Alle Unternehmen werden in der Regel im Laufe der Zeit zu dem Punkt kommen, an dem das Sperren bzw. Löschen von Daten erforderlich ist. Die Gründe für eine Löschung oder Sperrung von gewissen Daten sind unterschiedlichster Natur. Eine Löschung ist nach § 35 Datenschutzgesetz (BDSG) immer dann vorzunehmen, wenn die erhobenen Daten nicht mehr für die dafür angelegte Aufgabe benötigt werden.
Wann ein solcher Zeitpunkt erreicht ist, ist nicht immer leicht ermittelbar.
Das Sperren und Löschen von Daten ist besonders dann kompliziert, wenn Organisationen, wie Anwaltskanzleien, Banken, Ärzte, Onlineverkaufsportale etc., große Datenbestände haben, da für die Daten unterschiedliche Aufbewahrungszeiträume vorgesehen werden. Aus diesem Grund ist die Erstellung eines Konzepts für die Löschung und Sperrung von Daten, das eine umfangreiche Übersicht und ordnungsgemäße Lösch- und Sperrvorgänge ermöglicht, wichtig,
§ 35 BDSG – Datenschutzrechtliche Regelung zum Löschen
Im Datenschutz gilt unter anderem der Grundsatz, dass Daten nicht dauerhaft gespeichert werden dürfen. Wann eine Löschung stattzufinden hat, regelt der § 35 Abs. 2 Bundesdatenschutzgesetz (BDSG). Die Regelung besagt:
(2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn
- ihre Speicherung unzulässig ist,
- es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
- sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
- sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.
Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt.
Grundsätzlich gilt die datenschutzrechtliche Löschfrist für Daten, die mittels Datenverarbeitungsanlagen oder auch in nicht automatisierten Dateien verarbeitet oder genutzt werden. Die Annahme eine Löschpflicht bestehe daher nicht für personenbezogene Daten in Papierform, ist jedoch abzulehnen, da nach § 32 Abs. 2 BDSG diese auch unter den Geltungsbereich des § 35 Abs. 2 BDSG fallen.
Folglich gilt auch für Aufzeichnungen in Papierform die Löschfrist des § 35 Abs. 2 BDSG.
Löschen kein einfaches Unterfangen
Das Löschen von Daten klingt sehr einfach, ist es aber nicht immer. Zu beachten sind dabei entsprechende Vorgaben, die möglicherweise eine differenzierte Behandlung bei der Löschung von Daten je nach Speichermedium vorsehen. Ebenso bestehen Speicherpflichten / Aufbewahrungspflichten, die je nach Datentyp variieren.
DIN EN ISO 66399 – Anleitung, wie welche Daten zu löschen sind
Einen gewissen Leitfaden für die Löschung gibt die DIN EN ISO 66399, die aus drei Teilen besteht: Der
- Teil befasst sich mit den Grundlagen sowie Begriffen (Veröffentlichung im Oktober 2012)
- Teil mit den Anforderungen an Maschinen zur Datenträgervernichtung (Veröffentlichung im Oktober 2012) und der
- Teil bildet den Prozess der Datenvernichtung ab (Veröffentlichung im Februar 2013).
Die Norm kategorisiert die Daten in 3 Schutzklassen (Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten, hoher Schutzbedarf für vertrauliche Daten und normaler Schutzbedarf für interne Daten). Neben den Schutzklassen legt die Norm sieben Sicherheitsstufen fest, die die Art der Datenträgervernichtung regeln. Durch Zuweisung der Schutzklassen zu den Sicherheitsstufen, kann ermittelt werden, in welcher Form der Löschvorgang vorzunehmen wäre.
Der in der DIN aufgestellte Katalog formt jedoch in manchen Fällen keine konkrete Zuweisung, wo welche Daten hingehören, ab. In welche Datenkategorie die Daten einzuordnen sind, ist daher dem Betroffenen überlassen. Um einer Fehlzuweisung entgegen zu wirken, sollte die Einordnung in dort genannte Sicherheitsstufen stets in Absprache mit dem Datenschutzbeauftragten erfolgen.
