Zahlreiche Vorschriften

In der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) sind in zahlreichen Artikeln Vorgaben enthalten, die für ein Löschkonzept relevant ist. Dazu gehören die eigentlichen Löschvorschriften, aber auch Informationspflichten, Mitteilungspflichten oder Vorgaben, die auffordern, die Maßnahmen nachzuweisen.

Diese Seite gibt eine Übersicht über die Artikel der DSGVO, die Einfluss auf ein Löschkonzept haben können. (Ich erinnere aber daran: diese Webseite bietet keine Rechtsberatung! Mehr ... Prüfen Sie, welche Anforderungen für Ihre bestände an personenbezogenen Danten gelten! )

Die Artikel der DSGVO sind im Weiteren inhaltlich nach Anforderungen an ein Löschkonzept gruppiert.

Vorgaben für regelmäßiges Löschen

Regelmäßiges Löschen wird in der DSGVO direkt oder indirekt gefordert. Aus verschiedenen Stellen ist abzuleiten, dass der Verantwortliche für seine Datenbestände allgemeine Löschregeln festlegen und umsetzen muss und darf.

  • Die Ausgangsvorschrift ist Art. 5 DSGVO: Nach Art. 5 Abs. 1 lit. b DSGVO muss ein legitimer Zweck für die Verarbeitung vorliegen. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung). Die zulässigen Zwecke ergeben sich aus Art. 6. DSGVO.
  • Art. 5 Abs. 1 lit. c fordert die Datenminimierung. Diese Vorgabe entspricht im Wesentlichen dem Prinzip der Erforderlichkeit nach § 35 BDSG aF. Aus der Datenminimierung ergibt sich auch, dass nur noch solche Daten verwendet und gespeichert werden dürfen, die für verbleibende Zwecke angemessen und erheblich sind. Andere Datenbestände – deren Zwecke erledigt sind – sind dementsprechend zu löschen.
  • Die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO gibt vor, dass nach Wegfall der zulässigen Zwecke mindestens zu anonymisieren ist. Falls anonymisierte Daten nicht benötigt werden, kann der Verantwortliche die Daten natürlich auch löschen.
  • Art. 5 Abs. 1 lit. f fordert den Schutz der personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung. Konkretisierend fordert Art. 32 Abs. 2 DSGVO ein angemessenes Schutzniveau auch vor Offenlegung von oder unbefugtem Zugang zu personenbezogenen Daten. Nach dem Ende der legitimen Zwecke ist insbesondere sicheres Löschen als Schutzmaßnahme anzusehen, denn eine unbefugte oder unrechtmäßige Verarbeitung gelöschter Daten ist nicht mehr möglich.
    (Letzteres gilt im Übrigen auch, wenn zum Schutz der betroffenen Person falsche Daten oder auf Antrag im Einzelfall gelöscht werden.)

Art. 11 Abs. 1 DSGVO stellt klar, dass der Verantwortliche den Personenbezug aufheben darf. Er darf Daten also anonymisieren oder löschen, wenn die zulässigen Zwecke „abgearbeitet“ sind. Die Rechte der betroffenen Person nach Art. 15 bis 20 DSGVO führen nicht zu einer generellen Verpflichtung, Daten personenbeziehbar über die Verarbeitung für zulässige Zwecke hinaus zu speichern (Art. 11 Abs. 2 DSGVO).

Auch aus den konkretisierenden Vorschriften können allgemeine Löschpflichten abgeleitet werden: In Art. 25 DSGVO wird im Kontext von Datenschutz durch Technikgestaltung u.a. auf die Umsetzung von Datenminimierung hingewiesen.

Die allgemeinen Löschpflichten sind nach Art. 28 Abs. 1 DSGVO vom Verantwortlichen auch an Auftragsverarbeiter weiterzugeben. Daher müssen auch Auftragsverarbeiter, soweit sie relevante Leistungen anbieten, den Verantwortlichen zumindest in die Lage versetzen, personenbezogene Daten rechtskonform zu löschen. Soweit das notwendig ist, müssen die Auftragsverarbeiter in ihrem Löschkonzept die Löschregeln der Verantwortlichen aufgreifen.

Löschen unrichtiger Daten

Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden (Richtigkeit, Artikel 5 (1d)). Sofern Daten nicht berichtigt werden können oder sollen, benötigt der Verantwortliche daher einen Mechanismus, der solche Datebestände in Löschläufen berücksichtigt.

Diese Vorgabe besteht unabhängig von den durch Antrag ausgelösten Rechten.

