Warum das Vergessen schwerfällt
Das in der DSGVO verankerte „Recht auf Vergessen“ stellt viele Unternehmen vor Probleme. Besonders betroffen sind Unternehmen mit langen Kundenbeziehungen, wie z.B. Wohnungsunternehmen. Im Laufe eines Mietverhältnisses fallen sehr viele unterschiedliche Daten an. Die Datenbestände sind über die Jahre gewachsen und wurden teilweise mit dem Zukauf von Objekten von Verkäufern übernommen.
Niemand stellt in Frage, dass diese Daten gegen Missbrauch durch unbefugte Dritte zu schützen sind. Was jedoch meist übersehen wird: was passiert mit den Daten, wenn sie ihren Zweck erfüllt haben?
Die DSGVO gibt hier eine ganz klare Antwort: Sobald der Zweck erfüllt ist, für den Daten verarbeitet wurden – also sobald keine Rechtsgrundlage für eine weitere Verarbeitung besteht – sind die Daten zu löschen!
Beim Inkrafttreten der DSGVO im Mai 2018 hatten sich nur wenige Unternehmen schon mit dem Löschen personenbezogener Daten beschäftigt. Es gab zu viele andere, formale Hürden zu nehmen. So nach und nach fangen die Datenschutz-Aufsichtsbehörden jedoch an, auch das Löschen personenbezogener Daten in den Fokus zu nehmen. Das sieht man nicht nur in deren Jahresberichten, es wurden auch schon Bußgeldverfahren in Millionenhöhe in die Wege geleitet.
So einfach sich die Anforderung der DSGVO an das Löschen personenbezogener Daten auch anhört, so stellt sie Unternehmen mit gewachsenen Prozessen, gewachsenen IT-Landschaften und über Jahre gewachsenen Datenbeständen vor große Hürden.
Hürde 1: Wer entscheidet, was wann zu löschen ist?
Unternehmen delegieren das Löschen von Daten gerne an die IT-Abteilung. Die IT weiß schließlich, welche Daten im Hause verarbeitet werden und die IT weiß auch, wie diese zu löschen sind. Das ist auch richtig.
Die IT hat aber nicht die Hoheit über die Geschäftsprozesse und kann damit nicht entschieden, wann die Daten als Grundlage der Geschäftsprozesse zu löschen sind. Das kann nur entschieden, wer für die Prozesse, und damit die Verarbeitung der Daten verantwortlich ist. Und das sind die Fachbereiche. So wie es bei der Einhaltung anderer Gesetze, wie z.B. der Mietpreisbremse oder dem Geldwäschegesetz auch der Fall ist.
In der Praxis ist es jedoch meist so, dass keiner die Verantwortung für die Löschfristen übernehmen möchte. Die Verantwortung wird von jedem weggeschoben. Es ist schlichtweg eine Fragestellung, mit der sich niemand im Unternehmen gerne befasst und zu der viel Unsicherheit herrscht. Deshalb ist es wichtig, nicht nur die Verantwortung für die Fristen klar festzulegen. Den Verantwortlichen muss auch Hilfestellung an die Hand geben werden. Hilfestellung können z.B. Juristen bieten oder auch der Steuerberater, wenn es um Aufbewahrungspflichten geht. Zusätzlich sollte eine Eskalationskette bis zur Geschäftsführung festgelegt werden.
Ohne am Anfang diese Frage geklärt zu haben, läuft das Löschen personenbezogener Daten immer in Gefahr, dass grundlegende Entscheidungen verschoben oder immer wieder in Frage gestellt werden. Es kommt in der Praxis sogar vor, dass nach der Implementierung von Löschverfahren die Fristen neu angepasst werden müssen, weil man mit deren Festlegung zu voreilig war.
Hürde 2: Wann müssen wir welche Daten löschen?
Diese Frage stellen Fachbereiche gerne an den Datenschutzbeauftragten: „Wir haben diese und jene Daten in unserer Software XYZ. Wann müssen wir diese löschen?“ Die Antwort auf diese Frage ist sehr einfach, wenn sie auch nicht im Sinne der Fragesteller ausfällt: Die Daten sind sofort zu löschen, sobald keine Rechtsgrundlage mehr für eine Verarbeitung besteht.
