Frühjahrsputz

Wann wird es Zeit, den Datenbestand zu entrümpeln?

Informieren Sie sich darüber, warum Daten zu löschen sind, welche Aufbewahrungsfristen gelten und wie Sie die Löschung umsetzen können. 

Worum geht‘s?

Kennen Sie das unangenehme Gefühl, wenn Ihnen zum Geburtstag Ihre alte Bank, bei der Sie das letzte Mal vor 15 Jahren einen Kredit getilgt haben, freundschaftlich gratuliert und ein günstiges Darlehen zur Erfüllung all ihrer Träume anbietet? Wenn Geschäfte einmal erledigt sind, möchte man selten noch viele Jahre später immer wieder daran erinnert werden. Daher sieht die DSGVO vor, dass die Datenbestände regelmäßig geprüft und von alten, nicht mehr benötigten Daten bereinigt werden.

Muss das denn sein?

Die DSGVO gibt Ihnen die Hausaufgabe auf, die Daten nicht bis ans Ende aller Tage zu speichern. Je länger Daten gespeichert werden, die nicht mehr benötigt werden, desto größer ist die Gefahr einer Datenpanne oder auch des Missbrauchs durch zweckentfremdete Verwendung. Die Anhäufung von Datenbergen als Selbstzweck passt dem Datenschutzrecht nicht. Sobald der Zweck der Datenverarbeitung erledigt oder weggefallen ist und keine besonderen Aufbewahrungspflichten bestehen, sind die Daten zu löschen. Hierzu hat die DSGVO die Begriffe der Speicherbegrenzung sowie der Zweckbindung zu zwei von sechs Grundsätzen gemacht.

Sechs Grundsätze? Mehr erfahren Sie im Basiswissen > Grundsätze der Datenverarbeitung.

Korrespondierend zur Löschpflicht des Unternehmens hat der von der Datenverarbeitung Betroffene ein Recht auf Vergessenwerden. Die Person, deren Daten Sie verarbeiten und speichern, kann danach von Ihnen die Löschung verlangen und durchsetzen, sofern Sie kein Recht zur Speicherung mehr besitzen. Mehr zu den Rechten des Betroffenen erfahren Sie im Basiswissen > Betroffenenrechte.

  • Art. 5 Abs. 1e DSGVO – Grundsatz der Speicherbegrenzung
  • Art. 17 DSGVO – Recht auf Löschung („Recht auf Vergessenwerden“)
  • Art. 25 DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
  • Art. 30 Abs. 1b und f DSGVO: Im Verarbeitungsverzeichnis sind (wenn möglich) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien aufzunehmen.
  • Art. 58 Abs. 2g DSGVO – Anordnungsrecht der Aufsichtsbehörde über eine Löschung  
  • Erwägungsgrund 39 – Grundsätze der Datenverarbeitung

Sie wollen mehr wissen?

Wichtiges auf einen Blick

  • Daten sind zu löschen, wenn sie nicht mehr benötigt werden oder aufzubewahren sind.
  • Abhängig von der Art der Daten gibt es unterschiedliche Aufbewahrungs-/Löschfristen.
  • Zur Organisation bietet sich ein Löschkonzept an, welches die Fristen, deren Überwachung und die Umsetzung der Löschung regelt.
  • Die Löschung betrifft nicht nur digitalisierte Daten, sondern auch die Vernichtung von Papierakten u. Ä.
  • Durchgeführte Löschungen sind zu dokumentieren, ohne dabei die gelöschten personenbezogenen Daten zu nennen.
  • Wird ein Löschungsanspruch vom Betroffenen geltend gemacht, ist dies zu prüfen und innerhalb eines Monats zu reagieren.
  • Es muss allen bisherigen etwaigen Empfängern der gelöschten Daten die Löschung mitgeteilt werden, es sei denn, dies ist unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden.

Aufbewahren und Löschen im Detail

Die sechs W-Fragen

WARUM – WAS – WANN – WO – WER – WIE

Das sind die sechs Fragen der Datenvernichtung, die Sie sich stellen müssen, um die Organisation der Löschung von Daten in den Griff zu bekommen.

  • WARUM die Datenvernichtung vorzunehmen ist, beantworten die Grundsätze der „Speicherbegrenzung“ sowie der „Zweckbindung“, wonach alle Daten nach Zweckerfüllung grundsätzlich zu löschen sind.
  • WAS gelöscht werden muss, ist je Datenverarbeitungsvorgang zu ermitteln und betrifft alle Daten mit Personenbezug, die verarbeitet werden – nicht nur digitale Daten, sondern auch physische Datenbestände wie Akten und Dokumente.
  • WANN die Löschung vorzunehmen ist, entscheidet der Verarbeitungszweck samt etwaigen Aufbewahrungsfristen.
  • WO sich die zu löschenden Daten befinden, ist zwingend zu klären, um eine vollständige Datenvernichtung sicherzustellen.
  • WER die Löschung vorzunehmen hat, organisieren Sie am besten in Ihrer Firma.
  • WIE die Vernichtung bzw. Löschung umzusetzen ist, hängt von der Art der Daten ab.

