Rechtliche Motivation

Eine wichtige Vorgabe im Datenschutzrecht ist das Löschen von personenbezogenen Daten, wenn ihre Verarbeitung nicht mehr erforderlich ist (§ 35 BDSG). Diese Regel schützt die Betroffenen vor unzulässiger Verwendung ihrer Daten, wenn die zulässigen Prozesse beendet sind. In der Praxis gibt es allerdings häufig Umsetzungsdefizite der rechtlichen Löschvorgabe - und damit Verstöße gegen Rechtsvorgaben. Damit verbunden sind zusätzliche Risiken, z.B. dass bei einem Vorfall personenbezogene Daten preisgegeben werden, die eigentlich schon hätten gelöscht werden müssen.

Die Leitlinie Löschkonzept gibt praktische Anleitungen für viele Problemstellungen in einem Löschprojekt. Sie erleichtert es insbesondere, Löschregeln festzulegen. Dies  ist die zentrale Voraussetzung, um ein durchgängiges Löschkonzept in einer Organisation zu etablieren: Ohne Löschregeln können keine Löschmechanismen  implementiert werden.

Jede verantwortliche Stelle muss allerdings prüfen, welche Rechtsvorschriften für sie einschlägig sind und ihr Löschkonzept und ihre Löschregeln daran ausrichten. Die Norm kann deshalb keine konkreten Löschregeln vorschlagen. Sie kann auch keine Rechtsberatung bieten. (Diese Webseite im übrigen auch nicht.)

Vorsprung für Löschprojekte

Die Leitlinie Löschkonzept verschafft den Organisationen, die sie anwenden, große Vorteile: Wesentliche konzeptionelle Voraussetzungen für ein Löschprojekt, die sonst erst erarbeitet werden müssen, stehen zum Projektbeginn fertig zur Verfügung. Erfahrungen müssen nicht teuer gewonnen, sondern können schnell genutzt werden.

Löschen nach EU Datenschutz-Grundverordnung

Auch die EU Datenschutz-Grundverordnung (EU-DSGVO) fordert das Löschen personenbezogener Daten, unter anderem nach folgenden Regelungen:

  • Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung, Artikel 5 (1b)).
  • Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung, Artikel 5 (1c)). 
  • Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden (Richtigkeit, Artikel 5 (1d)).
  • Die Identifizierung der betroffenen Person darf nur solange möglich sein, wie es die Zwecke erfordern (Speicherbegrenzung, Artikel 5 (1e)).
  • Die Forderung zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung  nach Artikel 5 (1f) legt das Löschen nicht mehr erforderlicher Daten ebenfalls nahe.
  • Artikel 17 regelt das "Recht auf Vergessenwerden". Danach kann der Betroffene die Löschung seiner Daten verlagen, u.a. nach dem Grundsatz der Erforderlichkeit, bei Wiederrufen der Einwilligung oder wenn er gegen die Verarbeitung seiner Daten Wiederspruch einlegt. (Für den Löschanspruch können in manchen Fällen weitere Bedingungen gefordert sein.)
  • Unter der Überschrift "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" werden vom Verantwortlichen Umssetzungsmaßnahmen gefordert. Ausdrücklich genannt werden auch die Datenminimierung (in Artikel 25 (1)) und die Speicherfrist (Artikel 25 (2)).

Insofern können sich vielleicht die Löschregeln für einzelne Datenarten ändern, weil sich durch die EU-DSGVO Veränderungen für die Rechtsgrundlage der Verarbeitung oder die Abwägung der Zulässigkeit ergeben. Die Aufgabe zu löschen bleibt aber für die verantwortliche Stelle bestehen.

Die Pflichten, die Maßnahmen zum Löschen zu dokumentieren, werden in der EU-DSGVO gegenüber dem BDSG präzisiert. So fordert beispielsweise Artikel 5 (2) Nachweise zu den ergriffenen Maßnahmen. Implizit werden solche Nachweise wohl auch nach Artikel 25 (3) erwartet, denn es wird darauf verwiesen, dass Nachweise durch Zertifizierungsverfahren erbracht werden können. Im "Verzeichnis von Verarbeitungstätigkeiten" nach Artikel 30 sollen nach (1f) die vorgesehenen Fristen für die Löschung von Daten angegeben werden (wie bisher auch schon im Verfahrensverzeichnis nach BDSG).

Ein Löschkonzept nach DIN 66398 kann wesentlich dazu beitragen, die Lösch- und Nachweispflichten nach EU-DSGVO erfüllen. Es gibt bislang keine Anzeichen, dass die in der Norm vorgeschlagene Vorgehensweise in Wiederspruch zu Forderungen der EU-DSGVO steht.

Verstöße gegen die Pflichten aus der EU-DSGVO können von den Aufsichtsbehörden geahndet werden, beispielsweise

  • bei Verstößen gegen die Vorgaben von Artikel 5 oder 17 mit Geldbußen bis zum Maximum aus € 20.000.000 oder 4% des weltweiten Jahresumsatzes oder
  • bei Verstößen gegen die Vorgaben von Artikel 25 oder 30 mit Geldbußen bis zum Maximum aus € 10.000.000 oder 2% des weltweiten Jahresumsatzes.

Auch diese sekundären Motivationen können nahelegen, ein Löschkonzept für die Organisation zu etablierten.

Noch mehr Motivation durch den Nutzen ...

Die Vorgehensweise der Leitlinie wurde zunächst entwickelt, um die datenschutzrechtlichen Vorgaben erfüllen zu können. Im Verlauf der Umsetzung zeigten sich aber weitere positive Effekte. Die Hinweise in der Rubrik Nutzen motivieren daher ebenfalls, ein Löschkonzept in einer Organisation zu etablieren.