Verstöße gegen Löschpflichten sind teuer & schädigen die Reputation. Wie kann man die Einhaltung sicherstellen?
Schlagzeilen zu Verstößen gegen datenschutzrechtliche Löschpflichten machen gerade die Runde. So kämpft etwa das Immobilienunternehmen Deutsche Wohnen gegen eine Strafe in Höhe von EUR 14,5 Millionen aufgrund zu lange gespeicherter Mieterdaten oder die Polizei Bremen mit dem Vorwurf, personenbezogene Daten verspätet und nur auf Aufforderung aus dem Polizeisystem „Artus“ gelöscht zu haben. Verstöße gegen datenschutzrechtliche Löschpflichten sind also teuer und schädigen die eigene Reputation.
Wie kann man daher die Einhaltung dieser sensiblen Pflichten sicherstellen?
Der mit der DSGVO eingeführte Grundsatz auf Speicherbegrenzung besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Die erlaubte Speicherfrist ist dabei auf das unbedingt erforderliche Mindestmaß zu beschränken. Neben der fehlenden Erforderlichkeit, verpflichten etwa auch der Widerruf der erteilten Einwilligung, das Wegfallen eines anderen Rechtfertigungsgrundes (bspw der gesetzlichen Grundlage) oder der Widerspruch gegen die Verarbeitung den Verantwortlichen zur Löschung. Die Löschpflicht kann somit insgesamt durch diverse Löschgründe begründet werden.
Die Logik ist daher klar: Sobald ein Löschgrund vorliegt, muss das betroffene Datum gelöscht werden. Aber wie und vor allem wer stellt das Vorliegen eines solchen Löschgrundes fest? Muss der Verantwortliche eigeninitiativ handeln und das Vorliegen eines Löschgrundes prüfen oder ist er nur bei Aufforderung durch den Betroffenen aufgrund von Art 17 DSGVO („Recht auf Vergessenwerden“) dazu verpflichtet?
Die Antwort lautet: Beides! Der Verantwortliche muss während seiner Verarbeitungstätigkeit selbständig prüfen, ob ein Löschgrund vorliegt. Darüber hinaus muss er auch bei Löschbegehren entsprechend tätig werden.
Damit Unternehmen ihre eigene Prüfpflicht wahren und eine angemessene Reaktion auf Löschbegehren sicherstellen können, müssen sie ein internes Löschkonzept implementieren. Darin sollte der Verantwortliche insbesondere die Fristen für die Löschung verschiedener Kategorien verarbeiteter personenbezogener Daten und die regelmäßige Überprüfung in Bezug auf die Löschgründe vorsehen. Der Verantwortliche muss schließlich auch die von ihm identifizierten Löschfristen hinsichtlich einzelner Daten- und Betroffenenkategorien in seinem Verzeichnis der Verarbeitungstätigkeiten dokumentieren.
Der Verantwortliche darf sich aber beim Umgang mit Löschpflichten nicht nur auf sein Löschkonzept und sein Verzeichnis der Verarbeitungstätigkeiten verlassen. Diese zwei Tools zeigen einem nämlich nur die abstrakte Marschroute zur Löschung. Die darin erarbeiteten Löschziele müssen dann auch in der Praxis umgesetzt werden. Dazu gilt es die passende technische Umsetzungsvariante zu wählen.
Zur Umsetzung eines Löschkonzepts braucht es das passende technische Datenmanagement. Zunächst muss sich das Unternehmen bewusstwerden, welche Systeme welche Daten verarbeiten, um die internen Datenströme einschätzen zu können. Die Analyse der eigenen Datenströme reicht allerdings noch nicht aus, um die zu löschenden Daten tatsächlich aus den jeweiligen Systemen zu bekommen. Dazu müssen die Systeme erst an einen zentralen Datenmanagement-Service zur Datenlöschung angebunden werden. Ein solcher Datenmanagement-Service kann dann auch für die Umsetzung anderer Betroffenenrechte (insbesondere zur Beantwortung von Auskunfts- oder Löschbegehren) genutzt werden.
Es gibt aus heutiger Sicht zwei praktikable Varianten zur Ausgestaltung eines solchen zentralen Services:
Entweder der Service holt sich die Daten live aus den einzelnen Systemen oder
sämtliche Daten (zumindest einer Kategorie) werden vom Service in einer einheitlichen Datensammlung konsolidiert und dort aktuell gehalten.
Die zweite Alternative hat den Vorteil, dass die konsolidierten Daten auch für weitergehende Analysezwecke verwenden werden können (wie etwa der automatisierte Hinweis zum Ablauf einzelner Löschfristen). Dabei kann die Anbindung des internen Services zur Datenlöschung an die einzelnen Systeme eine große Herausforderung darstellen. Das gilt insbesondere für exotische Systeme und Eigenentwicklungen von Unternehmen.
Zur Wahrung der datenschutzrechtlichen Löschpflichten bedarf es daher sowohl eines abstrakten Plans (d.h. Löschkonzept und Verarbeitungsverzeichnis) als auch der praktischen Umsetzung mittels eines geeigneten Datenmanagement-Services.
Neben der aktiven datenschutzrechtlichen Verpflichtung zur Löschung, normiert Art 5 Abs 2 DSGVO auch eine all-gemeine Rechenschaftspflicht des Verantwortlichen. Der Verantwortliche muss gegenüber den Aufsichtsbehörden nachweisen können, dass er seine datenschutzrechtlichen Pflichten zur Löschung eingehalten hat. Es sollte daher jede Maßnahme zur Datenminimierung revisionssicher dokumentiert werden, um sie objektivier- und nachweisbar zu machen.
Bei der Vielzahl von datenschutzrechtlichen Pflichten kann es oft schwierig sein, den Überblick zu behalten und nicht zu viele Ressourcen vom Kerngeschäft abzuziehen und in datenschutzrechtliche Aufgaben zu investieren.
Aus diesem Grund haben wir unsere Akarion GRC Cloud entwickelt. Das Datenschutz-Modul der GRC Cloud verschafft Ihnen den Überblick, den Sie über Ihre Datenbewegungen brauchen, erstellt Berichte und Dokumentation für interne und externe Audits innerhalb weniger Sekunden, unterstützt Sie bei der Erstellung von Löschkonzepten und Verzeichnissen der Verarbeitungstätigkeiten sowie bei der Behandlung von Auskunfts- und Löschbegehren.
Sie wollen mehr erfahren? Vereinbaren Sie jetzt ein unverbindliches Erstgespräch mit unserem Team!