Die DSGVO verpflichtet Unternehmen und die IT dazu, Altdaten zu löschen, wenn sie für ihren ursprünglichen Zweck nicht mehr benötigt werden und die Aufbewahrungsfrist erloschen ist. Mit Blick auf Backups und ineinander verwobene Daten ist dies mit vertretbarem Aufwand meist gänzlich unmöglich. Für Doc Storage haben die Gesetzesmacher hier gründlich versagt.

Leserfrage: Laut DSGVO sollen Daten nicht für immer gespeichert werden. Wie soll man das angehen? Wie soll man ein vernünftiges DSGVO-Löschkonzept erstellen – wenn alle Daten zigfach in Backups und Clouds gesichert sind?

Anzeige

Antwort Doc Storage:

Die Datenschutz-Grundverordnung (DSGVO) stellt bereits seit Jahren strenge Anforderungen an die Verarbeitung personenbezogener Daten. Diese beziehen sich in der Regel vor allem auf die Erhebung und Speicherung solcher Informationen. Dass sie aber auch für die Löschung von Altdaten gelten und diese sogar verpflichten, wird dagegen gern übersehen und in der täglichen DV-Praxis noch immer nicht berücksichtigt.

In diesem Zusammenhang sind vor allem die Sperrung und Löschung personenbezogener Daten Gegenstand von Prüfungen und Beschwerden durch Aufsichtsbehörden und können bei Verstößen zu erheblichen Bußgeldern in sechs-, wenn nicht siebenstelliger Höhe führen. Aufgrund der gleichzeitig bestehenden gesetzlichen Aufbewahrungsfristen und der Strafbarkeit einer rechtswidrigen Datenlöschung ist die ordnungsgemäße Datenlöschung für viele Unternehmen eine fast nicht lösbare Angelegenheit. Umso wichtiger ist es, ein auf jede Umgebung zugeschnittenes Löschkonzept zu entwickeln, um den Anforderungen an die regelmäßige Datenlöschung im Einklang mit der DSGVO gerecht zu werden.

Löschkonzept – aber was ist das eigentlich?

Die Verpflichtung, personenbezogene Daten »nicht über die Zweckerreichung hinaus« zu speichern (lieben wir nicht alle Amtsdeutsch in der DV?), ergibt sich aus der gemeinsamen Betrachtung des Grundsatzes der Speicherbegrenzung und der Zweckbindung der Verarbeitung. Personenbezogene Daten soll(t)en nur so lange aufbewahrt werden, wie es zur Erreichung des jeweiligen Zwecks der Verarbeitung erforderlich ist. Um dies sicherzustellen, müssen die gespeicherten Daten regelmäßig daraufhin überprüft werden, ob sie zu dieser Zweckerreichung noch erforderlich sind. Falls nicht, müssen sie gelöscht werden. Ein Konzept für diese Löschung legt die Regeln für die regelmäßige Löschung personenbezogener Daten durch den Verantwortlichen bzw. automatisierte Prozesse fest. Dabei ist zu berücksichtigen, dass es nicht »ein Löschkonzept« gibt, sondern diese auf jedes einzelne Unternehmen und jede Organisation abgestimmt werden müssen. Bereits geringe Abweichungen können beispielsweise die konforme Abwicklung unterschiedlicher Löschfristen bewirken. Eine genaue Analyse der jeweiligen DV-Prozesse und der verarbeiteten Kategorien personenbezogener Daten ist daher bei der Erstellung eines Löschkonzepts unumgänglich.