Der erste Fehler der gemacht wird: Die Frage nach der Löschfrist wird für spezifische Daten in einer konkreten IT-Lösung gestellt. Die Löschfrist hat aber nichts mit der technischen Lösung zu tun. Die Löschfrist ergibt sich ausschließlich aus dem Zweck, für den die Daten verarbeitet werden.
Um die Frage zu beantworten, wann welche Daten zu löschen sind, muss klar sein, zu welchem Zweck welche Daten verarbeitet werden. Ein guter Ansatzpunkt ist das Verzeichnis der Verarbeitungstätigkeiten. Dort sollten zumindest grob schon Datenarten, Verarbeitungszwecke und Rechtsgrundlagen angegeben sein. Für ein Löschkonzept müssen diese aber detaillierter betrachtet werden. Bevor die Frage nach der Löschfrist gestellt wird, muss in jedem Fall die Rechtsgrundlage für die Verarbeitung geklärt sein. Sonst wird in der Praxis die Frist immer so gewählt, dass sie nicht „wehtut“.
Sobald die Rechtgrundlage geklärt ist, kann daraus recht einfach die Regellöschfrist für die Daten abgeleitet werden. Wer bei der Rechtsgrundlage unsicher ist, sollte sich juristischen Rat einholen.
Wo die Daten gespeichert sind, spielt für die Löschfrist keine Rolle. Das ist erst die nächste Hürde.
Hürde 3: Wo sind diese Daten überall gespeichert?
Hier kommt jetzt die IT-Abteilung ins Spiel. Die Kernsysteme des Unternehmens wie z.B. ERP oder DMS sind einfach als Speicher für personenbezogene Daten zu erkennen. Die IT weiß in der Regel, in welchen Systemen welche Daten gespeichert sind. Aber sind das auch die einzigen Stellen, an denen diese personenbezogenen Daten gespeichert sind?
Es empfiehlt sich, die Wege zu betrachten, über die Daten in die Kernsysteme gelangen. Liegen noch Mails mit Anhängen in Postfächern? Scans in Verzeichnissen? Falls ja: diese müssen auch gelöscht werden! Je nach Verwendungszweck oft sogar schon bevor die Daten aus den Kernsystemen zu löschen sind.
Hürde 4: Umbau gewachsener IT-Landschaften und „Silo-Denken“
Mit dieser Hürde hat die IT-Abteilung zu kämpfen. Denkt man. Auf den ersten Blick ist es auch richtig. Die IT ist aber nicht alleine gefordert.
Gerade in über den Jahren gewachsenen IT-Landschaften können die Abhängigkeiten zwischen den Geschäftsanwendungen enorm komplex sein. Bei kleinen Optimierungen stellt das kein großes Problem dar. Wenn aber Daten gelöscht werden, die in mehreren Prozessen oder mehreren Geschäftsanwendungen verarbeitet werden, müssen die Abhängigkeiten klar sein. Die Auswirkungen sind sonst nicht kontrollierbar. Schließlich bilden diese Daten die Basis für den Geschäftsbetrieb.
Das immer noch weit verbreitete „Silo-Denken“ kann das Klären der Abhängigkeiten jedoch sehr schwierig machen. Manchmal sind die Mitarbeiter mit dem erforderlichen Know-how gar nicht mehr im Unternehmen. Teilweise müssen unterschiedliche IT-Dienstleister einbezogen werden.
Nicht selten ist auch der Fall, dass Daten mit unterschiedlichen Löschfristen technisch nur zusammen gelöscht werden können. Um dies für die Zukunft zu vermeiden, sollten schnellstmöglich die bestehenden Prozesse so angepasst werden, dass ein gezieltes Löschen der Daten nach den vorgegebenen Löschfristen auch mit vertretbarem Aufwand machbar ist. Und schon sind die Fachbereiche wieder mit im Boot. Denn sie sind von den Prozessänderungen betroffen bzw. müssen diese sogar selber in die Wege leiten.