Vorgaben für Löschung oder Nicht-Löschung im Einzelfall auf Antrag

Die DSGVO sieht Rechte für die betroffene Person vor (Art. 15 bis 20 DSGVO). Im Unterschied zur generellen Löschvorgabe, die der Verantwortliche unabhängig von äußeren Anlässen erfüllen muss, wird die Wahrnehmung eines Individualrechts durch einen Antrag der betroffenen Person ausgelöst. Diese Individualrechte gelten nicht absolut, sondern unterliegen jeweils bestimmten Bedingungen. Die Anträge, die betroffenen Personen stellen, müssen daher geprüft und dürften in der Regel in Datenschutz-Prozessen bearbeitet werden.

Für das Löschkonzept sind zwei Artikel einschlägig: Art. 17 begründet das Recht auf eine vorzeitige Löschung, sofern die einschränkenden Bedingungen erfüllt sind. Nach Artikel 18 kann der Antragstellers unter bestimmten Bedingungen aber auch fordern, dass die Regellöschung für seine Daten ausgesetzt wird. Damit können diese beiden Artikel zu Ausnahmen von der Regellöschung führen, die in den technisch-organisatorischen Maßnahmen abgebildet werden müssen. 

Der Verantwortliche muss unter den Vorgaben des Art. 17 individuelle Ansprüche auf Löschung erfüllen. Diese werden auch begründet durch das Widerspruchsrecht nach Art. 21 DSGVO, unter anderem gegen die Verarbeitung im Direktmarketing. Der Anspruch der betroffenen Person wird allerdings auch durch verschiedene Sachverhalte nach Art. 17 Abs. 3 beschränkt, unter anderem durch Zwecke, die sich aus Rechtspflichten des Verantwortlichen ergeben oder wenn der Verantwortliche Rechtsansprüche geltend machen oder verteidigen will. Der Artikel wird daher schwerpunktmäßig Anwendung finden für Daten, die auf der Grundlage von Einwilligungen oder Interessenabwägung zugunsten des Verantwortlichen verarbeitet werden. 

Art. 18 eröffnet Rechte, nach der die betroffene Person eine nicht-Löschung verlangen kann: Unter der "Einschränkungen der Verarbeitung" sind auch Tatbestände vorgesehen, die dazu führen können, dass die Löschung von Daten ausgesetzt werden muss. Die Einschränkung der Verarbeitung ist für die Prüfung von Einwänden der betroffenen Person vorgesehen (Art. 18 Abs. 1 lit. a und d DSGVO). Es scheidet in solchen Fällen aus, den Widersprüchen betroffener Personen einfach durch Löschen der Daten zu entsprechen. Die betroffene Person kann nach Art. 18 Abs. 1 lit. b DSGVO die Löschung unrechtmäßig verarbeiteter Daten sogar ablehnen und stattdessen die Einschränkung der Nutzung verlangen. Nach Art. 18 Abs. 1 lit c ist eine Einschränkung der Verarbeitung auch einzurichten, wenn "die betroffene Person [die Daten] jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt". In diesen Fällen muss das Löschkonzept sicherstellen, dass diese Daten weiter vorgehalten werden, beispielsweise auch als Beweismittel gegen den Verantwortlichen. Sie dürfen nicht in die Regellöschung fallen. Gleichzeitig dürfen die Daten aber nicht weiter in den regulären Anwendungsprozessen des Verantwortlichen verwendet werden.

Die Umsetzung der Anträge auf Löschung kann nach Art. 58 Abs. 2 lit. c und lit. g DSGVO von der Aufsichtsbehörde angeordnet werden.

Informationspflichten über Löschregeln

Mit den Vorgaben zur Regellöschung korrespondieren Informationspflichten gegenüber dem Betroffenen: Nach Art. 13 Abs. 2 lit. a, Art. 14 Abs. 2 lit. a und Art. 15 Abs. 1 lit. d DSGVO muss der Verantwortliche die betroffene Person über die Dauer der Speicherung von personenbezogenen Daten oder Kriterien für die Festlegung der Dauer informieren. Die Löschregeln, die sich aus den Vorgaben zur Regellöschung ergeben, können hier die Basis für die Information sein.

Technisch-organisatorischer Aufwand für das Löschen

Die DSGVO erlaubt es dem Verantwortlichen, dass er nicht einen beliebig hohen technisch-organisatorischen Aufwand für das Löschen erbringen muss: Art. 24 DSGVO eröffnet für den Verantwortlichen einen Spielraum hinsichtlich der technisch-organisatorische Maßnahmen zum Schutz der personenbezogenen Daten. Er kann Maßnahmen auswählen oder so gestalten, dass sie angemessen sind, wenn er die Art, den Umfang, die Umstände und der Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigt.