WAS kommt in den Schredder?

Alle Daten mit Personenbezug

Alle Daten, die einen Personenbezug aufweisen, müssen grundsätzlich gelöscht werden, wenn Sie diese nicht mehr benötigen. Dies betrifft nicht nur digitale Daten, sondern auch in Papierdokumenten oder in sonstiger Weise physisch niedergelegte Daten, wie z. B. Fotoabzüge oder Videobänder. Auch maschinelle Daten, die Sie ohne Hilfsmittel nicht lesen können, sind betroffen, wenn Sie einen Personenbezug aufweisen. (Sind Sie von der alten Schule und besitzen noch einen Lochstreifen? Bevor Sie diesen ins Museum geben, sollten Sie prüfen, ob darauf noch eine Geburtstagsliste ist, die nicht ohne Zustimmung aller Geburtstagskinder aufbewahrt werden darf.)

Datenkopien nicht vergessen

Auch Datenkopien, die z. B. in Backup-Systemen liegen oder im E-Mail-Archiv schlummern, sind Gegenstand Ihrer Löschpflicht.

WANN ist es soweit?

Zweckwegfall und Aufbewahrungsfristen

Sobald der Zweck der Speicherung weggefallen ist, sind die Daten grundsätzlich zu löschen. Gesetzliche Aufbewahrungsfristen sind jedoch zu beachten und führen dazu, dass auch nach Erreichung des ursprünglichen Zwecks die Daten weiterhin gespeichert werden müssen. Zum Beispiel können Sie die Kundendaten aus einem Verkauf solange speichern, bis der Kauf abgewickelt ist. Mit Vertragsabwicklung ist der ursprüngliche Zweck der Durchführung des Verkaufs erfüllt und weggefallen, so dass nun die Daten eigentlich zu löschen wären. Jedoch bestehen Aufbewahrungspflichten nach Handels- und Steuerrecht, wonach Sie die betreffenden Daten weiterhin speichern müssen und dies nach Datenschutzrecht auch dürfen. Es handelt sich dabei um eine sog. Zweckänderung vom ursprünglichen Zweck der Vertragsdurchführung hin zur Erfüllung der Aufbewahrungspflicht nach Handels- und Steuerrecht. Sobald die gesetzlichen Aufbewahrungsfristen jedoch abgelaufen sind, entfällt dieser Zweck und die Daten sind nun zu löschen und entsprechend aufbewahrte Dokumente (Buchungsbelege, Bestellscheine, Rechnungen, Korrespondenz etc.) zu vernichten.

Nicht voreilig löschen

Man könnte nun denken, dass es doch gut wäre, die personenbezogenen Daten einfach schnellstmöglich zu löschen, um Ruhe zu haben. Aber Vorsicht: Vor Ablauf von Aufbewahrungsfristen die Daten einfach grundlos zu löschen, kann ebenfalls einen Datenschutzverstoß begründen. Prüfen Sie daher auch Löschungsaufforderungen von Betroffenen sorgfältig und löschen nicht einfach auf bloßen Zuruf.

Merke: Personenbezogene Daten sind grundsätzlich zu löschen,

  • wenn die Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden und etwaige Aufbewahrungsfristen abgelaufen sind,
  • wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen haben,
  • wenn die betroffenen Personen Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben und Ihrerseits keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder
  • wenn die Verarbeitung personenbezogener Daten aus anderen Gründen gegen die DSGVO verstößt.

Fragen über Fragen

Wo finden sich im Gesetz Aufbewahrungsfristen?

Aufbewahrungs- und Löschungsfristen sind nicht einfach zentral in einem Gesetz bestimmt, sondern finden sich je nach Regelungsbereich in unterschiedlichen Vorschriften. Es gibt allgemeine Aufbewahrungspflichten, die die meisten Unternehmen betreffen, und Aufbewahrungsfristen, die für spezielle Tätigkeitsgebiete gelten.

Wichtig für Unternehmen sind die Aufbewahrungsfristen im Handels- und Steuerrecht sowie im Sozialrecht, die im Handelsgesetzbuch (§§ 238, 257, 261 HGB) und in der Abgabenordnung (§ 147 AO) sowie im Sozialgesetzbuch zu finden sind.

Was gilt für Verjährungsfristen?

