. den Umfang der enthaltenen Verfahren, die Festlegung der Kategorien verarbeiteter Daten, die für die Verarbeitung verantwortlichen Stellen, die Übersicht der verfahrensrelevanten IT-Systeme (inklusive etwaiger vor- und nachgelagerter Systeme) sowie den Kreis der internen und externen Empfänger.
Einzubeziehende Abteilungen und Stellen
In vielen Unternehmen wird ein Großteil der Anforderungen aus der DSGVO durch die Datenschutzkoordinatoren, unterstützt und koordiniert durch den Datenschutzbeauftragten umgesetzt. Dieser Personenkreis ist daher in der Regel auch für Erstellung und Umsetzung des Löschkonzeptes zuständig.
Bedingt durch die Komplexität der Umsetzung ist hier jedoch regelmäßig der Einbezug weiterer Stellen und Know-How-Träger im Unternehmen erforderlich, bspw. von Fachabteilungen, der IT-Administration, der Software-Entwicklung sowie ggf. der Steuer- und Rechtsabteilung. Letzteres ist beispielsweise dann sinnvoll, wenn im Unternehmen branchenspezifische Spezialgesetze zu berücksichtigen sind. Darüber hinaus betrifft es generell die Berücksichtigung datenschutzfremder Gesetze, u. a. des Handelsgesetzbuchs (HGB) und der Abgabenverordnung (AO). Auch der Einbezug von IT-Dienstleistern kann bei der Erstellung und Umsetzung eines Löschkonzeptes erforderlich sein.
Schlussendlich ist das Zusammenwirken fachlicher Anforderungen, gesetzlicher Normen sowie technischer, organisatorischer und systemseitiger Rahmenbedingungen zu gestalten. Die Verantwortlichen im Unternehmen müssen dieses erkennen, ein einheitliches Verständnis der Anforderungen entwickeln und die Erstellung und Umsetzung des Löschkonzeptes als umfassendes, interdisziplinäres IT-Projekt organisieren, welches zudem über das abzubildende Projektmanagement einer zielführenden Planung und Koordination bedarf.
Technische Umsetzung des Löschkonzeptes
Bei der Umsetzung des Löschkonzeptes treten bisweilen Probleme auf, wenn die technische Abbildung der Lösch- und Einschränkungsverfahren über die im Einsatz befindlichen IT-Systeme im Unternehmen nicht, nicht angemessen oder nicht wirtschaftlich umsetzbar ist. Dies kann beispielsweise Datenbanksysteme betreffen, in welchen die Unversehrtheit der Datenstrukturen durch ein unbedachtes Löschen gefährdet ist und somit strukturelle Zusammenhänge, etwa zwischen Stamm- und Bewegungsdaten, verloren gehen könnten (Stichwort "referentielle Integrität"). Ebenso betroffen sein können über lange Zeiträume betriebene Archiv- und E-Mailsysteme. Die benötigten Systemfunktionalitäten für eine zielgenaue Identifikation und Löschung bzw. Einschränkung relevanter Daten bieten insbesondere ältere Systeme häufig nicht oder nur stark eingeschränkt.
Fazit
Für Unternehmen führt kein Weg an der Erstellung und Umsetzung eines individuellen Löschkonzeptes vorbei. Bußgelder, wie im Falle der Deutsche Wohnen SE, sind mittlerweile auch in anderen europäischen Ländern verhängt worden. Auffallend ist dabei, dass die in Verbindung mit Mängeln bei der Löschkonzeption verhängten Bußgelder nicht selten auch Zusammenhänge mit weiteren Datenschutz-Mängeln, bspw. bei den IT-Sicherheitsmaßnahmen und unzulässiger Werbung per E-Mail aufweisen. Eine themen- und fachübergreifende Betrachtung des Löschkonzepts und des Datenschutzmanagements unter Einbeziehung der involvierten Fachbereiche ist deshalb wichtig. Die zunehmende Fokussierung auf das Thema Löschkonzept wird auch dadurch deutlich, dass das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bereits die Durchführung von Datenschutzprüfungen im Zusammenhang mit dem Löschen von Daten in ERP-Systemen (konkret: SAP) angekündigt hat. Die Erarbeitung eines vollumfassenden Löschkonzepts – inklusive der erforderlichen technischen Umsetzung – ist in den meisten Unternehmen eine nicht zu unterschätzende Herausforderung. Damit dies effizient gelingen kann und die vorgenannten Fallstricke vermieden werden, sollte die Umsetzung von Anfang in Form eines sorgfältig strukturierten, interdisziplinären IT-Projektes erfolgen.