Einzelne Schritte zum Löschkonzept

Ist die Konzepterstellung für jede DV-Umgebung wie bereits erwähnt individuell, lassen sich jedoch einige generische Schritte durchlaufen, die zur Entwicklung eines Löschkonzepts beitragen:

• Bestimmung der relevanten Daten
  Dies lässt sich am einfachsten durch die Definition von Datentypen erreichen. Hierzu können beispielsweise Personalstammdaten oder Vertragsinhalte herausgefiltert werden. Als weitere Orientierung kann der Zweck der Verarbeitung dienen. Diesen Datentypen werden dann Objekte zugeordnet, wie beim Beispiel der Personalstammdaten die Personalnummer, der Vor- und Nachname, das Geburtsdatum oder andere.
• Identifizierung der Systeme, welche Daten speichern, und der Datenflüsse zwischen ihnen
  Um personenbezogene Daten sinnvoll und vor allem ohne Schaden für das Unternehmen zu löschen, sind beide Schritte unerlässlich. Nur wenn das Unternehmen weiß, wo sich die Daten befinden, welche Systeme die Daten nutzen und welche Abhängigkeiten zwischen ihnen bestehen. Nur auf dieser Basis lassen sich Daten zuverlässig löschen.
• Festlegung der jeweiligen Löschfristen
  Dies stellt ein zentrales Element bei der Erstellung eines Löschkonzepts dar. Neben dem Zweck der Datenerhebung und eventuellen weiteren Verwendungszwecken gelten auch die gesetzlichen Aufbewahrungspflichten anderer Regularien sowie Aufbewahrungsrechte, beispielsweise Verjährung. Fristen für Gewährleistungsansprüche, externe DV-Sicherheitsmaßnahmen wie Backups und alle relevanten Prozesse sind zu berücksichtigen. Es ist bei allem entscheidend, die richtige Granularität zu finden. Es sollte kein zu grobes Raster verwendet werden, da sich die Löschpflicht immer auf ein bestimmtes Datum bezieht.
  Ein deutsches Oberlandesgericht hat bereits in 2021 entschieden, dass im Rahmen der Aufbewahrungspflichten kein Zusammenhang mit den Dokumenten selbst und/oder allen darin enthaltenen Daten, sondern vielmehr mit den darin enthaltenen Einzeldaten herzustellen sei (wie gesagt – wenn deutsche Beamte sich zu DV äußern, schrammt es vielfach nach am Kabarett vorbei). Daher sind nach Auffassung des Gerichts beispielsweise innerhalb desselben Dokumentes die Daten, die keiner Aufbewahrungspflicht unterliegen, zu löschen, während die anderen Daten aufzubewahren sind. Wie das technisch allerdings gehen soll, ohne ein zweites Rechenzentrum zu bauen, haben die ehrenvollen Robenträger nicht gesagt.
• Festlegung der Verantwortlichkeiten für den und im Löschvorgang
  Hier ist ein Rollen- und Rechtekonzept sinnvoll, um in einem Organisationsprozess festzulegen, wer für die Prüfung, Anordnung und Durchführung der Löschung verantwortlich ist.
• Technische Umsetzung des Löschkonzepts
  Die technische Umsetzung hat Auswirkungen auf das Löschkonzept, da die regelmäßige Löschung eine Bündelung einzelner Löschvorgänge ermöglicht. Sofern Löschvorgänge nicht mit angemessener Termintreue durchgeführt werden können, ist zu prüfen, inwieweit Handlungsspielraum besteht. Auch Backups müssen in die technische Umsetzung des Löschkonzepts einbezogen werden.

Voraussetzungen für die Löschung selbst

Zum Schluss stellt sich die Frage, wann Daten im Sinne der DSGVO gelöscht werden. Der Begriff der Löschung ist in der DSGVO selbst nicht definiert, wie gesagt, das passiert, wenn Verwaltungsbeamte DV-Gesetze basteln. Aus rechtlicher Sicht bedeutet Löschung jedoch »die dauerhafte Unkenntlichmachung gespeicherter personenbezogener Daten durch geeignete Verfahren« (schönen Dank auch für diese konkrete Definition). Darüber hinaus ist zu beachten, dass es nach der »Unkenntlichmachung« (ich komme hier beim Schreiben ja aus dem Lachen nicht mehr heraus) der betreffenden Informationen für niemanden mehr möglich ist, die betreffenden Daten ohne »unverhältnismäßigen Aufwand« wiederherzustellen. Ach ja, und das Verfahren der Löschung hat natürlich unumkehrbar zu sein.

