Blog, Digitale Transformation

STRG + A + ENTF. Wie man gemäß DSGVO ein Löschkonzept erstellt

Was ein Löschkonzept ist, wofür man es braucht und wie man es erstellt wird in diesem Artikel erklärt.

Die rechtskonforme Löschung von Daten gemäß DSGVO ist der Lackmustest des Datenschutzes. Denn nur, wenn ein Unternehmen die Art der gespeicherten Daten kennt, den Zweck der Daten bestimmt, die Rechtsgrundlage benannt hat und die Datenbanken schließlich so designt sind, dass ein Löschen tatsächlich möglich ist, können personenbezogene Daten rechtskonform gelöscht werden.

Rechtliche Grundlagen

Ausgangspunkt der Löschung ist entweder das Recht derer, über die Daten verarbeitet werden, auf Löschung nach Art. 17 DSGVO, oder der Wegfall einer Rechtfertigung der Datenverarbeitung nach Art. 6 DSGVO.

Wegfall einer Rechtfertigung

Jede Datenverarbeitung personenbezogener Daten bedarf einer Rechtfertigung. Das ist Ausdruck des Rechts auf informationelle Selbstbestimmung. Kurz gesagt, soll jeder Mensch wissen, wer, wie und wozu Daten über ihn verarbeitet. Daraus hat sich das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt entwickelt. Das besagt, dass jede Verarbeitung personenbezogener Daten verboten ist, sofern sich nicht im Einzelfall eine Rechtfertigung findet. Der Begriff Verarbeitung ist dabei weit zu verstehen, so dass bereits das Erheben und Speichern Verarbeitungsvorgänge sind. In der Konsequenz dürfen personenbezogene Daten nicht oder nicht mehr gespeichert werden, für die es keine gesetzliche Erlaubnis gibt.

Verdeutlicht werden kann dies am Beispiel eines Onlineshops. Ein Onlineshop muss zumindest die Liefer- und Rechnungsadresse, den Inhalt der Bestellung sowie die Zahldaten des Kunden verarbeiten. Hierzu sieht die DSGVO in Art. 6 Abs. 1 lit. b DSGVO eine Erlaubnis vor. Danach dürfen Daten verarbeitet werden, die zur Durchführung eines Vertrages erforderlich sind. Sofern allerdings der Vertrag erfüllt ist und auch keine weiteren Rechtfertigungsgründe ersichtlich sind, besteht keine Erlaubnis mehr zur Speicherung der Daten. Diese müssen folglich gelöscht werden. Um personenbezogene Daten löschen zu können muss ein Unternehmen daher genau wissen, welche Daten auf welcher Rechtsgrundlage verarbeitet werden.

Zweckerfüllung

Damit ist auch bereits einer der wesentlichen Grundsätze der Datenverarbeitung des Datenschutzes, der Grundsatz der Zweckbindung, umschrieben. Personenbezogene Daten dürfen danach nur soweit und solange verarbeitet werden, wie sie zur Erfüllung eines im Voraus definierten Zwecks erforderlich sind. Eine weitergehende Speicherung der Daten, um sie zu einem anderen Zweck zu verarbeiten, bedarf wiederum einer gesetzlichen Grundlage. Das Speichern der Daten auf Vorrat, also für einen möglichen zukünftigen Zweck ist unzulässig. Im Grundsatz sind die personenbezogenen Daten auch dann zu löschen, wenn der mit ihnen verfolgte Zweck erfüllt ist. Zum Löschen von personenbezogenen Daten ist es daher erforderlich, dass die Verarbeitungszwecke im Vorfeld definiert sind.