Löschen von Daten in Papierform
Die Vernichtung von Daten in Papierform ist grundsätzlich kein schweres Unterfangen mehr, da entsprechende Dienstleister mit der Vernichtung dieser Anlagen beauftragt werden können. Es sind aber in den letzten Jahren Fälle der fehlerhaften Vernichtung von Akten mit personenbezogenem Inhalt bekannt geworden. Bei diesen Fällen landeten die sensiblen Daten einfach im herkömmlichen Müll, ohne entsprechend unkenntlich gemacht zu werden. Meist entstanden diese Vorfälle durch fahrlässiges Verhalten der Mitarbeiter und verursachten Bußgelder, Imageschäden und teilweise auch Schadensersatzansprüche der Betroffenen. Daher sollte eine Sensibilisierung der Arbeitnehmer durch Schulungen, durchgeführt vom Datenschutzbeauftragten, vorgenommen werden, damit unbewusste datenschutzwidrige Handlungen vermieden werden können.
Löschen von Software
Während die Löschung von Aufzeichnungen auf Papier recht einfach ist, ist die Löschung von Softwaredaten dies in der Regel nicht. Angefangen von der Löschung von Daten auf einer Festplatte bis hin zur Löschung von einzelnen Datensätzen innerhalb eines Fileservers, einzelner Datensätze aus relationalen Datenbanken oder auch aus gekaufter Standardsoftware ergeben sich unter anderem erhebliche Schwierigkeiten. In den meisten Fällen hat der Verwender entsprechender Software keinen direkten Einfluss auf die Löschung, auch wenn der vermeintliche Löschvorgang ausgeführt wurde. Beispielsweise agieren SQL-Server so, dass beim Absetzen eines „delete“-Statements die Daten nicht zwingend gelöscht werden. Diese können unter anderem in Indexen, Rollback-Logs und auch an anderen Stellen weiterhin vorhanden sein. Des Weiteren werden die Daten beim „Delete“ auch nicht überschrieben, sondern für den Speicher freigegeben. Wird nun von außen auf das System zugegriffen, um die Daten auch tatsächlich zu löschen, kann es zu gewissen Inkonsistenzen oder Instabilitäten kommen, da die Software auf die gesammelten Daten angewiesen ist.
Gleiches ergibt sich bei einer Vielzahl von Standardsoftware. Diese führen die Löschaufforderung in der Regel nicht in der beabsichtigten Weise aus, sondern blenden die Daten lediglich aus. Dies führt mitunter zu einer jahrelangen unbewussten Hortung vermeintlich gelöschter Daten, auf welche mit geringem Aufwand wieder zugegriffen werden könnte.
Solche Software sollten gemieden werden, allerdings ist dies häufig, aufgrund fehlender Alternativmöglichkeiten und erhöhter Kosten durch die Implementierung eines neuen Systems, nicht möglich. Der Gesetzgeber bieten in diesem Fall mit Art. 35 Abs. 3-4 BDSG die Möglichkeit die entsprechenden Daten zu sperren, statt zu löschen, um den Vorgaben des Datenschutzes zu genügen.
Sperren statt Löschen
Die Löschpflicht kann entfallen, wenn Daten aufgrund von Aufbewahrungspflichten beibehalten werden müssen. Darunter fallen mitunter die Jahresabschlüsse und Bilanzen (10 Jahre), Rechnungen (2 Jahre) und ärztliche Dokumente (10 bis zu 30 Jahre). Daneben gibt es noch eine Vielzahl anderer Fälle, die dem Löschvorgang entgegenstehen können.
Besteht keine rechtliche Regelung zur Aufbewahrungspflicht, ist meist anstelle einer Löschung eine Sperrung nach § 35 Abs. 3-4 Bundesdatenschutzgesetz (BDSG) vorzunehmen.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
- im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
- Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder
- eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.
Die Sperrung dient dabei als Mittel, den weiteren Umgang mit bereits gespeicherten Daten einzuschränken.
