Löschpflichten und Datensparsamkeit - Rechts- und Patentanwälte

Deutsch / English

Löschpflichten und Datensparsamkeit

Gegen die Deutsche Wohnen SE wurde kürzlich durch die Berliner Datenschutzbehörde ein Bußgeld in Höhe von 14,5 Mio. Euro verhängt. Der Grund: Ein „Datenfriedhof“. Diese Darstellung durch eine Behördenvertreterin beschreibt anschaulich das Archivsystem der betroffenen Immobiliengesellschaft. Wegen Verstößen gegen Löschpflichten der DSGVO wurde daher das in Deutschland bislang höchste Datenschutz-Bußgeld verhängt. Wir zeigen Ihnen, wie Sie das Problem auch in Ihrem Unternehmen in den Griff bekommen.

Umfassende, nicht mehr benötigte Datensammlungen

Allzu ungewöhnlich erscheint die beschriebene Konstellation nicht. Viele Unternehmen werden längst nicht mehr benötigte Daten von Kunden, Daten von Lieferanten, Ansprechpartnern oder einfach eine Vielzahl von E-Mails aus längst abgeschlossenen Vorgängen aktiv aufbewahren oder zumindest „für alle Fälle“ gesichert haben. Dies betrifft nicht nur Kunden- oder Lieferantenkarteien, sondern auch jedes elektronische oder archivierte Dokument, in dem ein personenbezogenes Datum wie Name, Unterschrift, Telefonnummer, E-Mail-Adresse oder Foto einer Person enthalten ist.

Besonders die unüberschaubaren Archive in E-Mail-Programmen oder CRM-Systemen führen zu einer Flut an längst nicht mehr benötigten Datensammlungen.

Gebot der Datensparsamkeit

Problematisch ist hierbei, dass das datenschutzrechtliche Gebot der Datensparsamkeit bzw. Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zur Löschung von personenbezogenen Daten verpflichtet, soweit diese nicht länger benötigt werden.

Hervorzuheben ist: Sofern personenbezogene Daten noch erforderlich sind (Nachweispflichten, Beweissicherung, Auftragsdokumentation, gesetzliche Pflichten), dürfen diese auch aufbewahrt werden. Nicht mehr erforderliche Daten sind allerdings zu löschen. Gleiches gilt für diejenigen Daten, die für den Verarbeitungszweck überflüssig sind und nur neben den erforderlichen Daten aufbewahrt worden sind.

Löschpflichten

Neben dem Grundsatz der Datensparsamkeit / Datenminimierung aus Art. 5 DSGVO gibt es in einigen Gesetzen Verpflichtungen des Verarbeiters zur Löschung von personenbezogenen Daten. So kann der Betroffene auch stets sein „Recht auf Vergessenwerden“ aus Art. 17 DSGVO ausüben und selbst auf die Löschung der Daten hinwirken. Soweit der Verantwortliche Daten weitergegeben hat, muss er auch den Datenempfänger über das Löschungsbegehren informieren.

Im Ergebnis besteht daher neben der grundsätzlichen Pflicht zulasten der Unternehmen, Daten selbstständig zu löschen, auch ein seitens des Betroffenen auszuübender Anspruch auf Beseitigung von Daten, soweit diese nicht aus anderem Grunde noch benötigt werden (z.B. Erfüllung gesetzlicher Verpflichtungen, Auftragsdokumentation, sonstige Nachweispflichten).

Vorgehen

Nicht nur zur Vermeidung von Bußgeldern, sondern auch zur Wahrung der gesetzlichen Verpflichtung ist es daher inzwischen unerlässlich, ein Löschungskonzept zu etablieren. Dieses gliedert sich üblicherweise in die folgenden Einzelmaßnahmen:

–   Umfanganalyse / Bestandsaufnahme
–   Festlegung von Datenkategorien
–   Festlegung der Löschfristen (nach Gesetz, Bedarf oder Einzelfallfestlegung)
–   Bestimmung eines Löschverantwortlichen
–   Einbettung in die Organisationsstruktur
–   Umsetzung des Löschkonzepts

Die häufig schwer kalkulierbaren Löschfristen können Sie in der Regel auch Ihrem Verarbeitungsverzeichnis entnehmen.

Empfehlung für die Praxis

Löschkonzepte sind unerlässlich. Dabei dürfte bereits ausreichend sein, dass Sie überhaupt ein Löschkonzept als Dienstanweisung an Ihre Mitarbeiter ausgeben und dies kontrollieren, um nicht in die o.g. Sphären von Bußgeldern zu gelangen.

Gerne beraten wir Sie zur Einführung eines geeigneten Löschkonzepts für Ihr Unternehmen oder unterstützen Sie bei der Sensibilisierung Ihrer Mitarbeiter.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 91360