Löschkonzept (EU-DSGVO) – Recht auf Vergessenwerden

Eine zentrale Forderung im Datenschutzrecht ist Recht auf Vergessenwerden, das heißt das Löschen von personenbezogenen Daten, wenn deren Verarbeitung nicht mehr erforderlich ist. Mit einem Löschkonzept gemäß EU-DSGVO soll sichergestellt werden, dass Betroffene vor der nicht rechtmäßigen Verwendung ihrer Daten geschützt werden. Die Leitlinie zur Entwicklung eines Löschkonzepts nach der EU-DSGVO im Überblick.

Recht auf Vergessenwerden: Löschen gemäß EU-DSGVO

Hackerangriffe, Datendiebstahl, Datenmissbrauch – immer wieder wird durch verschiedene Skandale deutlich, dass persönliche Daten einen hohen emotionalen und ökonomischen Wert aufweisen. Auch wenn in der Konsequenz vorsichtiger mit den eigenen Daten umgegangen wird, lässt es sich kaum vermeiden, dass diese herausgegeben und verarbeitet werden.

Um auf europäischer Ebene den Schutz von Daten sicherzustellen, hat die Europäische Union (EU) die EU-Datenschutz-Grundverordnung (EU-DSGVO) erlassen. Diese gilt seit dem 25. Mai 2018 und etabliert ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU – besitzen die Maßnahmen doch unmittelbare Gültigkeit für alle Mitgliedstaaten.

Durch das Löschen von personenbezogenen Daten gemäß Datenschutzrecht soll sichergestellt werden, dass Betroffene vor der nicht rechtmäßigen Verwendung ihrer Daten geschützt werden.

Von Bedeutung beim Löschkonzept sind insbesondere die folgenden Gesetzesgrundlagen:

  1. Die Forderung nach allgemeinen Löschregeln und deren Umsetzung kann aus Artikel 5 abgeleitet werden, wobei sich diese aus den Prinzipien Zweckbindung, Datenminimierung und Speicherbegrenzung ergeben.
  2. Eine Verarbeitung inklusive Speicherung ist gemäß Artikel 6 nur zulässig, wenn eine Rechtsgrundlage besteht.
  3. Beim Vorliegen von bestimmten Bedingungen kann gemäß Artikel 17 – Recht auf Vergessenwerden – eine Löschung verlangt werden.
  4. Auf Einzelebene muss gemäß Artikel 18 die Aussetzung von der Löschung möglich sein.

Denkbar ist, dass sich im Zeitverlauf Änderungen für die Rechtsgrundlage der Verarbeitung sowie der Zulässigkeit der Speicherung ergeben – die Aufgabe „Löschen“ bleibt aber bestehen. Wird dieses Recht auf Vergessenwerden nicht umgesetzt, werden Verstöße von den Aufsichtsbehörden mit Geldbußen geahndet, wobei sich diese bis auf 20.000.000 EUR oder 4 % des weltweiten Jahresumsatzes belaufen können.

In der Praxis gibt es allerdings häufig Umsetzungsdefizite bei den rechtlichen Löschvorgaben. Entsprechend ist es sinnvoll, dass jede Organisation Löschkonzepte aufsetzt und diese im Unternehmensalltag implementiert. Ein Löschkonzept beschreibt dabei ein auf ein spezifisches Unternehmen individuell ausgestaltetes System, welches unter Berücksichtigung der bestehenden Verfahren und Prozesse das Vorgehen definiert, wie und wann personenbezogene Daten zu löschen sind.

Bezüglich der Umsetzung des Rechts auf Vergessenwerden kann nicht auf die EU-DSGVO zurückgegriffen werden, da diese ein Verfahren wie ein Löschkonzept im Detail nicht regelt – als Best Practice hat sich jedoch die DIN 66398 bewiesen. Diese wurde im Mai 2016 veröffentlicht und trägt den Namen „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“. In dieser DIN-Norm können Empfehlungen zu Inhalt, Aufbau und notwendigen Verantwortlichkeiten einer Löschkonzeption entnommen werden.

Personenbezogene Daten im Bankenumfeld

Gemäß der Definition fallen unter personenbezogene Daten alle Informationen, die sich direkt oder indirekt mithilfe anderer Quellen einer einzelnen Person zuordnen lassen. So lässt beispielsweise eine allein stehende Kontonummer noch keinen Rückschluss auf einen Kunden zu, mittels einer Kontenliste, die Vor- und Nachname enthält, kann diese jedoch eindeutig dem/der Kontoinhaber/-in zugeordnet werden. Wichtig ist, dass hiervon nur natürlich Personen betroffen sind. Einzelangaben zu juristischen Personen sind lediglich im Fokus, wenn sich die Angaben auf die dahinter stehende natürliche Person beziehen.

Beispiele für personenbezogene Daten im Bankenumfeld sind:

  1. Name, Vorname, Geburtsdatum
  2. Privatanschrift, Telefonnummer, E-Mail-Adresse
  3. Personalnummer, Sozialversicherungsnummer
  4. Kontonummer, Verbundnummer, Kreditkartendaten
  5. Standortdaten
  6. IP-Adresse
  7. Physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale

Zu den personenbezogenen Daten gehören auch pseudonymisierte Daten, sollten diese zur erneuten Identifizierung verwendet werden können. Nicht mehr als personenbezogene Daten gelten ausschließlich anonymisierte Daten, für die keine Umkehr mehr möglich ist.

Personenbezogene Daten müssen unabhängig von der zur Datenverarbeitung verwendeten Technik geschützt werden – betroffen ist die automatisierte wie auch die manuelle Prozessierung. Ebenfalls ist nicht relevant, ob die Daten zum Beispiel in einem IT-System, mittels Videoüberwachung oder auf Papier gespeichert sind – in allen Fällen gelten die Datenschutzbestimmungen der EU-DSGVO.

Generelle Leitlinie zur Erstellung eines Löschkonzepts

Da ein Löschkonzept nicht nur unternehmensspezifisch ist, sondern sich auch zwischen verschiedenen Abteilungen unterscheiden kann, gibt es kein universelles Muster hierfür. Es empfiehlt sich, folgende Punkte bei der Erstellung eines Löschkonzepts zu berücksichtigen:

  1. Kategorisierung von Daten
    Da es in der Praxis sehr aufwendig wäre, für jeden einzelnen Datensatz eine individuelle Löschung zu definieren, wird eine Kategorisierung vorgenommen: Der komplette Bestand an personenbezogenen Daten ist in einzelne Datenarten zu gliedern, wobei jede Datenart Inhalte mit einheitlichem rechtlichem oder fachlichem Zweck umfasst. Beispiele hierfür sind Stammdaten, Bewerbungsdaten, Zahlungsverkehrsdaten oder auch wirtschaftliche Verhältnisse.
  2. Definition von Löschregeln
    Für jede Datenart muss eine Löschregel festgelegt werden, wobei diese aus einem Startzeitpunkt und einer Löschfrist besteht. Wichtig ist, dass der Startzeitpunkt genau konkretisiert und begründet wird: zum Beispiel durch den Tag der Kontoschließung oder das Ende des Arbeitsverhältnisses.

      •      Gilt eine gesetzliche Aufbewahrungsfrist als Grundlage, muss die konkrete Norm angegeben werden – so zum Beispiel bei Buchungsbelegen Paragraf 147 Absatz 1 Nummer 3 sowie Absatz 3, 4 Abgabenordnung (zehn Jahre ab Ende des Kalenderjahres, in dem der Buchungsbeleg entstanden ist) oder bei Handelsbriefen Paragraf 257 Absatz 1 Nummer 2, 3 sowie Absatz 4, 5 Handelsgesetzbuch (sechs Jahre ab Ende des Kalenderjahres, in dem der Handelsbrief empfangen oder abgesendet wurde).
      •      Basiert die Löschfrist nicht auf einer gesetzlichen Aufbewahrungsfrist, muss die Überlegung erläutert werden, auf der die Speicherfrist basiert.
  3. Definition des Löschverfahrens
    Pro Löschregel gilt es zu definieren, wie die konkrete Löschung ausgestaltet werden soll. Zu beachten sind insbesondere folgende Überlegungen:

      •      Periodizität der Löschung: Neben der regelmäßigen Löschung – zum Beispiel einmal pro Jahr – muss es die Möglichkeit für eine anlassbezogene Löschung geben. Dies kann der Fall sein, wenn ein Unternehmen rechtswidrig Daten erhoben hat, ohne dass hierfür jemals eine rechtliche Grundlage existierte, oder die Aufsichtsbehörde die Löschung außerhalb der sonst geltenden Frist anweist.
      •      Mechanismus der Löschung: Die Löschung kann automatisiert durch technische Löschroutinen erfolgen, wobei die Löschfristen im System hinterlegt sind und dieses eigenständig löscht. Alternativ kann die Löschung manuell angestoßen werden. In diesem Fall muss definiert werden, wer für die Initiierung der Löschung verantwortlich ist und wie die Umsetzung sichergestellt wird (zum Beispiel durch interne Anweisungen).
      •      Dauer der Löschfrist: Werden die in einem spezifischen System zu löschenden Daten noch in weiteren Systemen gespeichert, kann die Löschfrist verkürzt werden, da eine frühzeitige Löschung möglich ist.

