DAS DATENSCHUTZ-GESETZ

Speicherung, Löschung und Vernichtung von personenbezogenen Daten

Personenbezogene Daten müssen gelöscht werden, wenn ihre Kenntnis für die Erfüllung der Zwecke, für die sie erhoben worden sind, nicht mehr erforderlich ist und Aufbewahrungsfristen nicht bestehen bzw. abgelaufen sind. Daneben können die betroffenen Personen unter den Voraussetzungen des Art. 17 DSGVO eine Löschung der Daten verlangen.

Um dieser Löschpflicht jederzeit nachkommen zu können, müssen die personenbezogenen Daten identifiziert und die Stellen bzw. Verfahren, in denen sie gespeichert und verarbeitet werden, bekannt und dokumentiert sein. Zu den zu verwaltenden Daten und Verfahren gehören nicht nur die aktiven operativen Verarbeitungsverfahren, sondern auch sekundäre Datenbestände, Kopien, Backup-Daten und auch Protokolldaten über die Nutzung von IT-Systemen. Zu regeln und zu dokumentieren sind ebenfalls die Stellen im Unternehmen, die für die Daten fachlich verantwortlich und befugt sind, über die Daten zu entscheiden, z. B. über deren Aufbewahrung und Löschung (Informationseigentümer). Auch die Aufbewahrungsfristen für die Daten und das Verfahren der Löschung bzw. Vernichtung müssen geregelt werden.

Problematisch, weil u. U. sehr komplex und umfangreich, sind die Identifikation der personenbezogenen Daten, die Zuordnung der Verfahren, Rechtsgrundlagen der Verarbeitung und Speicherung und der Aufbewahrungsfristen sowie die Festlegung des Löschverfahrens (Löschregeln). Ausgangspunkt kann hier das Verzeichnis der Verarbeitungstätigkeiten sein. In diesem Verzeichnis sind die einzelnen Verarbeitungsverfahren mit ihren Datenkategorien, eventuellen sekundären Datenbeständen und Aufbewahrungsfristen schon beschrieben.

Anhand dieser Ausgangsdaten kann mit Hilfe einer Löschtabelle eine Übersicht über alle vorhandenen personenbezogenen Daten erstellt und die erforderlichen Kriterien wie Rechtsgrundlage der Speicherung, Speicherdauer, Fristbeginn und die Sicherheitsstufe für eine datenschutzgerechte Löschung/Vernichtung zugeordnet und geregelt werden. Wichtig ist hier auch die Festlegung der Löschregeln. Dazu gehört, auf welche Art und Weise die Daten gelöscht bzw. vernichtet werden sollen, z. B. aufgrund einer Einzelanordnung, Löschung oder Datenträgervernichtung oder Löschung in einem automatisierten bzw. programmierten Prozess.

Die Identifikation und Dokumentation der personenbezogenen Daten sowie die Festlegung der in der Löschtabelle genannten Kriterien sind zur Erfüllung der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO erforderlich. Die Nichtbeachtung dieser Vorschriften ist gem. Art. 83 Abs. 5 DSGVO mit Bußgeld bis zu 20 Mio. € bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens bedroht.

1. Datenspeicherung und Löschpflicht

Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet werden, wie sie für festgelegte Zwecke des Unternehmens erforderlich sind und dafür eine Rechtsgrundlage vorhanden ist. Wenn der Verarbeitungszweck entfallen ist oder die Daten für den jeweiligen Verarbeitungszweck nicht mehr erforderlich sind oder für die Verarbeitung keine Rechtsgrundlage mehr existiert, müssen die Daten grundsätzlich gelöscht bzw. die Datenträger vernichtet werden.

