Das Löschkonzept als Bestandteil der DSGVO-Compliance

Notwendigkeit und Sanktionsfolgen

 

– Teil 1: Allgemeines

Schon unter Geltung des Bundesdatenschutzgesetzes (BDSG) bedurfte es klarer Verfahrensregeln, wann und wie personenbezogene Daten nach jeweiliger Kategorie zu löschen sind. Die Sanktionsmöglichkeiten über Bußgelder der zuständigen Datenschutzbehörden waren jedoch vor Inkrafttreten der DSGVO noch überschaubar und nicht Kerngegenstand von Kontrollen bei datenschutzrechtlichen Außenprüfungen. Somit waren sie auch leichter in eine risikobasierte Kosten-/ Nutzen-Abwägung „einzupreisen“. Es konnte in aller Regel zunächst behördlicherseits eine Beanstandung und Aufforderung zur „Nachbesserung“ binnen einer in der Regel großzügig bemessenen abgewartet werden, bevor tatsächlich Bußgelder aufgerufen wurden.

Mit Inkrafttreten der DSGVO im Mai 2018 änderte sich das: Die Löschpflichten ergeben sich nun direkt aus dem EU-weiten Regelungsrahmen der dortigen Artt. 5 und 17 DS-GVO, sowie ferner aus der nationalen Umsetzungsvorschrift des BDSG in den dortigen §§ 35, 41 und 43; außerdem (exemplarisch) aus dem Gesetz zum Schutz von Geschäftsgeheimnissen (§§ 2, 7), dem Handelsgesetzbuch (insb. §§ 238, 239, 257), der Abgabenordnung (insb. §§ 146, 146a, 147a) und weiteren Fachgesetzen.

Dort ist sinngemäß geregelt, dass personenbezogene Daten nach Schutzbedürftigkeit zu klassifizieren und sodann nach bestimmten Kriterien und Zeiträumen zu löschen sind, und unter welchen Umständen ausnahmsweise die Löschung auszusetzen ist, also das „Ob“ der Löschung.

Über das „Wie“ verhalten sich die Gesetze selbst nicht, es wird insoweit im Ergebnis technikoffen auf den Stand der Technik, wie er v.a. in den einschlägigen DIN-Vorschriften abgebildet ist, Bezug genommen. Als relevante Standards sind hier zu nennen die DIN 66398 (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten), DIN 66399 (Sicherheitsstufen bei der Akten- und Datenträgervernichtung), IDPPS280 (Grundsätze ordnungsgemäßer Prüfung von Compliance-Managementsystemen), IDWRS FAIT3 (Grundsätze ordnungsgemäßer Buchführung beim Einsatz elektronischer Archivierungsverfahren) etc.

Im Grundsatz aber gilt:

Daten mit Personenbezug, die verarbeitet werden (können), obwohl eine Rechtsgrundlage hierfür nicht vorliegt, sind unverzüglich zu löschen. Die Löschfristen und -Prozesse sind im Verzeichnis der Verarbeitungstätigkeiten (VVT) als Einzelverarbeitungstätigkeit zu erstellen und fortlaufend zu aktualisieren.

Liegt keine Rechtsgrundlage vor, oder ist sie entfallen, sind die betroffenen Daten zwingend zu löschen (Art. 17 DS-GVO). Die Löschpflicht ist auch gegeben

• bei einem Wegfall der Zweckbestimmung der Verarbeitung der personenbezogenen Daten,
• bei einem Widerruf der Verarbeitungseinwilligung durch die betroffene Person,
• bei einem berechtigten Widerspruch gegen die Verarbeitung,
• bei unrechtmäßiger Verarbeitung sowie
• dann, wenn die Löschung auf einer rechtlichen Verpflichtung beruht.

Die Dokumentation folgt den Artt. 5, 30 DS-GVO im Rahmen der Führung des zuvor erwähnten VVT. Dies bedeutet, dass sowohl den Verantwortlichen selbst wie auch einen eingeschalteten Auftragsverarbeiter die entsprechende Dokumentationspflicht trifft, wobei für jedes zu dokumentierende VT-Verfahren auch eine Löschfrist festzulegen ist. Wir empfehlen eine Zusammenfassung der Auflistung der im VVT geregelten Löschfristen in einer gesonderten Anlage zum Löschkonzept.

