Menü
Informieren Sie sich darüber, warum Daten zu löschen sind, welche Aufbewahrungsfristen gelten und wie Sie die Löschung umsetzen können.
Die DSGVO gibt Ihnen die Hausaufgabe auf, die Daten nicht bis ans Ende aller Tage zu speichern. Je länger Daten gespeichert werden, die nicht mehr benötigt werden, desto größer ist die Gefahr einer Datenpanne oder auch des Missbrauchs durch zweckentfremdete Verwendung. Die Anhäufung von Datenbergen als Selbstzweck passt dem Datenschutzrecht nicht. Sobald der Zweck der Datenverarbeitung erledigt oder weggefallen ist und keine besonderen Aufbewahrungspflichten bestehen, sind die Daten zu löschen. Hierzu hat die DSGVO die Begriffe der Speicherbegrenzung sowie der Zweckbindung zu zwei von sechs Grundsätzen gemacht.
Sechs Grundsätze? Mehr erfahren Sie im Basiswissen > Grundsätze der Datenverarbeitung.
Korrespondierend zur Löschpflicht des Unternehmens hat der von der Datenverarbeitung Betroffene ein Recht auf Vergessenwerden. Die Person, deren Daten Sie verarbeiten und speichern, kann danach von Ihnen die Löschung verlangen und durchsetzen, sofern Sie kein Recht zur Speicherung mehr besitzen. Mehr zu den Rechten des Betroffenen erfahren Sie im Basiswissen > Betroffenenrechte.
Das sind die sechs Fragen der Datenvernichtung, die Sie sich stellen müssen, um die Organisation der Löschung von Daten in den Griff zu bekommen.
Alle Daten, die einen Personenbezug aufweisen, müssen grundsätzlich gelöscht werden, wenn Sie diese nicht mehr benötigen. Dies betrifft nicht nur digitale Daten, sondern auch in Papierdokumenten oder in sonstiger Weise physisch niedergelegte Daten, wie z. B. Fotoabzüge oder Videobänder. Auch maschinelle Daten, die Sie ohne Hilfsmittel nicht lesen können, sind betroffen, wenn Sie einen Personenbezug aufweisen. (Sind Sie von der alten Schule und besitzen noch einen Lochstreifen? Bevor Sie diesen ins Museum geben, sollten Sie prüfen, ob darauf noch eine Geburtstagsliste ist, die nicht ohne Zustimmung aller Geburtstagskinder aufbewahrt werden darf.)
Auch Datenkopien, die z. B. in Backup-Systemen liegen oder im E-Mail-Archiv schlummern, sind Gegenstand Ihrer Löschpflicht.
Sobald der Zweck der Speicherung weggefallen ist, sind die Daten grundsätzlich zu löschen. Gesetzliche Aufbewahrungsfristen sind jedoch zu beachten und führen dazu, dass auch nach Erreichung des ursprünglichen Zwecks die Daten weiterhin gespeichert werden müssen. Zum Beispiel können Sie die Kundendaten aus einem Verkauf solange speichern, bis der Kauf abgewickelt ist. Mit Vertragsabwicklung ist der ursprüngliche Zweck der Durchführung des Verkaufs erfüllt und weggefallen, so dass nun die Daten eigentlich zu löschen wären. Jedoch bestehen Aufbewahrungspflichten nach Handels- und Steuerrecht, wonach Sie die betreffenden Daten weiterhin speichern müssen und dies nach Datenschutzrecht auch dürfen. Es handelt sich dabei um eine sog. Zweckänderung vom ursprünglichen Zweck der Vertragsdurchführung hin zur Erfüllung der Aufbewahrungspflicht nach Handels- und Steuerrecht. Sobald die gesetzlichen Aufbewahrungsfristen jedoch abgelaufen sind, entfällt dieser Zweck und die Daten sind nun zu löschen und entsprechend aufbewahrte Dokumente (Buchungsbelege, Bestellscheine, Rechnungen, Korrespondenz etc.) zu vernichten.
Man könnte nun denken, dass es doch gut wäre, die personenbezogenen Daten einfach schnellstmöglich zu löschen, um Ruhe zu haben. Aber Vorsicht: Vor Ablauf von Aufbewahrungsfristen die Daten einfach grundlos zu löschen, kann ebenfalls einen Datenschutzverstoß begründen. Prüfen Sie daher auch Löschungsaufforderungen von Betroffenen sorgfältig und löschen nicht einfach auf bloßen Zuruf.
