Besser löschen (Teil 1): Wie man den Datenbestand datenschutzkonform hält

Download PDF

(c) BBH

Datenschutz ist hochaktuell. In Bayern hat das Landesamt für Datenschutz (BayLDA) jüngst angekündigt, in den nächsten Wochen größere Unternehmen und ihre Praktiken beim Löschen von Daten unter die Lupe zu nehmen, schwerpunktmäßig bei SAP-Systemen. Im Fokus soll hierbei das datenschutzkonforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen sein. Dafür ist geplant, den Einsatz von SAP-Software bei Unternehmen hinsichtlich der vorhandenen Module bzw. Datenlösch-Applikationen zu kontrollieren und die erforderlichen Löschkonzepte zu begutachten.

Die europäische Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679), die seit dem 25.5.2018 gilt (wir berichteten), enthält in Art. 5 Abs. 1 Buchst. e) den Grundsatz der Speicherbegrenzung. Die spiegelbildliche Pflicht, personenbezogene Daten zu löschen, ergibt sich aus Art. 17 DS-GVO. Eng verknüpft ist hiermit das Recht des Betroffenen zur Einschränkung der Verarbeitung (Art. 18 DS-GVO).

Aber worum geht es genau? Die Notwendigkeit zur Löschung und Einschränkung bezieht sich auf alle personenbezogenen Daten (z.B. von Kunden und Mitarbeitern), welche insbesondere in IT-Systemen verarbeitet werden. Personenbezogen sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DS-GVO) – also nicht nur Name, Anschrift, Telefonnummer und E-Mail-Adresse, sondern auch solche Informationen, die nur mittelbar Rückschluss auf eine Person zulassen, wie beispielsweise die kundenspezifische Vertragsnummer, Zählernummer und die Bewegungsdaten aus Messsystemen.

All diese Daten sollen nach den Vorgaben der DS-GVO in einer Form gespeichert werden, welche die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Länger dürfen sie nur dann gespeichert werden, wenn dies beispielsweise zur Einhaltung gesetzlicher Aufbewahrungspflichten notwendig ist. Dann ist der Zugriff jedoch einzuschränken bzw. – nach der Terminologie des alten Bundesdatenschutzgesetzes (BDSG) – zu sperren. Ist auch die Aufbewahrungspflicht abgelaufen, sind die Daten zu löschen. Ein Beispiel: Hat ein Stromkunde seinen Liefervertrag mit dem Stromversorger gekündigt, sind wesentliche Daten der Vertragsbeziehung zur Erfüllung von Aufbewahrungspflichten noch für weitere zehn Jahre zu speichern. Bereits nach Ablauf weniger Jahre sind die Daten jedoch im Zugriff zu sperren, so dass nur noch die Mitarbeiter auf die personenbezogenen Daten zugreifen können, die diese wirklich benötigen. Denn vom Grundsatz her ist mit der Kündigung der Zweck entfallen, der es rechtfertigt, die Kundendaten zu verarbeiten.

Was bedeutet „Löschen“? Gelöscht sind Daten dann, wenn sie derart irreversibel verändert werden, dass sie nach „dem Löschvorgang weder verwendet noch rekonstruiert werden können. „Sperren“ heißt dagegen, Daten in IT-Systemen so zu kennzeichnen, dass sie nur noch durch einen definierten Personenkreis und zu bestimmten Zwecken für die Verarbeitung im IT-System zur Verfügung stehen. Im Sinne der DS-GVO sind gesperrte Daten damit noch nicht gelöscht.

Um die Anforderungen der DS-GVO zu erfüllen, bedarf es eines Lösch- und Sperrkonzepts, welches beschreibt, nach welchen Fristen die verschiedenen Datenarten zu löschen und zu sperren sind. Sind diese Lösch- und Sperrregeln festgelegt, können sie in den abbildenden IT-Systemen implementiert werden.

Wie ein solches Lösch- und Sperrkonzept aufgebaut werden kann, erläutern wir in unserem zweiten Teil der Serie.

Ansprechpartner
BBH: Jan-Hendrik vom Wege/Alexander Bartsch/Thomas Schmeding
BBHC: Dr. Andreas Lied/Dr. Karina Appelmann