Nach Art. 32 Abs. 1 DSGVO kann der Verantwortliche den Stand der Technik und die Implementierungskosten, die Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen für das Sicherheitsniveau seiner Maßnahmen berücksichtigen. Er muss ein geeignetes und angemessenes Schutzniveau erreichen. Auch nach Art. 32 Abs. 2 sind zur Auswahl des geeigneten Schutzniveaus die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Dabei werden auch die unbefugte Offenlegung und der unbefugte Zugang genannt. Beide Risiken können nach dem Ende der zulässigen Verarbeitung vermieden werden, wenn die entsprechenden Daten sicher gelöscht werden.

Mitteilungspflichten über Löschungen im Einzelfall

Es bestehen auch Mitteilungspflichten über Löschvorgänge auf Antrag nach Art. 17 Abs. 1 DSGVO: Wenn der Verantwortliche die Daten einer betroffenen Person öffentlich gemacht hatte, muss er nach Art. 17 Abs. 2 DSGVO angemessene Maßnahmen ergreifen, um andere Verantwortliche über diese Löschung zu informieren. Ich bezeichne diese anderen Verantwortlichen hier als Verwender 1. Grades.

Wenn der Verantwortliche die Daten einer betroffenen Person für Empfänger offengelegt hat, muss er nach Art. 19 DSGVO diese Empfänger auch darüber informieren, dass die Daten im Rahmen eines Antragsverfahrens gelöscht wurden. Ich bezeichne diese Empfänger hier als Empfänger 1. Grades.

Verwender 1. Grades oder Empfänger 1. Grades können ihrerseits wiederum die Daten für andere Verantwortliche bereitstellen. Um die betroffene Person konsequent zu schützen, müsste die Mitteilungspflicht auch für Verwender oder Empfänger 1. Grades gelten, die ihrerseits Mitteilungen für die Verwender oder Empfänger 2. Grades bereitstellen müssten, und so fort. Der Anspruch aus Art. 17 ergibt sich für die betroffene Person aber zunächst nur  gegenüber dem Verantwortlichen. Ob die Vorschriften auch für die nachgelagterten Verantwortlichen gelten und die Rechte über mehrere Stufen durchgesetzt werden können, dürfte noch Gegenstand der juristischen Diskussion werden. 

Dokumentationserfordernisse

Die DSGVO fordert schließlich, dass der Verantwortliche nachweisen kann, dass er seinen Pflichten nachkommt. Daraus entstehen Dokumentationserfordernisse für das Thema Löschen: Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gilt auch für das Thema Löschen. Danach ist zu zeigen, dass und wie die Aufgabe „Löschen“ geregelt und umgesetzt wird. Eine Dokumentationspflicht für Löschfristen besteht nach Art. 30 Abs. 1 lit. f DSGVO im Verzeichnis aller Verarbeitungstätigkeiten. Der Verantwortliche sollte daher sowohl seine Vorgehensweise zum Etablieren des Löschkonzepts als auch seine Löschregeln dokumentieren.

Da „Löschen“ Teil der technisch-organisatorischen Maßnahmen ist, ergeben sich auch Nachweispflichten nach Art. 24 Abs. 1 DSGVO: Die Maßnahmen können nur regelmäßig überprüft werden, wenn entsprechende Dokumentationen vorliegen. Solche Dokumentationen wären auch Voraussetzung für Zertifizierungen nach Art. 42 und 43 DSGVO. Eine Beschreibung der Löschmechanismen in den Umsetzungsvorgaben ist sinnvoll, weil nachvollzogen werden kann, wie die Löschregeln auf die verschiedenen Datenbestände angewandt werden. Es scheint auch notwendig, das Löschläufe dokumentiert werden, beispielsweise in Log-Protokollen. Damit sollte der Verantwortliche zeigen können, dass er die implementierten Mechanismen auch regelmäßig anwendet.  

Nachweispflichten ergeben sich auch für Löschungen in Einzelfällen auf Antrag: Für Löschungen auf Antrag nach Art. 17 Abs. 1 DSGVO dürfte es sinnvoll sein, zu dokumentieren, dass das Anliegen abgearbeitet wurde. Im Zusammenhang mit Vorfällen dürfte nach Art. 33 Abs. 5 DSGVO auch festzuhalten sein, ob die Löschung von personenbezogenen Daten versäumt wurde sowie ob und wann im Rahmen der Maßnahmen nach Art. 33 Abs. 3 lit. d DSGVO (verspätete) Löschungen geboten sind. Entsprechend sollte für das Aussetzen der Löschung im Einzelfall nachvollziehbar sein, dass dem Verantwortlichen die Anträge vorliegen. Bei Vorliegen der entsprechenden Bedingungen sollte nachvollziehbar sein, dass die Daten wieder in die Regellöschung aufgenommen wurden.

