Rechtliche Vorgaben:
Die Datenschutz-Grundverordnung (DS-GVO) sieht in ihren zentralen Grundsätzen des Art. 5 DS-GVO insbesondere die Prinzipien der Zweckbindung, der Datenminimierung und der Speicherbegrenzung als limitierende Faktoren für die Speicherung personenbezogener Daten vor.
Darüber hinaus gibt Art. 17 DS-GVO einer betroffenen Person das Recht, von dem Verantwortlichen zu verlangen, dass ihn betreffende personenbezogene Daten unverzüglich gelöscht werden (sofern der Löschgrund einschlägig ist).
Die Pflicht zur Löschung entsteht aber nicht erst dann, wenn sich die betroffene Person mit ihrem Löschungsverlangen an den Verantwortlichen wendet. Personenbezogene Daten sind dann regelmäßig – proaktiv – zu löschen, wenn die Zwecke, für die sie erhoben wurden, entfallen bzw. gesetzliche Aufbewahrungsfristen abgelaufen sind.
Im Hinblick auf die sogenannte Rechenschaftspflicht (Accountability) fordert die DS-GVO ein Datenschutzmanagementsystem, mit dem es jederzeit möglich ist, die Rechtskonformität der Verarbeitung nicht nur in rechtlicher und technischer Sicht, sondern insbesondere auch in organisatorischer Sicht nachweisen zu können.
Konsequenzen bei Nichtbeachtung:
Kommt der Verantwortliche den unterschiedlichen Dokumentationspflichten und Nachweisanforderungen der DS-GVO nicht nach, trifft ihn ein Organisationsverschulden, welches bis zu einer persönlichen Haftung der Leitungsorgane führen kann.
Das können nach den Bußgeldvorschriften aus Art. 83 DS-GVO bis zu 20.000.000 Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens sein (je nachdem, was höher ist).
Was bedeutet dies nun für die Praxis?
In der Praxis besteht für Unternehmen die Herausforderung, sowohl der datenschutzrechtlichen Verpflichtung zur Löschung von Daten als auch den rechtlichen Verpflichtungen zur Sicherung von Daten im Rahmen der Datensicherheit nachzukommen.
Da Lösch- und Aufbewahrungsfristen bereits bei der Einführung / Änderung einer Verarbeitung festzulegen sind, gewinnt die Erstellung von Löschkonzepten eine immer höhere Bedeutung.
Neben der Erstellung eines meist technischen Löschkonzeptes müssen Unternehmen im Bereich der Datenschutz-Organisation (alle strukturellen, prozessualen und regelsetzende Maßnahmen) Verantwortlichkeiten und Prozesse im Rahmen einer Richtlinie insbesondere im Hinblick auf die fachlichen Aspekte bestimmen. Diese sind regelmäßig auf Wirksamkeit im Rahmen eines kontinuierlichen Verbesserungsprozesses überprüfen.
Die DS-GVO orientiert sich methodisch am PDCA-Zyklus (Plan-DO-Check-Act), den man allgemein bei Managementsystemen wie z. B. auch im Bereich des IT-Sicherheitsmanagements nutzt.
Datenschutz-Richtlinien sind in diesem Zusammenhang als schriftlich dokumentierte, meist bereichsübergreifend geltende, organisatorische Regelungen zu verstehen. Sie müssen von der Unternehmensleitung in Kraft gesetzt und kommuniziert werden. Sie gelten grundsätzlich für alle Mitglieder der Organisation beziehungsweise für die Beschäftigten.
Erstellung einer Datenschutz-Richtlinie für die Datenlöschung
Ein typischer Regelungsbereich für eine Datenschutz-Richtlinie ist die Datenlöschung.
Dabei regelt die Datenschutz-Richtlinie zur Datenlöschung die Umsetzung gesetzlicher Vorgaben in Hinsicht auf datenschutz- & sicherheitskonforme Löschung sowie Vernichtung personenbezogener Daten und Informationen.
Sie könnte folgende Inhalte behandeln (ohne Anspruch auf Vollständigkeit):
- Klärung von Zweck, Geltungsbereich und Begrifflichkeiten
- Regelung von Verantwortlichkeiten (insbes. fachliche und technische)
- Regelung zur Vorgehensweise / zum Prozess, z.B.
- Grundsätzliche Vorgaben zum Aufbau und Struktur eines Löschkonzeptes
- Vorgehen bei Löschung strukturierter und unstrukturierter elektronischer sowie manueller Daten
- Löschbestätigung
- Prozessdokumentation
- Review/Überwachung
- Verweis auf Löschkonzept und andere mitgeltende Dokumente als Anhang
Die Regelungsinhalte sollten sowohl die Löschung personenbezogener Daten und Informationen
- in IT-Systemen als auch
- die Vernichtung bzw. Entsorgung von Datenträgern, soweit sie sich auf diesen befinden
betreffen und für alle Prozessverantwortlichen verbindlich sein.
Nach Erstellung der Richtlinie steht neben Inkraftsetzung / Aktivierung deren Kommunikation an vorderster Stelle. Die Regelungen müssen in den Fachabteilungen bekannt gemacht werden und in den Alltag einfließen.
Dazu müssen Führungskräfte und Mitarbeiter im Hinblick auf die praktische Handhabung der Prozesse unterwiesen bzw. spezifisch geschult werden.
Zum Abschluss sollte eine regelmäßige Überprüfung im Hinblick auf Richtigkeit, Aktualität, Vollständigkeit und Wirksamkeit stattfinden.
Mein Rat:
Lassen Sie sich bei der Erstellung einer individuellen Datenschutz-Richtlinie zur Datenlöschung und der spezifischen Schulung der Führungskräfte und Mitarbeiter von einem erfahrenen Datenschutzberater unterstützen.
Über die Autorin:
Sabrina Silvertant ist stellv. Geschäftsführerin der DMC Datenschutz Management & Consulting GmbH & Co. KG und zertifizierte Datenschutzbeauftragte (GDDcert. EU).
Kontakt: info@dmc-datenschutz.de