Besser löschen (Teil 2): Wie man ein sauberes Lösch- und Sperrkonzept erstellt

Download PDF

(c) BBH

Bevor man ein Lösch- und Sperrkonzept erstellt, muss man sich erst einmal intensiv mit der Frage auseinandersetzen, in welchen Prozessen und in welchen IT-Systemen personenbezogene Daten verarbeitet werden, zu welchen Zwecken und wie lange. Dabei ist zu beachten, dass das Unternehmen personenbezogene Daten nicht nur ad hoc löschen können muss, wenn z.B. ein betroffener Kunde oder Mitarbeiter das berechtigterweise verlangt. Die Datenbestände des Unternehmens sind vielmehr auch regelmäßig um personenbezogene Daten zu bereinigen, für deren Verarbeitung kein berechtigter Zweck mehr besteht und die keinen gesetzlichen Aufbewahrungspflichten (mehr) unterliegen.

Für ein Projekt zur Erstellung und Umsetzung eines Löschkonzepts sollte man sich hinreichend Zeit nehmen. Allein die Definitionsphase, also die Identifikation aller relevanten Prozesse und IT-Systeme, in denen personenbezogene Daten verarbeitet werden, kann je nach Größe des Unternehmens und der Komplexität der IT-Systeme mehrere Monate in Anspruch nehmen. Wertvolle Grundlage für die Identifikation der Datenflüsse und Verarbeitungszwecke bildet stets das Verzeichnis von Verarbeitungstätigkeiten.

Hilfestellung für die Erstellung eines Löschkonzeptes gibt die DIN 66398, die auf dem Prinzip basiert, dass für jede Datenart genau eine Löschregel zu definieren ist.

In einem ersten Schritt werden die in den einzelnen Prozessen verwendeten Datenbestände erfasst und spezifische Datenarten daraus abgeleitet.

Anschließend werden den Datenarten, z.B. den Stammdaten, die dazugehörigen Datenobjekte, wie Vorname, Nachname und Anschrift, zugeordnet. Diese Zuordnung erfolgt unter Berücksichtigung der organisationsspezifischen Gegebenheiten, da die einzelnen Datenobjekte, je nach Geschäftsprozess, unterschiedlichen Datenarten zugeordnet werden können. Für all die so ermittelten Datenarten sind dann Regellöschfristen zu ermitteln. Hierzu wird in einem ersten Schritt untersucht, ob in einschlägigen gesetzlichen Vorgaben eine Löschfrist für die jeweilige Datenart angegeben ist. Diese wird sodann als Regellöschfrist für diese Datenart übernommen. Anschließend wird überprüft, ob in sonstigen Rechtsvorschriften Anhaltspunkte oder Kriterien vorgegeben sind, bis wann welche Datenart gelöscht werden muss.

Um die Komplexität des Konzeptes zu reduzieren und die spätere Umsetzung zu erleichtern, werden Standardlöschfristen verwendet. In einer Standardlöschfrist werden Löschfristen, die vergleichsweise nah beieinander liegen, zusammengefasst.

Da Löschregeln neben der Löschfrist auch einen Startzeitpunkt benötigen, ab welcher die Löschfrist zu laufen beginnt, werden zur Bildung der Löschklassen drei fiktive Startzeitpunkte verwendet:

  • Erhebung der personenbezogenen Daten,
  • Ende eines Vorgangs und
  • Ende der Beziehung zum Betroffenen.

Daraus ergibt sich eine Matrix, in welche die jeweiligen Datenarten eingeordnet werden. Aus Gründen der Übersichtlichkeit sollten in der Matrix alle Phasen des Lebenszyklus von Daten abgebildet werden, also die Aktiv-, die Sperrphase sowie die Löschung. Auf Basis dieser Matrix werden in einem letzten Schritt die Lösch- und Sperrfristen für die jeweilige Datenart unter Festlegung eines konkreten Startzeitpunktes formuliert.

Eine ausformulierte Löschregel kann danach lauten: 11 Jahre nach dem Schluss des Kalenderjahres, in dem der Stromliefervertrag gekündigt wurde, werden die Stammdaten des Betroffenen gelöscht. Drei Jahre nach dem Schluss des Kalenderjahres, in dem der Stromliefervertrag gekündigt wurde, werden die Stammdaten des Betroffenen bereits gesperrt.

Stets ist zu beachten, dass personenbezogene Daten für verschiedene Zwecke verarbeitet werden können und damit unterschiedlichen Lösch- und Sperrregeln unterliegen. Hat beispielsweise ein Kunde seinen Vertrag gekündigt, aber eine Einwilligung zum Erhalt weiterer E-Mail-Werbung aufrecht erhalten, dann darf ein Unternehmen die E-Mail zwar ab einem bestimmten Zeitpunkt nicht mehr für die Vertragsdurchführung nutzen, jedoch für einen bestimmten Zeitraum noch für Werbezwecke.

Wesentlich ist, dass das Lösch- und Sperrkonzept in die Aufbau- und Ablauforganisation des Unternehmens eingegliedert und regelmäßig überprüft wird. Damit in den IT-Systemen auch tatsächlich gelöscht werden kann, sollte bei jedem Einkauf von IT-Lösungen darauf geachtet werden, dass sie über eine Löschfunktionalität verfügen. Optimalerweise stellt der Softwareanbieter bereits mit Auslieferung der Software Angaben für ein Sperr- und Löschkonzept zur Verfügung. Verantwortlich bleibt aber immer das Unternehmen, das die personenbezogenen Daten in den IT-Systemen verarbeitet – also man selber.

Ideal für die Energiebranche ist eine Excel-basierte Löschmatrix, die typische von Energieversorgungsunternehmen verarbeitete Datenarten und die für diese Datenarten geltenden Regellöschfristen enthält. Ein solches Excel-Tool beinhaltet darauf aufbauend Vorschläge für Standardlösch- und Sperrfristen, die aus den Regellöschfristen und den Erfahrungen, wie lange Datenarten im Regelprozess im Energieversorgungsunternehmen benötigt werden, abgeleitet wurden. Die im Excel-Tool vorausgefüllten Standardlösch- und Sperrfristen können an die unternehmensindividuellen Gegebenheiten angepasst werden und dienen somit als Basis zur Erstellung eines unternehmensindividuellen, datenschutzkonformen Löschkonzeptes.

Ansprechpartner
BBH: Jan-Hendrik vom Wege/Alexander Bartsch/Thomas Schmeding
BBHC: Dr. Andreas Lied/Dr. Karina Appelmann