– Teil 2: Endkontrolle und Vollzug der Löschung

Nach Ablauf von gesetzlichen Aufbewahrungsfristen ist zur Umsetzung der Löschpflicht noch ein angemessener – in der Regel jedoch enger – Sperrungszeitraum als „Prüf-/ Sicherheitskorridor“ erforderlich.

Demnach betrachtet sich der Lebenszyklus von personenbezogenen Daten aus 3 Blickwinkeln, nämlich

1. dem Blick auf die Produktivphase,
2. dem auf die Phase der Sperrung und Rechteeinschränkung (nach Ablauf der Produktivphase) und
3. schlussendlich auf die eigentliche Löschphase.

Das Löschkonzept ist keine statische Abbildung, sondern ein konstant fortlaufender eigenständiger Prozess, entlang sich wandelnder betrieblicher (Geschäfts- und sonstiger) Prozesse und neuer gesetzlicher Regelungen. So ergeben sich bspw. im Bereich der Aufbewahrungsfristen häufig Veränderungen, die umgesetzt werden müssen.

Die technische Umsetzung der fristbezogenen Löschung von entsprechend ihrer Sensibilität klassifizierten Daten sollte unbedingt schon zum Zeitpunkt deren Erhebung erfolgen und systemisch in den verarbeiteten Systemen hinterlegt werden. Es wird empfohlen, automatische Löschroutinen einzuführen, wobei vorherige Hinweis- und Warnfunktionen gewährleisten sollten, dass die Automatik der Löschroutine einem „4-Augen-Prinzip“ aus technischer und menschlicher Überwachung unterworfen ist. Die Konfigurationsmöglichkeiten und Einrichtungsparameter für automatische Löschroutinen sollten in eine gesonderte Anlage zum Löschkonzept aufgenommen werden.

Die Grundsätze des „Datenschutzes durch Technik“ aus Art. 25 DSGVO führen ebenfalls zu dem Erfordernis, schon bei der Anschaffung und Inbetriebnahme von IT-Systemen durch entsprechende Konfigurationsmöglichkeiten sicherstellen zu können, dass die personenbezogenen Daten auf Anforderung wieder vollständig aus dem System herausgelöscht werden können und darüber in rechtssicherer Weise Nachweis geführt werden kann. Auch die jeweiligen Nachweismöglichkeiten sollten in einer gesonderten Anlage zum Löschkonzept genommen werden, bspw. die Löschprotokolle der IT-Systeme, die Vernichtungsprotokolle von Dienstleistern in Bezug auf Datenträger etc.

Der Löschungsnachweis erfolgt gem. Art. 5 Abs. 2 DSGVO und hat Auswirkungen auf die rechtliche Beweislast, weil der Verantwortliche darlegen und nachweisen können muss, dass und wie er eine Löschung bzw. Datenträgervernichtung vollzogen hat.

Aus Sicht der Aufsichtsbehörden ist die Schonfrist für über die Jahre mitgeschleppte Versäumnisse spätestens seit dem Jahr 2020 vorbei. Löschkonzepte stehen im Visier von Stichprobenkontrollen und großangelegten Außenprüfungen. Sie dürften auch häufig Gegenstand von Meldungen nach dem in Kürze in Kraft tretenden Hinweisgeberschutzgesetz werden, wenn Mitarbeiter feststellen, dass über sie gespeicherte Daten noch über viele Jahre unter Verstoß gegen DSGVO-Prinzipien vorrätig gehalten werden.

Wenn ein Löschverstoß auf Umsetzungsebene geschieht, bietet sich den Aufsichtsbehörden die Möglichkeit zur Verhängung von empfindlichen Bußgeldern. Fehlt dazuhin ein Löschkonzept per se, und ist dieses nicht „lediglich“ unvollständig umgesetzt, und hält also der Verantwortliche über Jahre einen Datenbestand, für dessen Aufbewahrung ein rechtfertigender Grund nicht (mehr) vorliegt, kommt eine weitere, sanktionssteigernde Komponente bei der Bußgeldbemessung hinzu. Denn bereits das Fehlen eines Löschkonzeptes – unabhängig davon, ob tatsächlich über gesetzlich zulässige Zeiträume hinaus personenbezogene Daten gespeichert oder sonst verarbeitet worden sind, was weitere sanktionierbare Verstöße auslöst – stellt an sich schon einen DSGVO-Bußgeldtatbestand dar.

