Wie geht man bei der Erstellung eines Löschkonzepts vor?

1. Personenbezogene Daten im Unternehmen lokalisieren

Zunächst sollte fu¨r jede Abteilung des Unternehmens eine gesonderte Bestandsanalyse durchgeführt werden, die einen Überblick darüber gibt, welche Verarbeitungstätigkeiten stattfinden und welche Daten in welchen Systemen oder auf welchen Datenträgern gespeichert werden. Ebenso, welche Datenzu- und Abflu¨sse zwischen einzelnen Systemen vorliegen. Dabei ist insbesondere die Datenkategorie zu erfassen, ebenso wie die Dauer, fu¨r die diese Daten unmittelbar im jeweiligen Geschäftsvorgang benötigt werden. Handelt es sich um eine Massenverarbeitung (bspw. Verarbeitung von Zahlungstransaktionen), ist die Ermittlung einer durchschnittlichen Verweildauer der Daten möglich und empfehlenswert. Weiterhin muss festgestellt werden, ob die betreffenden Daten einer gesetzlichen Aufbewahrungspflicht unterliegen und wann diese beginnt und endet. In diesem Zusammenhang sind die branchenspezifischen Rechtsvorschriften zu ermitteln, die fu¨r die jeweiligen Daten gelten. Insoweit ergeben sich beispielsweise allgemeine Fristen aus dem Handels-, Arbeits- und Steuerrecht.

2. Einordnung in Datenkategorien

Anschließend erfolgt die Einordnung der Daten in unterschiedliche Kategorien, die sich nach der Länge der Aufbewahrungsfrist richten. Handelt es sich um besonders sensible personenbezogene Daten im Sinne von Art. 9 DSGVO, können weitere Punkte zu beachten sein. Werden Daten vom Unternehmen im Wege der Auftragsverarbeitung durch einen externen Dienstleister verarbeitet oder verarbeitet das Unternehmen selbstständig personenbezogene Daten im Auftrag eines anderen, sollte auch fu¨r diese jeweils eine eigene Kategorie gebildet werden.

3. Aufstellung von Löschregeln

Gemäß der Datenschutzgrundverordnung du¨rfen personenbezogene Daten nur solange
gespeichert werden, wie dies auch tatsächlich erforderlich ist. Dabei ist zu beachten, dass personenbezogene Daten nicht nach dem Zufallsprinzip, sondern vielmehr nach sinnvollen Regeln gelöscht werden mu¨ssen. Eine Löschregel definiert, ob die angelegte Kategorie an einem bestimmten Tag oder in bestimmten Zeitabständen gelöscht werden muss. Zur Aufstellung einer Löschregel muss zunächst die jeweils geltende Aufbewahrungsfrist fu¨r die gebildete Datenkategorie ermittelt und anschließend fu¨r jede Kategorie mithilfe des Erhebungsdatums, der absehbaren Bearbeitungszeit und dem Beginn der jeweils geltenden Aufbewahrungsfrist eine Löschregel definiert werden.

Nach Ablauf der zuvor definierten Aufbewahrungsfristen sind sämtliche, sowohl analoge als auch digitale Datensätze datenschutzkonform zu löschen beziehungsweise zu vernichten. Dafu¨r sollten sichere Vorgehensweisen gewählt werden.

Wann mu¨ssen Daten gelöscht werden?

Grundsätzlich mu¨ssen personenbezogene Daten auch immer dann gelöscht werden, wenn die betroffene Person dies im Rahmen der Geltendmachung ihres Rechts auf Löschung aus Art. 17 DSGVO vom Verantwortlichen verlangt.. Demnach ist eine Datenlöschung immer dann vorzunehmen, wenn die personenbezogenen Daten fu¨r die Zwecke, fu¨r die sie urspru¨nglich erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind. Weiterhin kann sich eine Löschpflicht auch dann ergeben, wenn die Einwilligung in die Datenverarbeitung vom Betroffenen widerrufen wurde und fu¨r die Verarbeitung keine andere Rechtsgrundlage vorliegt. Insbesondere deshalb ist eine regelmäßige Überprüfung und entsprechende Aktualisierung der Löschroutinen und Datenbestände unausweichlich. Mit einer regelmäßigen automatischen Löschung von Datenkategorien ist es deshalb häufig nicht getan.

Dokumentation, Überprüfung und Aktualisierung des Löschkonzepts

Sämtliche vorgenannten Schritte sind zu dokumentieren. Insbesondere sind alle Löschvorgänge in einem Löschprotokoll zu dokumentieren, das fu¨r eine gewisse Dauer aufbewahrt werden sollte, um die Vornahme der Löschungen unter Umständen gegenüber Betroffenen oder Behörden nachweisen zu können. Um der Dokumentations- und Rechenschaftspflicht aus der DSGVO ordnungsgemäß nachzukommen, sollte das Löschkonzept darüber hinaus in regelmäßigen Abständen aktualisiert und sogleich u¨berpru¨ft werden, ob die festgelegten Löschfristen auch tatsächlich eingehalten werden und die automatischen Löschmechanismen keine Fehler aufweisen.