Recht auf Löschung

Neben der vorgenannten Regellöschung kann eine betroffene Person, deren Daten verarbeitet werden, auch die Löschung ihrer Daten verlangen. Dieses Recht hat sie, wenn einer der Tatbestände in Art. 17 Abs. 1 DSGVO erfüllt ist. Dazu zählen insbesondere die Zweckerfüllung (lit. a), der Widerruf der Einwilligung (lit. b) oder die Unrechtmäßigkeit der Datenverarbeitung (lit. d). Dieses Recht kann unter bestimmten Voraussetzungen jedoch ausgeschlossen sein. Die wichtigsten Fallgruppen sind das Bestehen einer Aufbewahrungspflicht und die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Aufbewahrungspflichten gibt es insbesondere in steuer- und handelsrechtlichen Vorschriften. Darunter können zum Beispiel E-Mails fallen. Der zweite Fall führt dazu, dass personenbezogene Daten, die zum Zwecke der Erfüllung eines Vertragsverhältnisses verarbeitet werden, wohl erst nach Ablauf der gesetzlichen Verjährungsfrist von Ansprüchen aus dem Vertragsverhältnis gelöscht werden müssen. Innerhalb dieser Frist dürfen die Daten jedoch auch nur zum Zweck der Aufbewahrung verarbeitet werden. Für jedes Datum ist anhand solcher Kriterien eine Löschfrist zu bestimmen. Die Löschfristen müssen auch in der eigenen Verarbeitungsübersicht und den Datenschutzerklärungen angegeben werden.

Die Pflicht zur Löschung kann sich daher aus unterschiedlichen Gründen ergeben. Der Löschung können aber Umstände, insbesondere Aufbewahrungspflichten, entgegenstehen.

Erstellen eines Löschkonzepts nach DSGVO

Um nun einerseits den Aufbewahrungsfristen und andererseits dem Anspruch auf Löschung von Daten entsprechen zu können, wird ein Löschkonzept benötigt. Dieses listet alle vorhandenen personenbezogenen Daten auf, benennt ihre Aufbewahrungs- und Löschfristen und gibt Auskunft über Löschroutinen. Wie man ein solches Löschkonzept erstellt und welche Besonderheiten für Softwareprodukte berücksichtigt werden müssen, erklären wir in einer Schrittanleitung.

Auflisten aller personenbezogenen Daten

Zu Beginn verschafft man sich einen Überblick über alle vorhandenen personenbezogenen Daten. Diese können vielfältig und an verschiedenen Stellen verteilt sein. Um nichts zu vergessen, sollte man alle Abteilungen in einer Firma befragen und deren eingesetzte IT-Systeme prüfen. Hat man die personenbezogenen Daten lokalisiert müssen diese genauer untersucht und folgende Fragen beantwortet werden:

Um welche Kategorie von personenbezogenen Daten handelt es sich und sind darunter besondere Daten, wie z. B. biometrische oder genetische?
Wie lange sind die Daten erforderlich, um z. B. einen Vertrag erfüllen zu können? Wann sollte ich sie also löschen?
Unterliegen die Daten Aufbewahrungspflichten, z. B. aus dem HGB? Wie lange muss ich die Daten also aufbewahren?
In welchen Systemen und Datenträgern sind die Daten gespeichert?
Bekomme ich Daten aus anderen Systemen oder gebe ich Daten an andere Systeme weiter?

Diese Bestandsaufnahme der vorhandenen personenbezogenen Daten ist für das Löschkonzept schon die halbe Miete.

Gruppierung der Daten nach Aufbewahrungsfrist

Nachdem alle Daten aufgelistet und deren Aufbewahrungsfristen festgestellt wurden, gruppiert man die Daten mit gleichen Fristen zu einer Kategorie. Dabei sollten besondere personenbezogene Daten in eigene Kategorien geordnet werden, da für diese verschärfte Regeln gelten. Auch Daten, die im Rahmen einer Auftragsverarbeitung gespeichert werden, sollten eine eigene Kategorie erhalten. Unter Auftragsverarbeitung versteht man die Datenverarbeitung durch einen Dienstleister, der die Daten ausschließlich für Zwecke des Kunden verarbeitet.