Aufbewahrungs- und Löschungsfristen sind nicht einfach zentral in einem Gesetz bestimmt, sondern finden sich je nach Regelungsbereich in unterschiedlichen Vorschriften. Es gibt allgemeine Aufbewahrungspflichten, die die meisten Unternehmen betreffen, und Aufbewahrungsfristen, die für spezielle Tätigkeitsgebiete gelten.
Wichtig für Unternehmen sind die Aufbewahrungsfristen im Handels- und Steuerrecht sowie im Sozialrecht, die im Handelsgesetzbuch (§§ 238, 257, 261 HGB) und in der Abgabenordnung (§ 147 AO) sowie im Sozialgesetzbuch zu finden sind.
Des Weiteren sind die Verjährungsfristen relevant, die ein Recht zur Aufbewahrung begründen können, damit Sie im Streitfall (z. B. Garantie-, Haftungsfall) Ihre Rechte wahrnehmen oder sich gegen erhobene Ansprüche verteidigen können. Für gängige Vertragsangelegenheiten gelten insoweit die allgemeinen Verjährungsfristen des Bürgerlichen Gesetzbuchs (BGB).
Die gängigen Aufbewahrungsfristen beginnen mit Ende des Jahres, in welchem der Datenbestand zuletzt geändert wurde. Dies trifft auch auf die allgemeinen Verjährungsfristen im Zivilrecht zu. Daher laufen die Fristen in der Regel zum Jahresende aus, was die turnusmäßige Überprüfung vereinfacht.
Nein. Auch wenn ein Betroffener vehement zur Löschung auffordert, muss zuerst geprüft werden, ob die Löschung zu erfolgen hat oder ob dieser nicht Gründe wie gesetzliche Aufbewahrungsfristen entgegenstehen. Wichtig ist, innerhalb von einem Monat auf das Löschungsbegehren zu reagieren. Nähere Informationen zu den Betroffenenrechten finden Sie unter Basiswissen Betroffenenrechte.
Bei Datenschutzverstößen, wie z. B. einer nicht umgesetzten Löschung von zur Löschung ausstehenden Daten, können laut DSGVO Bußgelder von bis zu vier Prozent des weltweiten Unternehmensumsatzes festgesetzt werden. Aber Achtung: Auch ein zu frühes Löschen kann einen Datenschutzverstoß darstellen.
Wenn Sie wissen, wann Sie einzelne Datensätze löschen müssen, sind Sie schon einen guten Schritt weiter. Ist der Zeitpunkt, die Datensätze zu löschen, erreicht, müssen Sie nun die konkrete Umsetzung des Löschens anpacken. Hierfür müssen Sie jedoch wissen, wo sich überall Ihre Daten aufhalten. Ohne Kenntnis der einzelnen Speicherorte können Sie nicht erfolgreich eine vollständige Löschung der betreffenden Daten in Ihrem Unternehmen erreichen.
Im Unternehmen sollte klar sein, wer für die Datenlöschung verantwortlich ist und wer diese durchführt bzw. diese an Dienstleister vergibt. Es ist zu empfehlen, die Verantwortlichkeiten hierfür in einem Löschkonzept festzuhalten. Soweit möglich, sollte der Einfachheit halber die Abteilung die Daten löschen, die sie selbst auch regelmäßig verarbeitet und somit effektiv überwachen kann. Häufig erfolgt die Löschung manuell und für den Einzelfall. Eine automatisierte Lösung zur Überwachung der Löschfristen kann jedoch helfen, Fehler zu vermeiden und die Fristen im Auge zu behalten. So kann eine automatische Auflistung von Altdaten, die zur Löschung nach Ablauf der Aufbewahrungsfrist anstehen, das Arbeitsleben Ihrer Beschäftigten erleichtern und die Einhaltung der Datenschutzvorgaben fördern.
Ziel ist es, dass anhand der Daten die betreffende natürliche Person nicht mehr identifiziert werden kann. Die nicht mehr benötigten Datenbestände sollten daher am besten restlos und unwiederbringlich vernichtet werden. Abhängig von den eingesetzten Speichertechniken gibt es verschiedene Löschtechniken, die Sie anhand von Sicherheitskriterien auswählen können.