Diese Tatbestände werden inzwischen auch massiv verfolgt: Die soweit bisher bekannt gewordenen höheren „Löschpflicht-Bußgelder“ liegen bei 148 TEUR (Dänemark), 394 TEUR (Norwegen), 195 TEUR (Deutschland) und 14.5 Mio. EUR (Deutschland), wobei die letztgenannte Rekordsumme angefochten wurde, derzeit über das Kammergericht Berlin dem EuGH in Brüssel vorgelegt wurde und daher noch nicht rechtskräftig geworden ist).

– Teil 3: Bußgeldverfahren, wirksame Maßnahmen zur Vermeidung

Wir hatten zuletzt (Teil 2) über die von den Datenschutzbehörden verhängten Bußgelder berichtet. In dem Rekordfall von 14.5 Mio. EUR hatte die zuständige Behörde explizit die „Datenfriedhöfe“ in den Systemen des Verantwortlichen moniert. Das IT-System hatte in seinem Archiv eine Löschung nicht vorgesehen, und so waren über viele Jahre hinweg im datenschutzrechtlichen Sinne nicht mehr erforderliche (Verstoß Zweckbindungsgrundsatz und Grundsatz der Speicherbegrenzung), sensible (z.B. Sozialversicherungs-) Daten gespeichert und für mit den Vorgängen nicht befasste Mitarbeiter des Verantwortlichen (Verstoß need-to-know-Prinzip) einsehbar abgelegt.

Gegen einen beliebten Kommunikationsanbieter verhängte die französische Datenschutzbehörde im Dezember 2022 ein Bußgeld in Höhe von 800 TEUR, da der Anbieterüber kein Löschkonzept verfügte und auch nicht die in EG 39, S. 10 DS-GVO postulierte regelmäßige Überprüfung der Datenbestände vornahm. Aus diesem Grunde entstanden verwaiste Accounts, die zum Teil über mehrere Jahre nicht genutzt worden waren.

Die Verletzung der Datenschutzgrundsätze des Art. 5 DSGVO, wozu u.a. die Speicherbegrenzung und die Rechenschaftspflicht gehören, ist mit einem Bußgeldrisiko von bis zu 20 Mio. EUR oder 4 % des Jahresgesamtumsatzes bedroht (Art. 83 Abs. 5a DSGVO). Die Bußgeldhöhe kann sich unter anderem nach den Kategorien der unter Verletzung der einschlägigen Vorschriften weiterverarbeiteten Daten ergeben, aber auch das Fehlen von Dokumentationen einbeziehen, ferner die Anzahl der betroffenen Personen und insbesondere auch unzureichende technische und organisatorische Datenschutzmaßnahmen.

In zivilrechtlicher Hinsicht besteht über Art. 82 DSGVO die Möglichkeit, dass betroffene natürliche Personen, denen durch die unterlassene Datenlöschung oder sonstige Verstöße gegen die Verpflichtung zur Erstellung und Unterhaltung eines Löschkonzepts unmittelbare oder mittelbare Schäden entstanden sind, diese gegenüber dem Verantwortlichen geltend machen. Ihnen steht dabei eine prozessuale Privilegierung durch Beweislastumkehr zu ihren Gunsten zur Seite. Daher ist die Dokumentation eines Löschkonzepts von hoher Wichtigkeit, nicht zuletzt auch zur Beweissicherung und zur Abwehr unberechtigter Ansprüche Dritter oder seitens der Aufsichtsbehörden.

Wertvolle Orientierung geben hier – wie im Teil 1 bereits erwähnt – die DIN 66399, ferner das BSI-Grundschutzkompendium im Baustein „Löschen und Vernichten“ CON.6, das Erfordernis zur Angabe der Dauer der Datenverarbeitung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit. f DSGVO) und der Baustein 60 des Standarddatenschutzmodells der Datenschutzaufsichtsbehörden zur Löschung und Vernichtung von Daten.

Die Erstellung eines Löschkonzepts wird daher regelmäßig notwendig sein, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen.

Unser Kooperationspartner e_|s_|b data GmbH hat nun – nach dem ersten deutschen DIN-zertifizierten Hinweisgeberschutzsystem – einen weiteren Compliance-Garanten für Unternehmen und öffentliche Verwaltung entwickelt.