Des Weiteren sind die Verjährungsfristen relevant, die ein Recht zur Aufbewahrung begründen können, damit Sie im Streitfall (z. B. Garantie-, Haftungsfall) Ihre Rechte wahrnehmen oder sich gegen erhobene Ansprüche verteidigen können. Für gängige Vertragsangelegenheiten gelten insoweit die allgemeinen Verjährungsfristen des Bürgerlichen Gesetzbuchs (BGB).

Wann beginnen die gängigen Aufbewahrungsfristen?

Die gängigen Aufbewahrungsfristen beginnen mit Ende des Jahres, in welchem der Datenbestand zuletzt geändert wurde. Dies trifft auch auf die allgemeinen Verjährungsfristen im Zivilrecht zu. Daher laufen die Fristen in der Regel zum Jahresende aus, was die turnusmäßige Überprüfung vereinfacht.

Ist sofort zu Löschen, wenn ein Betroffener die Löschung verlangt?

Nein. Auch wenn ein Betroffener vehement zur Löschung auffordert, muss zuerst geprüft werden, ob die Löschung zu erfolgen hat oder ob dieser nicht Gründe wie gesetzliche Aufbewahrungsfristen entgegenstehen. Wichtig ist, innerhalb von einem Monat auf das Löschungsbegehren zu reagieren. Nähere Informationen zu den Betroffenenrechten finden Sie unter Basiswissen Betroffenenrechte.

Löschen vergessen – und dann?

Bei Datenschutzverstößen, wie z. B. einer nicht umgesetzten Löschung von zur Löschung ausstehenden Daten, können laut DSGVO Bußgelder von bis zu vier Prozent des weltweiten Unternehmensumsatzes festgesetzt werden. Aber Achtung: Auch ein zu frühes Löschen kann einen Datenschutzverstoß darstellen.

Die jeweilige Löschfrist ist spätestens bei Datenerhebung im Verarbeitungsverzeichnis zu dokumentieren und regelmäßig zu überprüfen.

WO liegen die zu löschenden Daten?

Wenn Sie wissen, wann Sie einzelne Datensätze löschen müssen, sind Sie schon einen guten Schritt weiter. Ist der Zeitpunkt, die Datensätze zu löschen, erreicht, müssen Sie nun die konkrete Umsetzung des Löschens anpacken. Hierfür müssen Sie jedoch wissen, wo sich überall Ihre Daten aufhalten. Ohne Kenntnis der einzelnen Speicherorte können Sie nicht erfolgreich eine vollständige Löschung der betreffenden Daten in Ihrem Unternehmen erreichen.

  • Identifizieren Sie am besten von Beginn an Ihre Datenflüsse und Speicherorte.
  • Schaffen Sie technische Möglichkeiten, einzelne Datensätze gezielt aus den Systemen zu löschen.
  • Berücksichtigen Sie auch alle Kopien der zu löschenden Daten, die z. B. in Backupsystemen abgelegt oder in Kommunikationskanälen wie E-Mail gespeichert sind.
  • Auch im Fall des Weiterverkaufs von Computern und Geräten mit Datenspeichern (wie Fax, Scanner, Drucker) sollten Sie besondere Vorsicht walten lassen. Vor der Weitergabe an Dritte sind die Datenbestände von den Geräten vollständig und unwiderruflich zu löschen.

WER löscht die Daten?

Im Unternehmen sollte klar sein, wer für die Datenlöschung verantwortlich ist und wer diese durchführt bzw. diese an Dienstleister vergibt. Es ist zu empfehlen, die Verantwortlichkeiten hierfür in einem Löschkonzept festzuhalten. Soweit möglich, sollte der Einfachheit halber die Abteilung die Daten löschen, die sie selbst auch regelmäßig verarbeitet und somit effektiv überwachen kann. Häufig erfolgt die Löschung manuell und für den Einzelfall. Eine automatisierte Lösung zur Überwachung der Löschfristen kann jedoch helfen, Fehler zu vermeiden und die Fristen im Auge zu behalten. So kann eine automatische Auflistung von Altdaten, die zur Löschung nach Ablauf der Aufbewahrungsfrist anstehen, das Arbeitsleben Ihrer Beschäftigten erleichtern und die Einhaltung der Datenschutzvorgaben fördern.

WIE sollen die Daten gelöscht werden?

Ziel ist es, dass anhand der Daten die betreffende natürliche Person nicht mehr identifiziert werden kann. Die nicht mehr benötigten Datenbestände sollten daher am besten restlos und unwiederbringlich vernichtet werden. Abhängig von den eingesetzten Speichertechniken gibt es verschiedene Löschtechniken, die Sie anhand von Sicherheitskriterien auswählen können.