Kann eine Einwilligung durch Zeitablauf erlöschen?

n diesem Zusammenhang ist zu beachten, dass es in der Vergangenheit eine Reihe an Urteilen gab, die sich mit der Frage des Erlöschens einer Einwilligung durch Zeitablauf bzw. durch Verwirkung beschäftigt haben.

So auch erst kürzlich das Amtsgericht München (AG München, Urteil vom 14.02.2023, 161 C 12736/22). Das Gericht hat in seinem Urteil festgestellt, dass eine einmal erteilte Einwilligung in den Erhalt eines Newsletters auch dann erlischt, wenn ein E-Mail-Account über einen Zeitraum von vier Jahren nicht mehr genutzt wurde, der Werbende Kenntnis davon hatte und der Versand des Newsletters aufgrund dieser Kenntnis für eine gewisse Zeit unterblieben ist. Nach Auffassung des Gerichts müsse der Absender sich vom Empfänger bestätigen lassen, dass die ursprünglich erteilte Einwilligung noch besteht, wenn der Versand von Werbemails wieder aufgenommen werden soll.

Auch das LG München I entschied mit Urteil vom 8. April 2010, Az. 17 HK O 138/10 in einem ähnlichen Fall, dass eine Einwilligung in Werbemails, die vor 17 Monaten erteilt wurde und über die gesamte Zeit nicht genutzt wurde, „ihre Aktualität verliere“.

Demgegenüber verweist die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung auf das Urteil des Bundesgerichtshofs vom 01. Februar 2018 (III ZR 196/17), in dem die Richter noch vor dem Inkrafttreten der DSGVO klargestellt hatten, dass eine einst erteilte Einwilligung grundsa¨tzlich nicht allein durch Zeitablauf erlösche. Dies gelte allerdings nur, solange das betreffende Vertragsverhältnis andauert sowie bis zu höchstens zwei Jahren nach Beendigung des Vertrages. Für diesen überschaubaren Zeitraum könne nach Auffassung des BGH ein fortbestehendes Interesse des Verbrauchers, der bei Vertragsschluss seine Einwilligung in eine werbliche Ansprache erteilt hatte, angenommen werden.

Auch das AG München verweist in seinem Urteil auf diese Rechtsprechung des BGH, vertritt jedoch die Auffassung, dass die Einwilligung aufgrund der oben dargestellten besonderen Umstände durch Zeitablauf erloschen sei. Es bleibt abzuwarten, wie sich die Rechtsprechung zur Frage des Erlöschens einer Einwilligung aufgrund Zeitablaufs zukünftig entwickelt.

Für den Verantwortlichen ergibt sich daraus, dass insbesondere beim Umgang mit personenbezogenen Daten, deren Verarbeitung auf eine Einwilligung des Betroffenen gestützt wird, besonderes Augenmerk im Hinblick auf die einzuhaltenden Löschfristen zu legen ist. Denn wenn die Wirksamkeit einer Einwilligung – etwa in Werbemaßnahmen – nach einer gewissen Zeit abläuft, besteht auch kein datenschutzrechtlicher Rechtfertigungsgrund für die Speicherung der Kontaktdaten des Betroffenen mehr. Wer hier einen Datenschutzverstoß sicher ausschließen will, kommt um eine regelmäßige Überprüfung seiner Löschroutinen nicht herum.

Fazit

Spätestens seit dem Inkrafttreten der DSGVO sollten sich Unternehmen angesichts der deutlich erhöhten Bußgeldrahmen offensichtliche Lücken in diesem Bereich nicht mehr erlauben. Ist die Dokumentation und/oder Umsetzung des Löschkonzepts mangelhaft, drohen Bußgelder, die sich bekanntlich im Maximum auf bis zu 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres, je nachdem welcher der Beträge höher ist, erstrecken können. Erfahrungsgemäß ist das Vorhandensein eines Löschkonzepts eine der wesentlichen Anforderungen, die die Aufsichtsbehörden im Rahmen von Kontrollen stellen. Bestehen hier große Lücken, ist mit einem Entgegenkommen der Behörden regelmäßig nicht zu rechnen. Auf die Führung und regelmäßige Aktualisierung eines datenschutzkonformen Verarbeitungsverzeichnisses und Löschkonzepts sollte daher keinesfalls verzichtet werden.