Lösch- und Archivierungspflichten unter DSGVO: Elf Punkte, die Sie auf die sichere Seite bringen
Mark Großer von der Managementberatung Detecon und Rechtsanwalt Christian Kuss von der Luther Rechtsanwaltsgesellschaft erläutern in dem Gastbeitrag für silicon.de, wie Unternehmen Fehler bei der Umsetzung der DSGVO hinsichtlich der Lösch- und Archivierungspflichten vermeiden können.
Alltag in einer IT-Abteilung: Regelmäßig wandern riesige Datenmengen in Datenbanken, Data Lakes und Backup-Systeme, ohne dass geklärt wurde, ob die Speicherung dieser Daten überhaupt (noch) zulässig ist. Dies beginnt schon bei Mailsystemen, die häufig multifunktional als Kommunikationstool, Ablage, Todo-Liste und Privatarchiv genutzt werden. Nun verlangt das Datenschutzrecht, dass personenbezogene Daten gelöscht werden, wenn der Zweck, für den sie ursprünglich gespeichert wurden, erfüllt bzw. weggefallen ist. Dies ist regelmäßig der Fall, wenn die gesetzliche Aufbewahrungsfrist abgelaufen ist oder die Daten für den Zweck der Verarbeitung nicht mehr zwingend erforderlich sind. Besonders gravierend: Seit dem 25. Mai 2018 fordert die neue Datenschutz-Grundverordnung (DSGVO) bei Verstoß erhebliche Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten (Konzern-)Umsatzes – je Vorfall. Sind Daten daher nicht gelöscht, obwohl dies dem Betroffenen bestätigt wurde, kann dies also erhebliche Konsequenzen nach sich ziehen.
Um diese Konsequenzen zu vermeiden, gilt es, die nachfolgenden elf Punkte zum Archivierungs- und Löschkonzept zu evaluieren und umzusetzen:
- Nach Artikel 5 Abs. 1 DSGVO dürfen Daten nur so lange gespeichert werden, wie sie für die Erfüllung des Zweckes notwendig sind, für den sie ursprünglich erhoben und gespeichert wurden. Grundsätzlich gilt also, dass personenbezogene Daten nach Erreichen des Zwecks – z.B. durch Beendigung des Geschäftsverhältnisses – gelöscht werden müssen. Daneben können auch die Rechte des Betroffenen, wie das „Recht auf Vergessen“, dazu führen, dass personenbezogene Daten gelöscht werden müssen. Das verantwortliche Unternehmen hat es also nicht (mehr) allein in der Hand, festzulegen, wie lange personenbezogene Daten gespeichert bleiben.
- Die erste Aufgabe eines Unternehmens, das Daten verarbeitet, besteht darin, „personenbezogene Daten“ überhaupt als solche zu identifizieren und – innerhalb der personenbezogenen Daten – diese zu klassifizieren. Nur wenn das Unternehmen weiß, wo welche Daten gespeichert sind, kann es die Vorgaben der DSGVO umsetzen und die notwendigen Maßnahmen implementieren. Aufgrund der weiten Definition der personenbezogenen oder personenbeziehbaren Daten handelt es sich faktisch um eine sehr große Menge an Daten.
- Es besteht gemäß DSGVO wie bereits laut BDSG (Bundesdatenschutzgesetz) eine Pflicht zur Führung eines Verzeichnisses der datenverarbeitenden Tätigkeiten. Darin müssen auch aussagekräftige Angaben, u.a. zum Zweck, der Rechtsgrundlage und der Aufbewahrungsfrist der Verarbeitung personenbezogener Daten genannt sein. Dieses Verzeichnis – wenn es sorgfältig geführt wird – schafft die notwendige Transparenz wo welche Daten gespeichert sind und wann diese Daten gelöscht werden müssen. Das Verzeichnis der Verarbeitungstätigkeiten hilft aber auch dann, wenn personenbezogene Daten berichtigt oder aktualisiert werden müssen oder ein Betroffener personenbezogene Daten in maschinenlesbarer, digitaler Form herausverlangt. All dies erfordert von Unternehmen eine Übersicht über die personenbezogenen Daten, Speicherorte und zugehörige Prozesse.