Personenbezogene Daten sind zu löschen

1. nach Wegfall der Rechtsgrundlage der Verarbeitung
2. nach Ablauf von Aufbewahrungsfristen
3. nach Wegfall der Erforderlichkeit der Daten für die Zweckerreichung
4. bei unrechtmäßiger Speicherung und Verarbeitung
5. nach Rücknahme einer Einwilligung (Art. 7 Abs. 3 DSGVO)
6. nach einem berechtigten Widerspruch gegen eine weitere Verarbeitung auf der Grundlage eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO (Art. 21 Abs. 1 DSGVO)
7. nach einem Widerspruch gegen eine Nutzung der Daten für Zwecke der Werbung einschließlich Werbeprofiling

Über den Zeitraum der Erforderlichkeit der Daten für den jeweiligen Unternehmenszweck hinaus können gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen oder Verjährungsfristen bestehen. Diese Fristen müssen bei der Bemessung der Dauer der Speicherung der Daten berücksichtigt werden. Daneben können in Einzelfällen besondere Umstände vorliegen, die trotz Wegfall der grundsätzlichen Erforderlichkeit der Daten eine weitere Speicherung verlangen.

Keine Löschpflicht besteht gem. § 35 BDSG für nicht automatisiert verarbeitete Daten, z. B. für Papierakten oder Mikrofiches, Mikrofilm-Jackets oder COM-Fiches, wenn die Löschung nur mit einem unverhältnismäßig hohen Aufwand möglich wäre und das Löschinteresse der betroffenen Personen als gering anzusehen ist. Dies gilt jedoch nicht, wenn die Daten unrechtmäßig verarbeitet worden sind. Die personenbezogenen Daten bzw. die Datenträger sind jedoch zu kennzeichnen, und die Verarbeitung ist gem. Art. 18 DSGVO einzuschränken.

Bei einer Löschung wegen Wegfall der Erforderlichkeit der Daten für die Zweckerreichung und Ablauf von Aufbewahrungsfristen, Rücknahme einer Einwilligung, nach einem berechtigten Widerspruch gegen eine weitere Verarbeitung, einer unrechtmäßigen Speicherung und Verarbeitung oder einem Widerspruch gegen eine Nutzung der Daten für Zwecke der Werbung einschließlich Werbeprofiling prüft der Informationsverantwortliche, ob die Daten öffentlich gemacht worden sind und entscheidet, ob die Datenempfänger gem. Art. 17 Abs. 2 DSGVO über die Löschung unterrichtet werden müssen.

2. Verantwortung für die Verarbeitung und Löschung

Für die Verarbeitung und Löschung der personenbezogenen Daten ist der Informationseigentümer verantwortlich. Informationseigentümer ist der für den Fachbereich, für den das Verarbeitungsverfahren betrieben wird, Verantwortliche oder eine andere Stelle, der die Verantwortung für das Verarbeitungsverfahren übertragen worden ist. Der Informationseigentümer wird in der jeweiligen Verfahrensbeschreibung zum Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO dokumentiert und legt die Zwecke der Verarbeitung, die zu verarbeitenden Daten, die Rechtsgrundlagen der Verarbeitung und die Speicherdauer bzw. eventuelle Aufbewahrungsfristen fest und ordnet nach dem Wegfall der Erforderlichkeit und dem Ablauf eventueller Aufbewahrungsfristen die Löschung bzw. Vernichtung der Daten und Datenträger an.

3. Rechtsgrundlagen für die Verarbeitung und Speicherung von personenbezogenen Daten

Die Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten sowie eventuelle gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen werden mit ihren Rechtsgrundlagen in der jeweiligen Verfahrensbeschreibung zum Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO dokumentiert. Soweit keine Aufbewahrungsfristen bestehen und sich die Aufbewahrung der Daten nach dem berechtigten Interesse des Unternehmens orientiert, legt der Informationsverantwortliche die Aufbewahrungsfrist nach dem berechtigten Interesse des Unternehmens unter Abwägung der Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen fest. Diese Abwägungsgründe und Speicherfristen werden ebenfalls in der jeweiligen Verfahrensbeschreibung zum Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO dokumentiert.

4. Sammlung und Lagerung des Vernichtungsguts

In Abhängigkeit von der Sensibilität und dem Schutzbedarf der Daten regelt der Informationsverantwortliche die Anforderungen an die Speicherung der Daten sowie an die Aufbewahrung von Akten und sonstigen Unterlagen und ggf. an eine vertrauliche und sichere Sammlung und Lagerung des Vernichtungsguts. Elektronische Datenträger und laufendes Vernichtungsgut werden in verschlossenen Sammelbehältern gesammelt. Umfangreichere Aktenbestände werden in verschlossenen und zutrittsgesicherten Räumen verwahrt.