Hürde 5: Löschen muss zum Geschäftsprozess werden
Unternehmen sind durch die DSGVO verpflichtet nachweisen zu können, dass sie die personenbezogenen Daten korrekt verarbeiten. Und dazu gehört auch der Nachweis, wie die Daten gelöscht werden. Es empfiehlt sich, ein Löschkonzept zu erstellen, in dem die Löschregeln pro Datenart, sowie Vorgaben für deren technisch-organisatorische Umsetzung festgelegt sind. Hierbei kann man sich an der DIN 66398 orientieren.
Mit dem Löschkonzept sind aber nicht nur Vorgaben für das Löschen der Daten festzulegen. Es ist auch festzulegen, wie der korrekte Ablauf des Löschens sichergestellt und überwacht wird. Und es ist zu regeln, wie das Löschkonzept aktuell gehalten wird, sobald sich Geschäftsprozesse und damit die Verarbeitung personenbezogener Daten ändert. Das sind ganz normale Regelungen, wie man sie für jeden anderen Geschäftsprozess auch festlegt. Denn das Löschen von personenbezogenen Daten ist nichts anderes: ein ganz normaler Geschäftsprozess.
Hürde 6: Es ist lästig. Es macht Angst. Es ist Chefsache!
Dass Materialien wie Farben, Lacke oder sonstige Chemikalien ordnungsgemäß entsorgt werden, so dass niemand dadurch Schaden erleidet, ist selbstverständlich. Dass man mit personenbezogenen Daten genau das gleiche machen muss, ist leider noch nicht so weit verbreitet. Speicherplatz ist billig und man weiß ja nie, wann man die Daten noch gebrauchen könnte. Die Hamster lassen grüßen.
Das birgt in erster Linie ein Risiko für die Betroffenen, um deren Daten es geht. Wobei noch nicht mal davon auszugehen ist, dass das das Unternehmen, welches das Löschen vernachlässigt, diese Daten selber für unerlaubte Zweck gebrauchen wird. Viele höher ist das Risiko, dass diese Daten wegen eines Datenlecks oder Hackerangriffs in die Hände unbefugter Dritter gelangen und für Straftaten oder in sonstiger Weise zum Nachteil der Betroffenen verwendet werden.
Solche Daten sind aber auch ein Risiko für die Unternehmen. Deren Risiko liegt darin, dass alleine das Speichern der Daten ohne Rechtsgrundlage schon ein Verstoß gegen die DSGVO darstellt und bestraft werden kann. Die ersten Bußgelder in Millionenhöhe wurden schon verhängt.
Aber auch der Reputationsschaden ist nicht zu verachten. Nach einem Datenleck die Betroffenen informieren zu müssen, ist mehr als peinlich. Der Schaden ist nochmals deutlich größer, wenn darunter Personen sind, deren Daten gar nicht mehr hätten gespeichert sein dürfen.
Da hilft nur eins: Das Thema Löschen muss zur Chefsache werden. Nur wenn die Geschäftsführung dieses Thema wirklich ernst nimmt und persönlich vorantreibt, werden sich auch die Mitarbeiter so damit beschäftigen, das gute Ergebnisse erzielt werden. Denn beim Löschen personenbezogener Daten geht es nicht um Nutzen- oder Effizienzsteigerung. Es geht ausschließlich um Schadensprävention. Und hier gilt es abzuwägen: speichert man Daten lieber etwas länger, weil man eventuell nochmal einen Nutzen daraufs ziehe könnte, oder löscht man Daten lieber früher, um Ärger mit der Aufsichtsbehörde zu vermeiden. Mache Mitarbeiter trauen sich nicht, diese Entscheidung zu fällen. Hier ist das Management gefragt.
Übrigens: Wer denkt, dass sein Unternehmen der Aufsichtsbehörde nicht auffallen wird, der sollte die Kreativität von enttäuschten Kunden oder Mitarbeitern nicht unterschätzen.