Conclusio 1 – Der fromme Wunsch oder was sich die Juristen so zusammenphantasieren

Die ordnungsgemäße und regelmäßige Löschung von Daten gehört ebenso wie die rechtmäßige Datenerhebung und -speicherung zur gesetzeskonformen Datenverarbeitung. Gerade die in der DSGVO niedergelegten Grundsätze zur Verarbeitung personenbezogener Daten wie Zweckbindung, Datenminimierung und Speicherbegrenzung machen die Löschung nicht (mehr) erforderlicher Daten zu einer Kernpflicht des Verantwortlichen. Um nicht ins Visier der Datenschutzaufsichtsbehörden zu geraten, sollten Unternehmen daher ein auf ihre individuellen Verarbeitungsvorgänge zugeschnittenes Löschkonzept entwickeln und in ihre Prozesse integrieren.

Conclusio 2 – In der richtigen Welt oder jetzt mal im Ernst

So Kollegen, jetzt haben wir uns genug über die Vorgaben der EU-Beamten amüsiert und allen läuft ein kalter Schauer über die Gänsehaut. Und nicht vergessen dürfen wir in unserem ewigen Dank die Schöpfer des Bundesdatenschutzgesetzes, welches bereits 1978 zusammengebastelt wurde, das wollen wir mal nicht vergessen. Einen Großteil der DSGVO haben sie ja dort abgepinnt.

Löschen personenbezogener Daten gut und schön, Recht auf Vergessenwerden wunderbar, Einhalten von Löschungsfristen und Androhung exorbitanter Strafen hin oder her. Wie bitteschön soll man denn einzelne Dokumente so bearbeiten, dass die entsprechenden Datenklassen dort aufgespürt und gelöscht werden, ohne sich tatsächlich eine neue DV-Prozessstraße zu bauen, die nur für diesen Blödsinn zuständig ist? In Datenbanken mit vernünftiger Indizierung mag das ja noch einigermaßen praktikabel sein, was aber, wenn ein Teil dieser Informationen dummerweise einmal ihren Weg in ein Textverarbeitungs-Dokument, eine Tabellenkalkulation oder eine Präsentation gefunden haben? Und selbst, wenn wir diese Dokumente, Tabellen oder Präsentationen noch finden, sind diese (wenn wir unseren Job richtig machen) nicht nur in den Produktivsystemen gespeichert und in leichtem Zugriff, sondern werden von dort auch mindestens einmal täglich in Backups abgezogen.

Diese Herrschaften wollen also von uns, dass wir jemanden in die DV setzen, der den ganzen Tag nichts anderes macht, als die noch einigermaßen automatisierbaren Prozesse zum Auffinden von Dateien in Server-Dateisystemen auf Backup- und Archivsysteme abzubilden? Und zwar manuell, weil diese Vorgehensweise sich mit keinem einzelnen Produkt am Markt zur Gänze abbilden lässt? Zudem – wenn wir Inhalte von Backups manipulieren oder gar löschen, muss das gesamte Backup in Gänze neu geschrieben werden. Damit verfällt das Backup für den Ursprungstag, und wir haben unser DSGVO-Genick an anderer Stelle sauber gebrochen. Hier wird also buchstäblich der Teufel mit dem Beelzebub ausgetrieben.

Ich empfehle jedem DV-Verantwortlichen daher, sich beizeiten darauf vorzubereiten, dem Security-Beauftragten oder irgendeinem Prüfer nachvollziehbar darzulegen, dass ein solches Vorgehen mit der vorhandenen Ausrüstung schlichtweg technisch nicht möglich und eine Umsetzung finanziell und im Aufwand schlicht nicht machbar ist. Damit zieht man den Kopf – Gottseidank – heute immer noch aus jeder Schlinge.

Grüße
Doc Storage