Festlegen von Löschregeln pro Kategorie

Für jede Datenkategorie können nun Löschregeln festgelegt werden. Diese definieren, wie lange ein Datensatz ab dem Erstellungsdatum aufbewahrt werden muss und darf. Eine Löschregel besteht aus einem Startzeitpunkt, z. B. das Datum der Aufnahme von personenbezogenen Daten im Rahmen eines Kaufvertrags, und einer Löschfrist, innerhalb derer die Daten gelöscht werden müssen.

Berücksichtigung der Archivierung von Daten

Auch wenn Daten nicht mehr direkt für die Bearbeitung von Geschäftsprozessen benötigt werden, kann man verpflichtet sein, diese aufzubewahren. Zu diesem Zweck werden die Daten archiviert, wobei es zu einer Zweckänderung der Aufbewahrung der Daten kommt. Wie lange die Daten aufbewahrt werden müssen, legen gesetzliche Bestimmungen, wie z. B. die Grundsätze zur ordnungsgemäßen Buchführung, fest. Deren Aufbewahrungsfristen müssen ebenfalls in den Löschregeln berücksichtigt werden. Daraus ergeben sich dann die regulären Löschfristen.

Berücksichtigung von Sonderfällen

Neben den regulären Löschfristen gibt es auch Sonderfälle, bei denen Daten früher gelöscht oder länger aufbewahrt werden müssen. So kann sich z. B. eine betroffene Person an ein Unternehmen wenden und die Löschung seiner Daten fordern, so dass diese vor Ablauf der Frist gelöscht werden müssen. Es kann aber auch im Rahmen von Rechtsstreitigkeiten dazu kommen, dass die strittigen Datensätze länger aufbewahrt werden müssen. Ein Löschkonzept muss auch diese Fälle und die daraus resultierenden Maßnahmen berücksichtigen.

Umsetzung der Löschregeln

Die definierten Regeln und Sonderfälle müssen zu guter Letzt auf die vorhandenen personenbezogenen Daten angewendet werden. Für Softwaresysteme heißt dies, dass regelmäßige Löschroutinen die zu löschenden Datensätze identifizieren und löschen. Hierbei muss der Datensatz nicht zwingend vollständig aus dem System entfernt werden. Es kann auch ausreichen, die personenbezogenen Daten zu anonymisieren.

Wichtig ist es dabei, die Löschregeln auf alle vorhandenen Datensätze anzuwenden. Meist bestehen Softwaresysteme nicht nur aus einem Produktivsystem. Es müssen folglich auch Testumgebungen und Sicherungskopien bei der Löschung der Daten berücksichtig werden. Besonderes Augenmerk sollte auch auf Logdateien gelegt werden, welche ebenfalls personenbezogenen Daten enthalten. Zum Nachweis des Löschkonzepts sollte die Ausführung der Löschregeln protokolliert werden.

Fazit

Das Erarbeiten eines Löschkonzepts gibt einem Gelegenheit sich einen Überblick über die vorhandenen Daten zu verschaffen. Wichtig dabei ist, die Daten aus allen Systemen und alle Datenkategorien zu erfassen. Wer sich diese Arbeit macht, erfüllt nicht nur die Pflicht zur Löschung der DSGVO, sondern erarbeitet automatisch auch Rechtsgrundlagen und Zwecke der Verarbeitung von Datensätzen. Die investierte Zeit lohnt sich damit gleich mehrfach.

Beitrag von Markus Steffen und Julia Hartung

Markus Steffen

Porträt von Andreas Witsch mit dem Titel seines Vortrags auf der SEACON

Dos and Don’ts bei Cloud-Migrationen

Die Cloud bietet Softwarebetreibern ein ganzes Bündeln an Vorteilen. Was wichtig ist, damit die Cloud-Migration gelingt, weiß Andreas Witsch.

Titelbild der OOP digital 2023 mit Vortragstitel und Foto unseres Speakers Jens Becker

API-Hacking am Beispiel von REST

IT-Security-Administrator Jens Becker nimmt uns in diesem Vortrag mit in die Welt des API-Hackings am Beispiel der REST-Technologie.