Die Dokumentation der Fortschreibung des Löschkonzepts wird unter 'Weiterentwicklung' behandelt.

Vorgaben für die Überwachung der Löschmaßnahmen

Technisch-organisatorische Maßnahmen sind nach Art. 24 Abs. 1 DSGVO und Art. 32 Abs. 1 lit. d DSGVO erforderlichenfalls zu überprüfen. Damit wird auch für Löschmaßnahmen zu überwachen sein, ob beispielsweise vorgesehene Löschläufe auch ausgeführt wurden und richtig gelöscht haben.

Die Löschläufe sind daher in das IT-Monitoring einzubeziehen. Fehler müssen nachverfolgt und beseitigt werden. Log-Protokolle helfen bei der Überwachung und für regelmäßige Audits. Die Löschmechanismen sollten auch regelmäßig überprüft werden, indem untersucht wird, ob in den Datenbeständen noch löschfällige Daten enthalten sind. Das kann z.B. sinnvoll sein, wenn die Software geändert wurde und zur Absicherung der Verfahren mindestens einmal im Jahr. 

Vorgaben für die Weiterentwicklung des Löschkonzepts

Art. 24 Abs. 1 DSGVO weist auch darauf hin, dass Maßnahmen bei Bedarf zu aktualisieren sind. Art. 32 Abs. 1 DSGVO fordert eine Orientierung am Stand der Technik. Entsprechend der Angemessenheitskriterien sind das Löschkonzept und die Löschmaßnahmen deshalb weiterzuentwickeln. Die Weiterentwicklung schließt auch Änderungen von Vorschriften ein, die die Zwecke der Verarbeitung oder Löschpflichten begründen. Daraus können Änderungen von Löschregeln entstehen. Schließlich können auch Anpassungen der Vorgehensweise der Organisation gefordert sein, beispielsweise wenn Verantwortlichkeiten für Anwendungen, die Löschmechanismen oder die Pflege von Dokumenten des Löschkonzepts geändert werden.

Um nachweisen zu können, dass das Löschkonzept fortgeschrieben wird, sind in den Dokumenten Angaben zur Dokumentenlenkung hilfreich. Dazu gehören insbesondere die Dokumenthistorie, die Bearbeiter des Dokuments und die Freigaben.

Vorgaben für das Löschen beim Auftragsverarbeiter

Auftragsverarbeiter unterliegen letztlich den bereits genannten Pflichten, denn nach Art. 28 Abs. 3 DSGVO verarbeiten sie nur auf Weisung des Verantwortlichen und sind verpflichtet, ihn in seinen Aufgaben zu unterstützen, also auch hinsichtlich der Pflichten im Kontext von Löschen. Löschpflichten sind nach Art. 28 Abs. 1 DSGVO auch an Auftragsverarbeiter weiterzugeben.

Aus dieser Perspektive sind Aufgaben für das Löschen für beide Parteien ähnlich. Zwar liegt die Verantwortung für die Definition der Löschregeln, für Informations- und Mitteilungspflichten zunächst beim Verantwortlichen; für Bereiche, in denen der Verantwortliche wegen seiner Größe kaum Kompetenz über Löschregeln aufbaut, scheint es aber sehr sinnvoll, dass der Auftragsverarbeiter als Vertragsleistung von vorneherein rechtskonforme Löschung anbietet. Er kann den Verantwortlichen also hinsichtlich dieses Teils seines Löschkonzepts erheblich unterstützen.

Zusätzlich müssen Auftragsverarbeiter die Daten des Verantwortlichen nach dem Ende des Vertragsverhältnisses in ihrem Herrschaftsbereich löschen (Art. 28 Abs. 3 lit. g DSGVO). Dem Verantwortlichen steht zwar die Option offen, sich die Daten zurückgeben oder löschen zu lassen. In der Praxis werden aber in den seltensten Fällen Datenträger ausgebaut und verschickt werden. Die Rückgabe wird in vielen Fällen als Kopie erfolgen. Der Auftragsverarbeiter muss dann seine „verbliebenen“ lokalen Daten löschen.

Geldbußen bei Verstößen

Mit Art. 83 setzt die DSGVO hohe Sekundärmotivationen, die auch von den Aufsichtsbehörden für Verstöße gegen die meisten der genannten Rechtsvorschriften anzuwenden sind.

Weiterführende Informationen

Für weiterführende Informationen zu den Rechtsvorschriften der DSGVO verweise ich auf Kommentare.