Personendaten DSG-konform löschen mit Konzept

Sarah Linke
Rechtsanwältin

Geht es um Speicherung und Löschung von Personendaten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.

Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch

Das Datenschutzgesetz (DSG) sieht für Unternehmen eine umfassende Dokumentation von Bearbeitungsvorgängen vor und beinhaltet zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele Personendaten dauerhaft speichern.

Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.

Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoss gegen das DSG führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute Personendaten eines Betroffenen, legen die Datenschutzgrundsätze in Art. 6 Abs. 4 DSG ausdrücklich fest, dass Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Bearbeitung fällt auch die blosse Speicherung von Personendaten), wie es zur Erreichung des bei der Erhebung genannten Zwecks weiterhin erforderlich ist.

Rechtfertigungsgrund und Zweck der Bearbeitung

Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit von Personendaten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Bearbeitungszwecks klar abgegrenzt werden:

Speicherbegrenzung, sprich Löschung von Personendaten ist dann erforderlich, wenn der Rechtfertigungsgrund der Bearbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die Bearbeitung von Login-Daten eines Mitarbeiters rechtfertigte, Anlass, diese Informationen zu entfernen. Mit Wegfall des Rechtfertigungsgrunds fällt ebenfalls der ursprüngliche Zweck der Bearbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.

Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Verantwortliche sollten sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen dem Unternehmen zugehörige Mitarbeiter, Mitarbeitende von Kunden und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als Personendaten gewertet und müssen entsprechend geschützt werden.

Weil vielerlei Personendaten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Sie Vorkehrungen treffen, um die unter dem DSG stark erhöhten Geldbussen abzuwenden.

Das Löschkonzept als datenschutzkonforme Lösung

Ein systematisches Vorgehen zur Entfernung von Personendaten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmässige Entfernung von Personendaten beschränken oder auch Datenbestände ohne Personenbezug umfassen.

Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Bearbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht im Unternehmen implementiert. Folgende Punkte sind zusätzlich erforderlich:

  • Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzberaters eindeutig festgelegt werden.
  • Mitarbeiter benötigen Schulungen zur Einordnung von Daten.
  • Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschungen sollten technisch erzwungen werden.
  • Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmässige Aktualisierungen der Datenarten und Löschklassen erfordert.
  • Durch CRM-Lösungen lassen sich Datensätze besser voneinander trennen, um eine zielgenaue und isolierte Löschung von Personendaten zu gewährleisten.

Achtung: Gelöscht ist nicht gleich gelöscht!

Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.

Um die Identifizierbarkeit von Betroffenen gänzlich ausschliessen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.

Beispiel: Das Betriebssystem Windows markiert standardmässig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann eine Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoss lauert.

Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermassen bei analogen Dokumenten.

Fazit: Nur Löschen mit System ist datenschutzkonform

Unternehmen müssen eine systematische Vorgehensweise zur Löschung von Daten etablieren. Ein Löschkonzept ist dafür der ideale Ausgangspunkt. Ein gut ausgearbeitetes Löschkonzept legt fest, dass Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und danach ordnungsgemäss und sicher gelöscht werden. Dies schützt nicht nur die Rechte der betroffenen Personen, sondern minimiert auch das Risiko von Datenpannen sowie damit verbundenen rechtlichen und finanziellen Konsequenzen für Unternehmen.

Es ist wichtig, regelmässige Schulungen für Mitarbeiter durchzuführen und technische Massnahmen zu implementieren, die die Löschung von Daten unterstützen. Darüber hinaus muss das Konzept kontinuierlich überprüft und angepasst werden, um den sich ändernden gesetzlichen Anforderungen und technologischen Entwicklungen gerecht zu werden.

 

Datenschutz als Wettbewerbsvorteil

Machen Sie Ihr Unternehmen attraktiv für Bewerber, Kunden und Geschäftspartner.