Änderungen durch die Datenschutz-Grundverordnung (DS-GVO)?
Die Datenschutz-Grundverordnung, welche ab 2018 in allen EU-Mitgliedstaaten gelten soll, eröffnet die Frage, ob sich ebenso Änderungen in Bezug auf das Speichern und Sperren der Daten ergibt. In diesem Punkt können wir Sie beruhigen, da die im Art. 17 DS-GVO geregelte Löschfrist im Grundsatz mit der Regelung des § 35 BDSG übereinstimmen.
Jedoch kommt mit der DS-GVO ein Zusatz zu der bisher in Deutschland geltenden Regelung. Demnach hat der Verantwortliche bzw. die verantwortliche Stelle, welche/r die Daten öffentlich gemacht und zur Löschung der Daten verpflichtet ist, nach Art. 17 Abs. 2 DS-GVO Dritte, die bei der Verarbeitung beteiligt waren, zu informieren, dass der Betroffene eine Löschung der Daten verlangt. Der beteiligte Dritte ist dazu angehalten, jegliche Links zu den personenbezogenen Daten des Betroffenen, wie auch Replikationen und Kopien dieser Daten zu löschen.
Folglich sind neben dem Hauptdatensatz auch die Datenkopien, die Links zu den Daten und deren Kopien zu löschen.
Der Begriff der Sperrung wird nur noch im Nebensatz erwähnt und findet sich im Art. 4 Nr. 3 DS-GVO unter dem Begriff „Einschränkung der Verarbeitung“ wieder. Es ändert sich – genau wie bei der Löschung – im Wesentlichen nichts. Es sollte jedoch darauf geachtet werden, dass eine bloße überwindbare Kennzeichnung (Einschränkungsvermerk) nicht für eine Sperrung ausreicht. Der Verantwortliche bzw. die verantwortliche Stelle ist dazu angehalten durch technische und organisatorische Maßnahmen (TOM) eine mögliche Weiterverarbeitung der Daten effektiv zu unterbinden. Solche Maßnahmen sind nach DS-GVO beispielsweise die Übertragung der Daten auf ein anderes Verarbeitungssystem oder eine Sperrung, die eine Nutzung nicht zulässt.
Eine technische Markierung kann den Zweck der Sperrung auch erfüllen, aber nur dann, wenn dadurch die Software nur in Ausnahmefällen einen Zugriff zulässt. Ein Beispiel dafür wäre den Zugang zu den gesperrten Daten nur mit Passwort zu ermöglichen.
Integration von Löschroutinen – nicht nur alleinige Aufgabe des Datenschutzbeauftragten
Um den Vorgaben des § 35 BDSG und denen der DS-GVO zu genügen, empfiehlt sich die Integration einer Löschroutine. Häufig wird angenommen, diese Aufgabe ist durch den Datenschutzbeauftragten durchzuführen, was nicht ganz der Wahrheit entspricht. Der Datenschutzbeauftragte kann bei einem solchem Unterfangen nur unterstützend und beratend tätig sein, da der Hauptverantwortliche die Organisation selbst ist.
Letztendlich sollte das Unternehmen bzw. die zuständige Abteilung am besten wissen, welche Daten vorhanden sind, wo diese sich befinden und wie lange diese bereits gespeichert wurden.
Für die Implementierung einer Löschroutine sollte
- eine Ermittlung der vorhandenen Daten erfolgen,
- die Daten, welche definitiv nicht mehr benötigt sollten gekennzeichnet werden und
- die Aufbewahrungspflicht der jeweiligen Daten geprüft werden.
Ist die Vorarbeit geleistet, sind neben dem Datenschutzbeauftragten der Steuerberater und der Wirtschaftsprüfer des Unternehmens für die Besprechung über das weitere Verfahren hinzuzuziehen. Des Weiteren ist eine enge Zusammenarbeit mit der IT-Abteilung unerlässlich, um die besprochenen Verfahren umzusetzen. Wichtig hierbei ist eine Protokollierung der getätigten Löschaktivität, um diese nachweisen zu können.