Zusätzliche Herausforderungen

Die Projekterfahrung in Bezug auf das Recht auf Vergessenwerden zeigt, dass primär die nachfolgenden Aspekte berücksichtigt werden müssen:

  1. Verantwortlichkeit
    Jede Organisation braucht eine/-n Datenschutzbeauftragte/-n, der sich um das Thema Löschung kümmert. Zusätzlich empfiehlt sich ein/-e Stellvertreter/-in, sollte bei einer Anfrage eine Reaktion innerhalb weniger Stunden nötig werden. Hierbei sollte die Anforderung des Aussetzens von Löschungen auf Einzelpersonenebene aufgrund von rechtlichen Fragestellungen organisatorisch geregelt werden.
  2. Löschen in Archiven
    Erfolgt eine physische oder digitale Archivierung einer Anwendung, ist diese im Rahmen der Löschung zu berücksichtigen. Zusätzlich ist aufgrund der Anforderungen aus der EU-DSGVO zu prüfen, inwieweit technisch auf Einzelpersonenebene in Archiven gelöscht werden kann.
  3. Unstrukturierte IT-Systeme
    Ebenfalls zu löschen sind personenbezogene Daten, die zum Beispiel in Dokumenten auf dem Fileshare, in einem E-Mail-Programm oder auf einer lokalen Festplatte gespeichert sind. Da sich eine zyklische Löschung kaum über automatisierte Routinen abbilden lässt, bedarf es organisatorischer Prozesse und Anweisungen sowie entsprechender Schulungen und regelmäßiger Überprüfungen durch die/den Datenschutzbeauftragte/-n.
  4. Löschen bei Auftragsverarbeitern
    Sobald die Daten bei externen Dienstleistern gespeichert werden, ist zu definieren, wie und wann die Löschung dort konkret umgesetzt wird.
  5. Löschprotokoll
    Um im Zweifelsfall einen Nachweis der Löschung vorliegen zu haben, muss zwingend eine Protokollierung erfolgen.

Fazit: Löschkonzept – ohne geht es nicht mehr

Die Anfertigung einer umfassenden Löschkonzeption ist nicht einfach, aber notwendig. Oftmals stellen die historisch gewachsene IT-Infrastruktur sowie die in allen Bereichen anfallenden personenbezogenen Daten ein Unternehmen vor große Herausforderungen.

Das Recht auf Vergessenwerden ist komplex – die Unterstützung der ganzen Organisation ist gefordert. Empfohlen wird eine möglichst zeitnahe Erstellung – wird mit dem Löschkonzept doch eine wesentliche Grundlage für die Datenschutzkonformität eines Unternehmens geschaffen. Insbesondere die IT-Abteilung sollte so früh wie möglich eingebunden werden, da diese nach der Konzeption die technische Umsetzung vornimmt.

Ein Unternehmen kann zudem auf Widerstand in einzelnen Fachbereichen stoßen, da diese befürchten, dass wichtige Daten zu früh gelöscht werden und weil ein Löschkonzept – parallel zur eigentlichen Tätigkeit – eine weitere Belastung darstellt. Entsprechend ist eine intensive und frühzeitige Abstimmung zwischen Datenschutzbeauftragten, Fachbereichen und sonstigen Projektbeteiligten unabdingbar.

Sowohl in der Konzeptionsphase als auch bei der praktischen Umsetzung kann es sinnvoll sein, einen externen Dienstleister einzubeziehen, der über nötiges Fachwissen wie auch Erfahrung verfügt. So sind es sorgfältige Planung, Struktur und Arbeitsaufteilung, die zum Erfolg führen.

Sprechen Sie uns gerne an!

Samuel Isenschmid / Autor BankingHub

Samuel Isenschmid

Senior Manager Office Berlin

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach