Löschkonzepte und Archivierung von Daten

Zusammenfassung

 

Überblick

Die datenschutzrechtlichen Vorgaben der DSGVO erfordern die Ausarbeitung und Umsetzung eines Konzepts zur Löschung personenbezogener Daten.

Die Formulierung eines Löschkonzepts ist eine komplexe und umfangreiche Aufgabe. Sie steht in der Praxis etlichen Problemen gegenüber: Neben der Auslegung unbestimmter Rechtsbegriffe stellen die Festlegung des Endes von Prozessen und die daraus resultierenden Löschfristen regelmäßig eine sehr aufwendige Aufgabe dar. Dass auch noch eine Vielzahl von Personen wie Vorstände, Geschäftsführer, IT-Verantwortliche, Datenschutzbeauftragte und Abteilungsleiter an der Umsetzung beteiligt sind, erhöht die Komplexität der Aufgabenstellung erheblich.

1 Allgemeines

Die Umsetzung eines Löschkonzepts bietet einen vielseitigen Nutzen. Zunächst dient ein dokumentiertes Löschkonzept der Wahrung der Rechenschaftspflicht ("Accountability") über die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten.

Die Bestimmung von Löschfristen setzt eine Auseinandersetzung mit den Unternehmensprozessen voraus. Dies eröffnet die Möglichkeit, Prozesse effizienter zu gestalten. Auch die Datenverwaltung wird durch das Löschkonzept systematisiert und konsolidiert, da alle Datenbestände in die Betrachtung einbezogen werden müssen. Der Datenbestand kann dadurch bereinigt werden. Dies hat zur Folge, dass auch der Aufwand und die Kosten für Datenmigrationen bei Systemwechseln erheblich reduziert werden.

2 Löschverpflichtung

Personenbezogene Daten sind gemäß Art. 17 DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet worden sind, nicht mehr erforderlich sind. Eine Datenspeicherung ist nach Art. 5 Abs. 1 lit. e DSGVO nur in einer Form zulässig, die eine Identifizierung des Betroffenen so lange ermöglicht, wie es für die Zwecke, für welche die Daten verarbeitet werden, erforderlich ist ("Speicherbegrenzung").

Des Weiteren sind nach Art. 17 DSGVO die Daten auch dann zu löschen, wenn

  • die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

In den folgenden Ausführungen wird Bezug auf die DIN 66398 genommen. Die deutsche Industrienorm 66398 ist die "Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten". Die Vorgehensweise der DIN steht unter der Annahme, dass ein tragfähiger Kompromiss zwischen den rechtlichen Vorgaben und der Praktikabilität von Löschprozessen gefunden werden muss. Im Löschkonzept müssen verschiedene Regelungen getroffen werden. Die Regelungen sollten umfassen,

  • welche Löschregeln für welche Datenbestände gelten,
  • wie aus den Löschregeln die Umsetzung der Löschung in den Prozessen erreicht wird,
  • wie die Löschregeln, Umsetzungsvorgaben und durchgeführten Löschmaßnahmen zu dokumentieren sind und
  • wer für die aus dem Löschkonzept entstehenden Aufgaben der Umsetzung, Überprüfung und Fortschreibung verantwortlich ist.

Die Summe der Regelungen stellt zugleich das Löschkonzept dar.

3 "Löschen"

Die DSGVO definiert den Begriff "Löschen" nicht. Dem Grunde nach darf nach der Löschung keine Möglichkeit mehr bestehen, die Daten zu lesen oder zu rekonstruieren.

Dies kann auf verschiedenen Wegen realisiert werden. So kann die Löschung durch das Überschreiben von Daten auf Datenträgern erreicht werden. Die Löschung kann auch durch die Vernichtung des kompletten Datenträgers realisiert werden. Dabei sollten jedoch geeignete mechanische Verfahren gewählt werden (Häckseln, Schreddern), die eine Datenrekonstruktion nahezu unmöglich machen.

Die Vorgehensweise bei der Datenlöschung/-vernichtung ist mithin als Teil der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes (TOM) zu formulieren. Das zu wählende Verfahren richtet sich u. a. nach der Sensitivität der Daten.

4 Datenart/Datenkategorie

Eine Datenart/Datenkategorie ist ein Teil des Datenbestands, der für einen einheitlichen Zweck verarbeitet wird. Um eine klare Kommunikation aller am Prozess beteiligten Personen zu gewährleisten, sollte die Bezeichnung jeder Datenart nach ihrem Verwendungszweck definiert werden.

In der Regel sind in verschiedenen Datenarten die gleichen zu identifizierenden Attribute enthalten. Wenn ein anderes Datenobjekt zu verschiedenen Zwecken verwendet wird, kann es ebenfalls sinnvoll sein, es in mehreren Datenarten aufzunehmen. Dies sollte insbesondere dann erfolgen, wenn die Datenarten unterschiedlichen Löschregeln unterliegen. Die Löschregeln der verschiedenen Datenarten müssen für die jeweils zugehörigen Datenobjekte eindeutig sein.

Für Wohnungsunternehmen typische Datenarten sind z. B.:

  • Stammdaten (Anschrift, Kontaktdaten usw.) von

    • Mieter
    • Mietinteressent
    • Kaufinteressent
    • Mitglied
    • Mitarbeiter
  • Vertragsdaten
  • Abrechnungsdaten
  • Verbrauchsdaten (Energie, Wasser, Abfall)
  • Buchhaltungsdaten (Zahlungsströme, Inkasso, Buch...

Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis. Sie wollen mehr? Dann testen Sie hier live & unverbindlich VerwalterPraxis 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge