Zentraler Bestandteil einer datenschutzkonformen Unternehmensführung ist neben einem vollständigen Verarbeitungsverzeichnis ein gut durchdachtes Löschkonzept. Unternehmen sind verpflichtet personenbezogene Daten grundsätzlich dann zu löschen, wenn der Zweck, für den sie erhoben wurden, weggefallen ist und gesetzliche Aufbewahrungspflichten der Löschung nicht entgegenstehen. Dies kann aus verschiedenen Gründen und zu verschiedenen Zeitpunkten der Fall sein. Neben der Festlegung konkreter Regeln für die Vornahme einer Löschung dient das Löschkonzept auch der sorgfältigen Dokumentation der entsprechenden Zweckbestimmungen als Basis der Datenerhebung und Verarbeitung.

Abgesehen von der Gewährleistung des Datenschutzes trägt die Aufstellung eines Löschkonzepts zur Verbesserung der unternehmensinternen Organisation bei.

 

Das Wichtigste in Kürze

  • In einem Löschkonzept wird systematisch und standardisiert definiert, wann personenbezogene Daten zu löschen sind.
  • Zur Erstellung eines Löschkonzepts kann die DIN-Norm 66398 als Richtlinie herangezogen werden.
  • Eine Datenlöschung ist immer dann vorzunehmen, wenn die personenbezogenen Daten für die Zwecke ihrer Verarbeitung, nicht mehr erforderlich sind und gesetzliche Aufbewahrungsfristen dem nicht entgegenstehen.
  • Das Löschkonzept muss in regelmäßigen Abständen aktualisiert und dahingehend überprüft werden, ob die festgelegten Löschfristen tatsächlich eingehalten werden und die automatisierten Löschroutinen keine Fehler aufweisen.

 

Was ist ein Löschkonzept?

In einem Löschkonzept wird systematisch und standardisiert definiert, welche Aufbewahrungsfristen für die jeweiligen Kategorien der personenbezogenen Daten vorgesehenen sind und wann diese entsprechend zu löschen und zu sperren sind. Das BDSG und die DSGVO sehen eine Löschung personenbezogener Daten vor, wenn diese nicht mehr benötigt werden, d. h. wenn der Zweck, für den sie ursprünglich erhoben wurden, erfüllt ist, dieser auf sonstige Weise entfällt, Aufbewahrungsfristen ausgelaufen sind oder der Betroffene die Löschung seiner Daten fordert. Das Löschkonzept sieht Regeln dafür vor, wer in diesen Fällen auf welche Weise und zu welchem Zeitpunkt eine Löschung der betroffenen Daten vornimmt.

 

Wie wird ein Löschkonzept erstellt?

Ein Löschkonzept enthält konkrete Vorgaben für die Löschung personenbezogener Daten. Allerdings enthält weder die DSGVO noch das BDSG eine konkrete Vorgabe hinsichtlich des Aufbaus eines Löschkonzepts. Daher kann zu dessen Erstellung die DIN-Norm 66398 als Richtlinie herangezogen werden. Sie ist jedoch nicht verpflichtend. Insoweit ist es oftmals empfehlenswerter, ein gut durchdachtes branchenspezifisches bzw. abteilungsspezifisches Löschkonzept aufzustellen, das den Bedürfnissen der Organisation und den Ressourcen des eigenen Unternehmens entspricht.

Da es in der Praxis oftmals schwierig ist, den Überblick darüber zu behalten, in welchen Unternehmensbereichen oder Systemen zu löschende Daten gespeichert sind, zwischen welchen Systemen ein Datenaustausch erfolgt und wer Datenempfänger ist, ist die Führung eines aktuellen Verarbeitungsverzeichnisses im Sinne des Art. 30 DSGVO essentiell. Darin erfolgt eine Bestandsaufnahme und Dokumentation der erhobenen, verarbeiteten und gespeicherten Daten (Mehr zum Thema Verarbeitungsverzeichnis lesen Sie hier.).

 

Wie geht man bei der Erstellung eines Löschkonzepts vor?

1. Personenbezogene Daten im Unternehmen lokalisieren

Zunächst sollte für jede Abteilung des Unternehmens eine gesonderte Bestandsanalyse durchgeführt werden, die einen Überblick darüber gibt, welche Verarbeitungstätigkeiten stattfinden und welche Daten in welchen Systemen oder auf welchen Datenträgern gespeichert werden. Ebenso, welche Datenzu- und Abflu¨sse zwischen einzelnen Systemen vorliegen. Dabei ist insbesondere die Datenkategorie zu erfassen, ebenso wie die Dauer, für die diese Daten unmittelbar im jeweiligen Geschäftsvorgang benötigt werden. Handelt es sich um eine Massenverarbeitung (bspw. Verarbeitung von Zahlungstransaktionen), ist die Ermittlung einer durchschnittlichen Verweildauer der Daten möglich und empfehlenswert. Weiterhin muss festgestellt werden, ob die betreffenden Daten einer gesetzlichen Aufbewahrungspflicht unterliegen und wann diese beginnt und endet. In diesem Zusammenhang sind die branchenspezifischen Rechtsvorschriften zu ermitteln, die für die jeweiligen Daten gelten. Insoweit ergeben sich beispielsweise allgemeine Fristen aus dem Handels-, Arbeits- und Steuerrecht.

2. Einordnung in Datenkategorien

Anschließend erfolgt die Einordnung der Daten in unterschiedliche Kategorien, die sich nach der Länge der Aufbewahrungsfrist richten. Handelt es sich um besonders sensible personenbezogene Daten im Sinne von Art. 9 DSGVO, können weitere Punkte zu beachten sein. Werden Daten vom Unternehmen im Wege der Auftragsverarbeitung durch einen externen Dienstleister verarbeitet oder verarbeitet das Unternehmen selbstständig personenbezogene Daten im Auftrag eines anderen, sollte auch für diese jeweils eine eigene Kategorie gebildet werden.

3. Aufstellung von Löschregeln

Gemäß der Datenschutzgrundverordnung dürfen personenbezogene Daten nur solange
gespeichert werden, wie dies auch tatsächlich erforderlich ist. Dabei ist zu beachten, dass personenbezogene Daten nicht nach dem Zufallsprinzip, sondern vielmehr nach sinnvollen Regeln gelöscht werden mu¨ssen. Eine Löschregel definiert, ob die angelegte Kategorie an einem bestimmten Tag oder in bestimmten Zeitabständen gelöscht werden muss. Zur Aufstellung einer Löschregel muss zunächst die jeweils geltende Aufbewahrungsfrist für die gebildete Datenkategorie ermittelt und anschließend für jede Kategorie mithilfe des Erhebungsdatums, der absehbaren Bearbeitungszeit und dem Beginn der jeweils geltenden Aufbewahrungsfrist eine Löschregel definiert werden.

Nach Ablauf der zuvor definierten Aufbewahrungsfristen sind sämtliche, sowohl analoge als auch digitale Datensätze datenschutzkonform zu löschen beziehungsweise zu vernichten. Dafür sollten sichere Vorgehensweisen gewählt werden.

 

Wann müssen Daten gelöscht werden?

Grundsätzlich mu¨ssen personenbezogene Daten auch immer dann gelöscht werden, wenn die betroffene Person dies im Rahmen der Geltendmachung ihres Rechts auf Löschung aus Art. 17 DSGVO vom Verantwortlichen verlangt.. Demnach ist eine Datenlöschung immer dann vorzunehmen, wenn die personenbezogenen Daten für die Zwecke, für die sie ursprünglich erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind. Weiterhin kann sich eine Löschpflicht auch dann ergeben, wenn die Einwilligung in die Datenverarbeitung vom Betroffenen widerrufen wurde und für die Verarbeitung keine andere Rechtsgrundlage vorliegt. Insbesondere deshalb ist eine regelmäßige Überprüfung und entsprechende Aktualisierung der Löschroutinen und Datenbestände unausweichlich. Mit einer regelmäßigen automatischen Löschung von Datenkategorien ist es deshalb häufig nicht getan.

 

Dokumentation, Überprüfung und Aktualisierung des Löschkonzepts

Sämtliche vorgenannten Schritte sind zu dokumentieren. Insbesondere sind alle Löschvorgänge in einem Löschprotokoll zu dokumentieren, das für eine gewisse Dauer aufbewahrt werden sollte, um die Vornahme der Löschungen unter Umständen gegenüber Betroffenen oder Behörden nachweisen zu können. Um der Dokumentations- und Rechenschaftspflicht aus der DSGVO ordnungsgemäß nachzukommen, sollte das Löschkonzept darüber hinaus in regelmäßigen Abständen aktualisiert und sogleich überprüft werden, ob die festgelegten Löschfristen auch tatsächlich eingehalten werden und die automatischen Löschmechanismen keine Fehler aufweisen.

 

Kann eine Einwilligung durch Zeitablauf erlöschen?

In diesem Zusammenhang ist zu beachten, dass es in der Vergangenheit eine Reihe an Urteilen gab, die sich mit der Frage des Erlöschens einer Einwilligung durch Zeitablauf bzw. durch Verwirkung beschäftigt haben.

So auch erst kürzlich das Amtsgericht München (AG München, Urteil vom 14.02.2023, 161 C 12736/22). Das Gericht hat in seinem Urteil festgestellt, dass eine einmal erteilte Einwilligung in den Erhalt eines Newsletters auch dann erlischt, wenn ein E-Mail-Account über einen Zeitraum von vier Jahren nicht mehr genutzt wurde, der Werbende Kenntnis davon hatte und der Versand des Newsletters aufgrund dieser Kenntnis für eine gewisse Zeit unterblieben ist. Nach Auffassung des Gerichts müsse der Absender sich vom Empfänger bestätigen lassen, dass die ursprünglich erteilte Einwilligung noch besteht, wenn der Versand von Werbemails wieder aufgenommen werden soll.

Auch das LG München I entschied mit Urteil vom 8. April 2010, Az. 17 HK O 138/10 in einem ähnlichen Fall, dass eine Einwilligung in Werbemails, die vor 17 Monaten erteilt wurde und über die gesamte Zeit nicht genutzt wurde, „ihre Aktualität verliere“.

Demgegenüber verweist die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung auf das Urteil des Bundesgerichtshofs vom 01. Februar 2018 (III ZR 196/17), in dem die Richter noch vor dem Inkrafttreten der DSGVO klargestellt hatten, dass eine einst erteilte Einwilligung grundsätzlich nicht allein durch Zeitablauf erlösche. Dies gelte allerdings nur, solange das betreffende Vertragsverhältnis andauert sowie bis zu höchstens zwei Jahren nach Beendigung des Vertrages. Für diesen überschaubaren Zeitraum könne nach Auffassung des BGH ein fortbestehendes Interesse des Verbrauchers, der bei Vertragsschluss seine Einwilligung in eine werbliche Ansprache erteilt hatte, angenommen werden.

Auch das AG München verweist in seinem Urteil auf diese Rechtsprechung des BGH, vertritt jedoch die Auffassung, dass die Einwilligung aufgrund der oben dargestellten besonderen Umstände durch Zeitablauf erloschen sei. Es bleibt abzuwarten, wie sich die Rechtsprechung zur Frage des Erlöschens einer Einwilligung aufgrund Zeitablaufs zukünftig entwickelt.

Für den Verantwortlichen ergibt sich daraus, dass insbesondere beim Umgang mit personenbezogenen Daten, deren Verarbeitung auf eine Einwilligung des Betroffenen gestützt wird, besonderes Augenmerk im Hinblick auf die einzuhaltenden Löschfristen zu legen ist. Denn wenn die Wirksamkeit einer Einwilligung – etwa in Werbemaßnahmen – nach einer gewissen Zeit abläuft, besteht auch kein datenschutzrechtlicher Rechtfertigungsgrund für die Speicherung der Kontaktdaten des Betroffenen mehr. Wer hier einen Datenschutzverstoß sicher ausschließen will, kommt um eine regelmäßige Überprüfung seiner Löschroutinen nicht herum.

 

 

Fazit

Spätestens seit dem Inkrafttreten der DSGVO sollten sich Unternehmen angesichts der deutlich erhöhten Bußgeldrahmen offensichtliche Lücken in diesem Bereich nicht mehr erlauben. Ist die Dokumentation und/oder Umsetzung des Löschkonzepts mangelhaft, drohen Bußgelder, die sich bekanntlich im Maximum auf bis zu 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres, je nachdem welcher der Beträge höher ist, erstrecken können. Erfahrungsgemäß ist das Vorhandensein eines Löschkonzepts eine der wesentlichen Anforderungen, die die Aufsichtsbehörden im Rahmen von Kontrollen stellen. Bestehen hier große Lücken, ist mit einem Entgegenkommen der Behörden regelmäßig nicht zu rechnen. Auf die Führung und regelmäßige Aktualisierung eines datenschutzkonformen Verarbeitungsverzeichnisses und Löschkonzepts sollte daher keinesfalls verzichtet werden.

 

„>

Kontakt aufnehmen