Wie Ihnen die richtige Herangehensweise helfen kann beim Daten löschen – konform nach Datenschutz – DSGVO, berichten wir in den nächsten Wochen in einer Reihe zu der datenschutzrechtlichen Löschung von Daten.
Zum Jahreswechsel kommen viele Unternehmen auf die Idee den Bestand ihrer Unterlagen in den Archiven zu überprüfen und nicht mehr benötigte Dokumente zu löschen / zu vernichten. Im Zusammenhang mit einem neuen Jahr geht es zum einen darum wieder Platz zu schaffen und sich von alten Dokumenten zu trennen, was sicherlich durchaus befreiend sein kann. Durch die Vernichtung und Löschung von Unterlagen entsteht wieder Platz für Neues.
Auf der anderen Seite bestehen gesetzliche Aufbewahrungsfristen, die zu dem Ende des vergangenen Kalenderjahres auslaufen und somit berechtigen die Daten zu Beginn eines neuen Jahres zu löschen.
Daten löschen aus vollen Archiven – Ablauf einer Datenverarbeitung
Zunächst beginnt die Frage mit dem „ob“ und „wie“ Daten verarbeitet werden, anschließend dreht es sich um das „wie lange“ – wie auch zuletzt bei den Corona-Listen zu einer Kontaktnachverfolgung. Anhaltspunkte sind hier vor allem der Zweck und die Erforderlichkeit der Verarbeitung. So ist dieser ab einem bestimmten Zeitpunkt erfüllt oder die Verarbeitung nicht mehr erforderlich. Datenschutzrechtlich ergibt sich das Erfordernis zu einer Löschung aus den Grundsätzen der Datenminimierung und Speicherbegrenzung.
Unabhängig von diesen Fällen kann jederzeit die Löschung der Daten von einer betroffenen Person gefordert werden, festgelegt ist dies in Art. 17 DSGVO und wird häufig als „Recht auf Vergessenwerden“ bezeichnet.
Darüber hinaus können weitergehende Aufbewahrungsinteressen oder gesetzliche Aufbewahrungspflichten relevant sein, weshalb eine Löschung noch nicht durchgeführt wird.
Daten löschen – auf das „wie“ kommt es an
Am Ende der Verarbeitung ist die Löschung bereits vorprogrammiert, dann dreht sich alles um das „wie“ sie gelöscht werden müssen. Zu einer datenschutzrechtlich ordnungsgemäßen Verarbeitung zählt auch die richtige Löschung der Daten.
Die datenschutzkonforme Löschung kann als Teil der technischen und organisatorischen Maßnahmen nach Art. 25 DSGVO verstanden werden. Demnach müssen geeignete Maßnahmen zum Schutz der personenbezogenen Daten getroffen werden, womit auch die datenschutzkonforme Löschung der Daten umfasst ist.
Bei einer Löschung von Unterlagen ist auf den Informationsinhalt zu achten und dem Risiko einer ungewollten Veröffentlichung. Bei den für Verantwortliche sensiblen Daten lässt sich grundsätzlich unterscheiden zwischen den datenschutzrechtlich relevanten personenbezogenen Daten – hier kommt es auf den Personenbezug an (Art. 4 Nr. 1 DSGVO), den Geschäfts- und Betriebsgeheimnissen sowie Informationen die eine Relevanz für das Unternehmen haben.
Außerhalb der datenschutzrechtlichen Perspektive sollten auch solche Daten mit Sorgfalt gelöscht werden, durch deren Veröffentlichung dem Verantwortlichen ein Schaden/Nachteil entstehen kann.
Als Maßstab gilt hier:
Je sensibler die personenbezogenen Daten, desto sorgfältiger sollte die Löschung erfolgen.
Zunächst kann daher die Einteilung der Daten in Kategorien hilfreich sein. Neben der Einteilung in sensible und weniger sensible Daten, ist vor allem die „Speicherform“ bei der Löschung von Bedeutung.
Speichermedium beachten im Zusammenhang mit dem Daten löschen – konform nach Datenschutz – DSGVO
Abhängig von der Speicherform der personenbezogenen Daten sollte bei der Löschung das richtige Löschverfahren gewählt werden.
Als Medien bei einer Löschung kommen dabei die Papierform, die digitale Form und die Datenträger in Frage, auf denen die Daten gespeichert sind. Bei der digitalen Form können personenbezogene Daten in einer Ordnerstruktur im Dateiformat oder als Information innerhalb einer Anwendung gespeichert sein.
Durch die verschiedenen Medien liegt der Schwerpunkt auch auf unterschiedlicher Ebene. Während bei digitalen Daten von einer Löschung gesprochen werden kann, liegt bei Daten in Papierform eher eine Vernichtung vor. Bei der Löschung und Vernichtung geht es jedoch jeweils um die Unwiderruflichkeit, also dem Ausschluss der Wiederherstellungsmöglichkeit der Daten. Abhängig des Speichermediums sind dazu unterschiedliche Maßnahmen erforderlich. Anhaltspunkte für eine Vernichtung geben DIN Normen, wie die DIN-66399. Neben der Speicherform ist auch die Berücksichtigung von erstellten Kopien zu beachten.
Ein strukturiertes Vorgehen bei der Löschung hilft Fehler zu vermeiden. Entsprechend der Sensibilität ist auf das richtige Löschverfahren zu achten. Wie Ihnen bei der Einteilung ein Löschkonzept helfen kann, haben wir bereits berichtet.
Weitere Informationen zu der Löschung bei verschiedenen Speichermedien enthält unsere Reihe zu der Datenlöschung in den kommenden Wochen.
Sie möchten mehr über dieses Thema erfahren?
Bei der Löschung personenbezogener Daten entstehen die unterschiedlichsten Fragen. Damit Sie hiermit nicht alleine sind, wenden Sie sich gerne an uns. Durch unsere langjährige Erfahrung im Bereich des Datenschutzes, insbesondere als Datenschutzbeauftragte für Unternehmen aus unterschiedlichen Branchen, bieten wir Ihnen eine schnelle und individuelle Beratung.
Wir unterstützen Ihre Mitarbeiter bei der Umsetzung und können vorab entsprechend schulen.
Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.
Verfasser: Frederik Sonnenburg, LL.M. (Wirtschaftsrecht)