- Gemäß Artikel 13 und 14 der DSGVO müssen die Betroffenen bereits bei Datenerhebung darüber informiert werden, wie lange die Daten gespeichert werden. Unternehmen müssen also differenzieren und festlegen, wie lange die jeweiligen Datenkategorien gespeichert werden. Kann keine konkrete Dauer, d.h. kein Zeitraum oder Zeitpunkt angegeben werden, so müssen mindestens die Kriterien benannt werden, anhand derer die Speicherdauer bestimmt werden kann. Und natürlich muss nicht nur die betroffene Person darüber informiert werden, sondern das Unternehmen muss selbstverständlich die Vorgaben intern umsetzen. Entsprechende Hinweise sind etwa im Verfahrensverzeichnis festzuhalten.
- Faktisch steht turnusmäßig oder in Einzelfällen die Entscheidung zur Löschung von Daten für Unternehmen an. Allerdings ist die Datenlöschung nicht immer wirklich geboten.
Denn: Trotz aktuellem Fokus auf den Datenschutz sind stets mögliche Archivierungspflichten einzuhalten. Hier existiert eine Vielzahl von spezialgesetzlich geregelten Aufbewahrungspflichten, z.B. im Handels- und Steuerrecht (§§ 257 HGB bzw. § 147 AO), § 5a Energiewirtschaftsgesetz, § 5 Bundesimmissionsschutzgesetz, dem Arbeitsrecht (Lohnsteuer, Sozialversicherung, Arbeitsschutz und Mindestlohn) und aus Regulierungsvorgaben (z.B. im Kreditwesengesetz) oder auch aus internationalen Regelungen heraus. Häufig gibt es auch Vorgaben, wie die Archivierung umzusetzen ist, etwa die GdPDU für den elektronischen Zugriff von Behörden auf steuerlich relevante Unterlagen. Pauschale Verweise auf sechs- oder zehnjährige Aufbewahrungspflichten reichen dagegen nicht aus. Das Unternehmen muss konkret entscheiden, welche Daten geschäftskritisch sind, welche Daten nach welchem Gesetz wie lange archiviert werden, welche Daten sind aus Sicht des Datenschutzes aktiv zu löschen sind und wie die Datenlöschung technisch umgesetzt wird.
- Diesen Widerspruch zwischen der Pflicht zur Datenlöschung und den Aufbewahrungspflichten löst die DSGVO über Art. 6 Abs. 1.: Danach dürfen personenbezogene Daten archiviert werden, wenn dies zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient. Bestehen gesetzliche Aufbewahrungsfristen, so ist damit die Rechtsgrundlage für die weitere Verarbeitung (Speicherung/Archivierung) der personenbezogenen Daten gegeben. Konkret bedeutet dies, dass z. B. Rechnungen mit Kundendaten und relevante Dokumente, die nach HGB oder AO aufzubewahren sind, auch nach der Beendigung eines Vertragsverhältnisses archiviert werden. Wichtig: Viele gesetzliche Aufbewahrungsfristen beziehen sich auf Kalender/Geschäftsjahre, nicht auf unterjährige Termine. Eine Frist von 10 Jahren bei Daten, die am 1.1. gespeichert werden, bedeutet real also maximal 10 Jahre und 364 Tage Speicherung bis zur (Turnus-)Löschung.
- Abzuwarten bleibt, ob Aufsichtsbehörden und Gerichte eine Aufbewahrung auch ohne konkrete Aufbewahrungspflicht aufgrund einer Interessenabwägung im Art. 6 Abs. 1 DSGVO zulassen. Ein berechtigtes Interesse für ein Unternehmen zu einer längerfristigen Speicherung kann wohl jedenfalls dann angenommen werden, wenn es die personenbezogenen Daten noch benötigt, um sich gegen einen Rechtsstreit zu verteidigen oder selbst Ansprüche gelten zu machen. Damit kommen die gesetzlichen Verjährungsfristen als Leitlinien für die Archivierung in Betracht, was bis zu einer Speicherung von 30 Jahren führen kann.
- Generell ist im Unternehmen die Abwägung über Rechtsgrundlagen von Speicherung und Löschung – insbesondere bei Löschungsanfragen von Betroffenen – notwendig und daher zwingend als Prüf- und Entscheidungsprozess zu etablieren. Dies umfasst ebenfalls die Korrektur falscher personenbezogener Daten und die Auskunftsfähigkeit über die gespeicherten Daten / Informationen. Es muss eine geregelte Zusammenarbeit der fachlich Verantwortlichen (Vorgabe zur Archivierung) und der Umsetzung in der IT geben – dabei helfen eine Governance mit klarem „Data Owner“ und eine Organisation zum bewusstem Umgang mit Daten. „Data Governance“ ist hier das entscheidende Stichwort!
