AKTUELLES:
RST-Beratung informiert zu Themen aus Ihren Fachgebieten

Löschkonzepte zur Vermeidung von Datenpannen und hoher Geldbußen

Warum tun sich selbst große Unternehmen schwer?

Datenschutzrechtliche Compliance gewinnt mit der Digitalisierung und Einführung der EU-Datenschutz-Grundverordnung (DSGVO) zunehmend an Bedeutung. Die Digitalisierung bietet Unternehmen enorme Chancen, bringt aber auch neue Risiken mit sich, wie beispielsweise Datenpannen mit möglicher hoher Bußgeldhaftung. Datenschutzverstöße werden immer häufiger geahndet. So haben die Aufsichtsbehörden in Deutschland bereits gegen einige Unternehmen Geldbußen in Millionenhöhe verhängt. Bei genauem Hinsehen wird ein systematischer Problembereich als Ursache erkennbar: „Datenfriedhöfe“ ohne ordnungsgemäße Datenlöschungsverfahren. So wurde beispielweise gegen die Deutsche Wohnen SE ein Bußgeld in Höhe 14,5 Mio. EUR wegen wiederholter Nichteinhaltung von Löschungspflichten verhängt. Wenngleich das Unternehmen das Bußgeld jüngst juristisch vorerst abwenden konnte, ist ein erheblicher Vertrauensverlust und Reputationsschaden entstanden.

Der Blick in die Praxis zeigt, dass trotz eindeutiger rechtlicher Anforderungen, das Thema Datenlöschung selbst bei großen und reifen Unternehmensstrukturen nur sehr fragmentiert mit großen Lücken umgesetzt ist.

Hintergrund

Für die Verarbeitung personenbezogener Daten gilt nach der DSGVO ein Verbotsprinzip mit Erlaubnisvorbehalt. Eine Verarbeitung ist nur bei Vorliegen einer entsprechenden Rechtfertigung – etwa in Form einer Einwilligung des Betroffenen oder der Erforderlichkeit der Verarbeitung zur Erfüllung eines rechtlich zulässigen Zwecks – erlaubt. Weiterhin dürfen im Sinne der Datenvermeidung und Datensparsamkeit personenbezogene Daten nur in einem Umfang verarbeitet werden, der zur jeweiligen Zweckerfüllung auch tatsächlich notwendig ist.

Nach Art. 17 Abs. 1 DSGVO hat zunächst jeder von der Verarbeitung personenbezogener Daten Betroffene das Recht auf Löschung. Darüber hinaus ist der datenschutzrechtlich Verantwortliche verpflichtet, personenbezogene Daten in folgenden Fällen nach Art. 17 Abs. 1 DSGVO auch ohne Antragder betroffenen Person eigeninitiativ zu löschen (in der Praxis die Haupttreiber zur Löschung):

  • Wegfall der Notwendigkeit der Datenverarbeitung zur Zweckerfüllung
  • Widerruf der Einwilligung durch die betroffene Person bei Fehlen anderweitiger Rechtsgrundlagen
  • Unrechtmäßige Verarbeitung personenbezogener Daten
  • Löschung zur Erfüllung einer rechtlichen Verpflichtung

Die Pflicht zur Löschung kann nach Art. 17 Abs. 3 DSGVO entfallen, wenn die Verarbeitung personenbezogener Daten beispielsweise zur Erfüllung einer rechtlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Geltendmachung oder zur Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Unter einer Löschung im Sinne des Art. 17 DSGVO versteht man das Unkenntlichmachen gespeicherter personenbezogener Daten. Die Löschung kann auf unterschiedliche Weise erfolgen. Entscheidend ist das Ergebnis, also die faktische Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen. Danach darf es niemandem mehr ohne unverhältnismäßigen Aufwand möglich sein, die betreffende Information zur Kenntnis zu nehmen. Beispiele sind physische Zerstörung von Datenträgern oder das tatsächliche Überschreiben wiederbeschreibbarer Datenträger mit neuen Daten.

Wann personenbezogene Daten zu löschen sind, muss in jedem Einzelfall anhand der einschlägigen rechtlichen Anforderungen sowie – wenn diese nicht vorliegen – auf Basis einer Betrachtung der betrieblichen Anforderungen unter Beachtung der Datenschutz-Grundsätze beurteilt werden.

Was ist zu tun?

Für die eingesetzten Systeme bzw. Speicherorte sind rechtlich validierte Löschkonzepte zu definieren sowie aus technischer und organisatorischer Sicht geeignete Löschregeln/-routinen zu implementieren. Hierbei ist eine Orientierung an der von den Aufsichtsbehörden und in der Praxis anerkannten und bewährten Norm DIN 66398 („Leitlinie zur Entwicklung eines Löschkonzeptes mit Ableitung von Löschfristen für personenbezogene Daten“) zu empfehlen. Nachfolgende Schritte zur Implementierung von Löschkonzepten haben sich in der Praxis bewährt:

  1. Involvieren Sie Fachbereiche und IT-Spezialisten. Achten Sie darauf, dass Sie sich zu Beginn nicht in Details verlieren und setzen Sie erfahrene Experten für Löschkonzepte ein. Fokus zu Beginn sollten die fachlichen Anforderungen darstellen.
  2. Starten Sie mit Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT) sowie vorliegenden Prozessbeschreibungen und identifizieren Sie risikoorientiert relevante Systeme und Speicherorte von personenbezogenen Daten. Häufig besteht bereits hier Nachholbedarf.
  3. Definieren Sie den Geltungsbereich der Löschkonzepte und bestimmen Sie Verantwortlichkeiten.
  4. Kategorisieren Sie auf Basis der Bestände der verarbeiteten personenbezogenen Daten geeignete Datenarten nach Verarbeitungszwecken (rechtlich oder fachlich). Achten Sie auf einen umsetzbaren Detaillierungsgrad. Als Orientierung haben sich 30-70 Datenarten pro System in der Praxis bewährt (Beispiel: Stamm-/Kontaktdaten Beschäftigte).
  5. Leiten Sie rechtlich validierte Aufbewahrungs- und Löschfristen sowie Startzeitpunkte pro Datenart ab („Löschmatrix“), um konkrete Löschregeln festzulegen.
  6. Erstellen Sie ein fachliches Löschkonzept pro System bzw. Datenspeicherort einschließlich Definitionen, Verantwortlichkeiten und Umsetzungsvorgaben.
  7. IT-Realisierung: Ordnen Sie mit den IT-Systemverantwortlichen den Datenarten konkrete Datenfelder/-objekte des betroffenen Systems zu. Erstellen Sie ein IT-Konzept und planen Sie Entwicklung, Tests und Implementierung technischer Löschroutinen.

Fazit

Die Umsetzung strukturierter und technisch unterstützter Löschkonzepte konform zu den DSGVO-Anforderungen ist ein komplexes Vorhaben, welches Ressourcen und Zeit benötigt. Die erforderliche Vorgehensweise pro System und Speicherort verursacht in vielen Unternehmen einen hohen Aufwand, der gescheut wird. Zudem sind viele Verarbeitungsumgebungen historisch gewachsen, wodurch Transparenz und Kontrolle fehlt. Weiterhin stellen Löschkonzepte eine übergreifende Aufgabe dar, welche die aufwendige Einbindung von Fachbereichen, IT-Abteilung, Rechtsabteilung und Datenschutzexperten und eine stringente Steuerung erfordert. Deshalb tun sich selbst große und reife Unternehmen schwer.

„Nicht-Compliance“ ist angesichts der hohen Geldbußen und der Tatsache, dass Datenlöschungen in Unternehmen ein Schwerpunktfeld der Aufsichtsbehörden darstellen, nicht zu empfehlen. Um die Komplexität und den Aufwand zu bewältigen, bietet sich ein abgestuftes und risikoorientiertes Vorgehen mit Fokus kritischer Umgebungen als Piloten im Kontext eines Gesamt-Fahrplans an. Rom wurde schließlich auch nicht an einem Tag erbaut. Durch Einbindung von erfahrenen Experten in Löschkonzepten kann ein pragmatisches und zügiges Vorgehen erreicht werden, in dem man sich nicht im Detail verliert und auf bewährten Lösungen und Erfahrungen aufbauen kann. Bei der technischen Realisierung von Löschregeln/-routinen sollten einfach zu implementierende Routinen, die einen hohen Datenbestand abdecken können (z.B. Massendaten) priorisiert werden. Erfahrungsgemäß liegt in der technischen Realisierung von Löschkonzepten der höchste Aufwand. Hier sollte nicht der Anspruch verfolgt werden, alle Löschanforderungen vollumfänglich automatisiert zu realisieren. Manuelle Datenlöschungen nach klaren Vorgaben in regelmäßigen Abständen stellen häufig eine adäquate Alternative als „Workaround“ dar.

 

Über den Autor

Matthias Struck, assoziierter Partner der RST Informationssicherheit GmbH, ist Berater für Datenschutz & Digitalisierung und zertifizierter Datenschutzbeauftragter. Er verfügt über mehr als 20 Jahre Berufserfahrung in globalen, namhaften Organisationen in Beratung und Industrie und berät Unternehmen zur Datenschutz-Compliance sowie zur Gestaltung von Datenschutzmanagementsystemen im Kontext der digitalen Transformation. Weiterhin ist er als externer Datenschutzbeauftragter sowie Trainer und Zertifikatsprüfer im Bereich Datenschutz tätig.

 

Haben Sie Fragen hierzu oder benötigen Sie Hilfestellung? Dann wenden Sie sich bitte an die Ihnen bekannten RST-Ansprechpartner oder:

Tel.: 0201 / 87999-0
E-Mail: informationssicherheit@rst-beratung.de

 

Das könnte Sie auch interessieren:

RST Informationssicherheit GmbHInformationssicherheit – unsere LeistungenSchutzziele der InformationssicherheitKritische Infrastrukturen