Sie können radikal vorgehen und den Datenträger selbst durch Schreddern, Zermalmen oder Verbrennen zerstören, so dass auch die darauf gespeicherten Daten endgültig verloren gehen. Aber Vorsicht, nur der Einsatz eines Hammers wird nicht ausreichen. Die Datenforensik kann Wunder vollbringen und auch aus völlig demolierten Geräten die Daten wieder herstellen. Hier kann die Beauftragung eines spezialisierten Entsorgers helfen, welcher den Datenträger verbrennt oder mittels Hochleistungsschredder unwiederbringlich zerkleinert.
Wollen Sie jedoch den Datenträger erhalten und lediglich die gespeicherten Daten löschen, nutzen Sie am besten geeignete Programme, mit deren Hilfe die Daten bzw. der Datenspeicher mehrfach so überschrieben wird, dass eine Rekonstruktion der zu löschenden Daten nahezu unmöglich ist. Bei einer einfachen Löschung werden hingegen lediglich die Verweise im Dateisystem und deren Verknüpfung gelöscht bzw. aufgehoben, so dass eine Rekonstruktion meist ohne allzu großen Aufwand möglich und die Daten nicht als gelöscht im datenschutzrechtlichen Sinn angesehen werden können.
Im Ergebnis sind je nach Datenspeicherart unterschiedliche Maßnahmen erforderlich und von Ihnen festzulegen. Die Intensität der Datenvernichtung kann dabei auch in Abhängigkeit vom Schutzbedürfnis der zu vernichtenden Daten bewertet werden.
Physische Datenbestände, wie Akten und Dokumente, sind auch physisch zu zerstören und so zu vernichten, dass eine Rekonstruktion ausgeschlossen ist.
Es ist absolut unzureichend, das Blatt Papier zu einem Ball zu zerknüllen und in den Mülleimer zu kicken. Auch das Zerreißen per Hand lässt zu wünschen übrig. Hier schlägt die Stunde entsprechend qualifizierter Geräte wie des Aktenvernichters. Doch auch bei Schreddern gibt es erhebliche Unterschiede in der Art und Feinheit des Schnittergebnisses. So gibt die DIN 66399 verschiedene Sicherheitsstufen vor, die je nach Vertraulichkeit der zu vernichtenden Dokumente zum Einsatz kommen sollten. Dies sollte bei der Auswahl und Anschaffung eines Aktenvernichters berücksichtigt werden.
Einen Sonderfall stellt die Anonymisierung oder Pseudonymisierung von personenbezogenen Daten dar. Dadurch kann der Wegfall des Personenbezugs der Daten erreicht werden. Die Daten werden zwar im eigentlichen Sinn nicht gelöscht oder vernichtet, jedoch wird die Identifizierbarkeit der betroffenen Personen anhand der Daten aufgehoben. Wenn dies restlos und zuverlässig gelingt, können Daten weiter verwendet werden, ohne die Rechte des Betroffenen zu verletzen. Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten ist in dieser Hinsicht ein mögliches Mittel zur Löschung. Sie müssen jedoch sicherstellen, dass niemand ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Hier ist daher äußerste Vorsicht geboten. Mittlerweile ist es möglich, anhand der schieren Masse anonymisierter oder pseudonymisierter Daten ein Personenprofil zu bilden und dies einer natürlichen Personen zuzuordnen. Der Personenbezug würde in diesem Fall weiter bestehen und die Löschung wäre gescheitert.
Zu wissen, dass Sie zur Löschung von Daten verpflichtet sind, reicht allein nicht aus. Sie müssen sicherstellen, dass die Löschung auch tatsächlich erfolgt, wenn die Daten ihre Daseinsberechtigung in Ihrem Unternehmen verloren haben. Hierzu ist die Erstellung eines sog. Löschkonzepts bzw. Richtlinie zum Löschen zu empfehlen. In einem solchen Konzept werden Maßnahmen abgebildet, die die Verantwortlichkeiten für die Daten und Löschfristen bestimmen und eine sichere Löschung sowie eine regelmäßige Überprüfung dieser Fristen sicherstellen sollen. Anhand des Löschkonzepts können die Beschäftigten im Unternehmen sich entsprechend informieren und die betreffenden Abläufe umsetzen. Somit reduzieren Sie erheblich eine Haftungsgefahr.
Mehr zum Löschkonzept und dessen Erstellung finden Sie im Schritt 11.