Gespeicherte Daten löschen

Sie können radikal vorgehen und den Datenträger selbst durch Schreddern, Zermalmen oder Verbrennen zerstören, so dass auch die darauf gespeicherten Daten endgültig verloren gehen. Aber Vorsicht, nur der Einsatz eines Hammers wird nicht ausreichen. Die Datenforensik kann Wunder vollbringen und auch aus völlig demolierten Geräten die Daten wieder herstellen. Hier kann die Beauftragung eines spezialisierten Entsorgers helfen, welcher den Datenträger verbrennt oder mittels Hochleistungsschredder unwiederbringlich zerkleinert.

Wollen Sie jedoch den Datenträger erhalten und lediglich die gespeicherten Daten löschen, nutzen Sie am besten geeignete Programme, mit deren Hilfe die Daten bzw. der Datenspeicher mehrfach so überschrieben wird, dass eine Rekonstruktion der zu löschenden Daten nahezu unmöglich ist. Bei einer einfachen Löschung werden hingegen lediglich die Verweise im Dateisystem und deren Verknüpfung gelöscht bzw. aufgehoben, so dass eine Rekonstruktion meist ohne allzu großen Aufwand möglich und die Daten nicht als gelöscht im datenschutzrechtlichen Sinn angesehen werden können.

Im Ergebnis sind je nach Datenspeicherart unterschiedliche Maßnahmen erforderlich und von Ihnen festzulegen. Die Intensität der Datenvernichtung kann dabei auch in Abhängigkeit vom Schutzbedürfnis der zu vernichtenden Daten bewertet werden.

Akten & Co. vernichten

Physische Datenbestände, wie Akten und Dokumente, sind auch physisch zu zerstören und so zu vernichten, dass eine Rekonstruktion ausgeschlossen ist.

Es ist absolut unzureichend, das Blatt Papier zu einem Ball zu zerknüllen und in den Mülleimer zu kicken. Auch das Zerreißen per Hand lässt zu wünschen übrig. Hier schlägt die Stunde entsprechend qualifizierter Geräte wie des Aktenvernichters. Doch auch bei Schreddern gibt es erhebliche Unterschiede in der Art und Feinheit des Schnittergebnisses. So gibt die DIN 66399 verschiedene Sicherheitsstufen vor, die je nach Vertraulichkeit der zu vernichtenden Dokumente zum Einsatz kommen sollten. Dies sollte bei der Auswahl und Anschaffung eines Aktenvernichters berücksichtigt werden.

Je feiner der Schnitt, desto sicherer die Datenvernichtung (und leider desto teurer der Aktenvernichter). Vergessen Sie am besten nicht, auch das Homeoffice mit einem passenden Aktenvernichter auszustatten. Bei großen Beständen lohnt sich jedoch die Beauftragung spezialisierter Entsorger.

Anonymisierung und Pseudonymisierung

Einen Sonderfall stellt die Anonymisierung oder Pseudonymisierung von personenbezogenen Daten dar. Dadurch kann der Wegfall des Personenbezugs der Daten erreicht werden. Die Daten werden zwar im eigentlichen Sinn nicht gelöscht oder vernichtet, jedoch wird die Identifizierbarkeit der betroffenen Personen anhand der Daten aufgehoben. Wenn dies restlos und zuverlässig gelingt, können Daten weiter verwendet werden, ohne die Rechte des Betroffenen zu verletzen. Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten ist in dieser Hinsicht ein mögliches Mittel zur Löschung. Sie müssen jedoch sicherstellen, dass niemand ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Hier ist daher äußerste Vorsicht geboten. Mittlerweile ist es möglich, anhand der schieren Masse anonymisierter oder pseudonymisierter Daten ein Personenprofil zu bilden und dies einer natürlichen Personen zuzuordnen. Der Personenbezug würde in diesem Fall weiter bestehen und die Löschung wäre gescheitert.

Erstellen Sie für Ihr Unternehmen ein Löschkonzept

Zu wissen, dass Sie zur Löschung von Daten verpflichtet sind, reicht allein nicht aus. Sie müssen sicherstellen, dass die Löschung auch tatsächlich erfolgt, wenn die Daten ihre Daseinsberechtigung in Ihrem Unternehmen verloren haben. Hierzu ist die Erstellung eines sog. Löschkonzepts bzw. Richtlinie zum Löschen zu empfehlen. In einem solchen Konzept werden Maßnahmen abgebildet, die die Verantwortlichkeiten für die Daten und Löschfristen bestimmen und eine sichere Löschung sowie eine regelmäßige Überprüfung dieser Fristen sicherstellen sollen. Anhand des Löschkonzepts können die Beschäftigten im Unternehmen sich entsprechend informieren und die betreffenden Abläufe umsetzen. Somit reduzieren Sie erheblich eine Haftungsgefahr.

Mehr zum Löschkonzept und dessen Erstellung finden Sie im Schritt 11.