Endkontrolle und Vollzug der Löschung
Nach Ablauf von gesetzlichen Aufbewahrungsfristen ist zur Umsetzung der Löschpflicht noch ein angemessener – in der Regel jedoch enger –Sperrungszeitraum als „Prüf-/ Sicherheitskorridor“ erforderlich.
Demnach betrachtet sich der Lebenszyklus von personenbezogenen Daten aus 3 Blickwinkeln, nämlich
- dem Blick auf die Produktivphase,
- dem auf die Phase der Sperrung und Rechteeinschränkung (nach Ablauf der Produktivphase) und
- schlussendlich auf die eigentliche Löschphase.
Das Löschkonzept ist keine statische Abbildung, sondern ein konstant fortlaufender eigenständiger Prozess, entlang sich wandelnder betrieblicher (Geschäfts- und sonstiger) Prozesse und neuer gesetzlicher Regelungen. So ergeben sich bspw. im Bereich der Aufbewahrungsfristen häufig Veränderungen, die umgesetzt werden müssen.
Die technische Umsetzung der fristbezogenen Löschung von entsprechend ihrer Sensibilität klassifizierten Daten sollte unbedingt schon zum Zeitpunkt deren Erhebung erfolgen und systemisch in den verarbeiteten Systemen hinterlegt werden.
Es wird empfohlen, automatische Löschroutinen einzuführen, wobei vorherige Hinweis- und Warnfunktionen gewährleisten sollten, dass die Automatik der Löschroutine einem „4-Augen-Prinzip“ aus technischer und menschlicher Überwachung unterworfen ist.
Die Konfigurationsmöglichkeiten und Einrichtungsparameter für automatische Löschroutinen sollten in eine gesonderte Anlage zum Löschkonzept aufgenommen werden.
Die Grundsätze des „Datenschutzes durch Technik“ aus Art. 25 DSGVO führen ebenfalls zu dem Erfordernis, schon bei der Anschaffung und Inbetriebnahme von IT-Systemen durch entsprechende Konfigurationsmöglichkeiten sicherstellen zu können, dass die personenbezogenen Daten auf Anforderung wieder vollständig aus dem System herausgelöscht werden können und darüber in rechtssicherer Weise Nachweis geführt werden kann.
Auch die jeweiligen Nachweismöglichkeiten sollten in einer gesonderten Anlage zum Löschkonzept genommen werden, bspw. die Löschprotokolle der IT-Systeme, die Vernichtungsprotokolle von Dienstleistern in Bezug auf Datenträger etc.
Der Löschungsnachweis erfolgt gem. Art. 5 Abs. 2 DSGVO und hat Auswirkungen auf die rechtliche Beweislast, weil der Verantwortliche darlegen und nachweisen können muss, dass und wie er eine Löschung bzw. Datenträgervernichtung vollzogen hat. Aus Sicht der Aufsichtsbehörden ist die Schonfrist für über die Jahre mitgeschleppte Versäumnisse spätestens seit dem Jahr 2020 ABGELAUFEN.
Löschkonzepte stehen im Visier von Stichprobenkontrollen und großangelegten Außenprüfungen. Sie sind auch häufig Gegenstand von Meldungen nach dem deutschen Hinweisgeberschutzgesetz, wenn Mitarbeiter feststellen, dass über sie gespeicherte Daten noch über viele Jahre unter Verstoß gegen DSGVO-Prinzipien vorrätig gehalten werden.
Wenn ein Löschverstoß auf Umsetzungsebene geschieht, bietet sich den Aufsichtsbehörden die Möglichkeit zur Verhängung von empfindlichen Bußgeldern.
Fehlt dazuhin ein Löschkonzept per se, und ist dieses nicht „lediglich“ unvollständig umgesetzt, hält also der Verantwortliche über Jahre einen Datenbestand, für dessen Aufbewahrung ein rechtfertigender Grund nicht (mehr) vorliegt, kommt eine weitere, sanktionssteigernde Komponente bei der Bußgeldbemessung hinzu.
Denn bereits das Fehlen eines Löschkonzeptes – unabhängig davon, ob tatsächlich über gesetzlich zulässige Zeiträume hinaus personenbezogene Daten gespeichert oder sonst verarbeitet worden sind, was weitere sanktionierbare Verstöße auslöst – stellt an sich schon einen DSGVO-Bußgeldtatbestand dar.
Diese Tatbestände werden inzwischen auch massiv verfolgt:
Die soweit bisher bekannt gewordenen höheren „Löschpflicht-Bußgelder“ liegen bei 148 TEUR (Dänemark), 394 TEUR (Norwegen), 195 TEUR (Deutschland) und 14,5 Mio. EUR (Deutschland), wobei die letztgenannte Rekordsumme angefochten wurde; man geht von einem längeren Verfahren aus.
Über den Autor:
Dr. Jens Bücking ist Rechtsanwalt und Fachanwalt für IT-Recht. Er ist Mitbegründer und Senior Partner der internationalen Kanzlei e|s|b, Lehrbeauftragter, VOI Certified Expert „Risk Management and Compliance“ und Datenschutzbeauftragter und renommierter Autor diverser Fachpublikationen zum IT- und IP-Recht.
Herr Dr. Bücking fungiert zudem als Geschäftsführer der e|s|b data gmbh. Die e|s|b data gmbh bietet eine umfassende Beratung und Unterstützung bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) sowie anderer Datenschutzbestimmungen.
Kontakt: info@esb-data.de
Web: https://esb-data.de/