5. Verantwortung für und Anordnung der Löschung/Vernichtung von personenbezogenen Daten

Bestände und Aufzeichnungen personenbezogener Daten, dürfen, soweit sie definierten Aufbewahrungsvorschriften unterworfen sind, wie z. B. Buchungsbelege eines bestimmten Jahrgangs, Gehaltslisten eines bestimmten Jahrgangs, Abrechnungen, buchungsrelevante Vorgänge etc., nur auf Anordnung des Informationsverantwortlichen gelöscht oder vernichtet werden. Der Informationsverantwortliche prüft vor der Anordnung der Löschung bzw. der Vernichtung, ob die Unterlagen oder Teile davon im Einzelfall noch über den Aufbewahrungszeitraum hinaus erforderlich sind, z. B. für die Durchführung eines Rechtsstreits oder eines Gerichtsverfahrens oder in einem Pre-Trial-Discovery Verfahren im Rechtsverkehr mit Stellen in den USA. Diese Unterlagen werden gekennzeichnet oder ausgesondert und getrennt gespeichert und verwaltet.

6. Durchführung der Löschung bzw. Vernichtung

In der DIN 66399-1 werden die zu vernichtenden Daten je nach dem Grad ihrer Schutzbedürftigkeit in drei Schutzklassen eingeteilt. Die Schutzklasse bezeichnet den Grad der Schutzbedürftigkeit der Daten. Personenbezogene Daten unterliegen einem hohen Schutzbedarf und sind in Schutzklasse zwei einzuordnen. Dazu gehören Daten, deren unberechtigte Weitergabe erhebliche Auswirkungen auf das Unternehmen hätte und gegen vertragliche Verpflichtungen oder Gesetze verstoßen könnte oder bei deren unberechtigter Weitergabe die Gefahr bestehen könnte, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird.

Lediglich bei Daten, die einem sehr hohen Schutzbedarf und besonderen Geheimhaltungspflichten unterliegen, ist nach Schutzklasse drei zu verfahren.

Für die Durchführung der Vernichtung sind insgesamt sieben Sicherheitsstufen definiert. Der Schutzklasse zwei sind die Sicherheitsstufen drei, vier und fünf zugeordnet. Die Sicherheitsstufen gliedern sich nach dem für die Rekonstruktion der Daten erforderlichen Aufwand. In der Norm wird die Stufe drei für Datenträger mit sensiblen und vertraulichen Daten und die Stufe vier für Datenträger mit besonders sensiblen und vertraulichen Daten empfohlen.

Je nach Art des Datenträgers, z. B. Papier, Film, optische, magnetische oder elektronische Datenträger sind in der DIN 66399-2 Grenzwerte für Materialteilchenflächen festgelegt, die bei einer Vernichtung nicht überschritten werden dürfen. So ist z. B. für Papier in der Sicherheitsstufe P-3 eine maximale Größe von 320 mm2 oder eine maximale Streifenbreite von 2 mm zulässig.

Der Informationseigentümer regelt für die Daten und für das jeweilige Vernichtungsgut das Verfahren der Löschung bzw. der Vernichtung und legt für jede Art von analogen und digitalen bzw. elektronischen Datenträgern die Schutzklasse und die Sicherheitsstufe nach DIN 66399 fest.

Für die Löschung von elektronischen Datenträgern werden sichere Löschprogramme bzw. Löschverfahren nach den Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik eingesetzt, oder die Datenträgerwerden werden physisch zerstört. Unzulässig, weil für eine sichere Löschung nicht ausreichend, ist ein Verschieben der Daten in den Papierkorb, ein Löschen mit Bordmitteln des Betriebssystems, z. B. mit der Löschtaste, oder durch einfaches Überschreiben oder ein Formatieren der Datenträger. Datenträger mit besonders sensiblen Daten werden vor einer Weitergabe an ein Entsorgungsunternehmen sicher gelöscht.