- Rechtliche Grundlagen für die Technik: Die DSGVO macht keine expliziten Vorgaben zur technisch-organisatorischen Umsetzung, schreibt aber „TOMs“ (technische und organisatorische Maßnahmen) vor, die die Vorgaben der DSGVO umsetzen. Diese müssen stets den aktuellen Stand der Technik „berücksichtigen“ (jedoch nicht umzusetzen). Insofern wird das Thema der Datensicherheit analog zum IT-Sicherheitsgesetz („KRITIS“ etc) betont. Exemplarisch genannt werden (Art. 25, Erwägungsgrund 28) wenige Maßnahmen wie die Anonymisierung und Pseudonymisierung von personenbezogenen Daten.
- Konkrete Hilfestellung zu technisch-organisatorischen Maßnahmen bieten die aus IT-Sicherheit und Informationssicherheit bekannten Rahmenwerke wie die ISO27000-Familie. Das BSI (Bundesamt für Sicherheits- und Informationstechnik) bietet mit dem recht neuen IT-Grundschutz-Kompendium eine Reihe an Maßnahmenempfehlungen. Diese werden laufend aktualisiert und tragen zur Umsetzung der gesetzlichen Lösch- und Archivierungspflichten bei. Wichtig ist die Basis, also eine Klassifikation von Daten und Systemen. Einige vorhandene Lösungen sind bereits am Markt etabliert, etwa die Nutzung synthetisch erzeugter Testdaten statt produktiver, realer Daten in Systementwicklung und Testing sowie die Möglichkeit, extrahierte Metadaten statt personenbezogener Nutzdaten der IT-Anwendungen für Verarbeitungsverfahren zu nutzen. Wie immer liegt der Teufel im Detail der technischen Umsetzung, oft aber schon in der Frage, wo Daten überhaupt liegen, wohin sie übertragen wurden (Synchronisation, Schnittstellen) und wann man von einer tatsächlichen Löschung ausgehen kann. Für das technische Verfahren der Löschung, wie Anzahl und Art des Überschreibens / Speicherns oder der Vernichtung von Datenträgern hilft z.B. der VSITR-Standard des BSI mit der DIN 66399:2012 oder der US-Standard „DoD-5220.22-M (E)“.
- Besondere Fälle zu löschender Daten sind Backup- und Logdateien, die in der Regel fast immer personenbezogene Daten im Sinne der Gesetze enthalten, etwa Usernamen, IDs oder LogOn-Zeiten. Hierzu gilt: Der Zweck von Backups ist gemeinhin nicht die Archivierung, sondern die Absicherung der Verfügbarkeit von IT-Systemen und deren Daten („Produktiv-Umgebungen“). Archivierung und Backups zu Wiederherstellungs-Zwecken sind methodisch daher zu trennen – auch bei der Löschung. Damit lässt sich auch das Dilemma lösen, wie aus Backup-Dateien konkrete Datensätze gelöscht werden können.
Das Backup dient dem Zweck, Daten, im Falle einer Beeinträchtigung, wiederherstellen zu können. Das Archiv soll die gesetzlichen Archivierungspflichten erfüllen. Daraus folgt, dass im Archiv eigentlich keine personenbezogenen Daten enthalten sein können, die vorab zu löschen sind, weil alle darin gespeicherten Daten notwendig sind, um die Archivierungspflichten zu erfüllen. Auf der anderen Seite kann das BackUp zeitnah gelöscht werden, wenn die zu archivierenden Daten im Archiv gespeichert sind. Denn der Zweck der Datensicherung ist dann erfüllt, wenn das nächste Backup erstellt wurde. Dann ist das vorhergehende zu löschen. Eine angemessene Löschfrist für personenbezogene Daten aus Backups kann z.B. die Zeit des Backup-Zyklus umfassen – zunächst Löschung im Produktivsystem, nach dem Backup-Zyklus auch dort. Relativ einfach lässt sich dies in modernen „Snapshot-Verfahren“ bewerkstelligen. Diskutabel und kritisch sind aber klassische Monats- und Jahresbackups auf Bändern.