Daten werden in Unternehmen in rauen Mengen erhoben. Besonders sensible muss hier mit personenbezogenen Daten umgegangen werden; wie Adressen, Namen, Geburtsdaten, Vorlieben u.a. was einen Rückschluss auf eine Person geben kann. Aber nicht nur bei der Erhebung der Daten muss an deren ordnungsgemäße Verwendung und Speicherung gedacht werden auch bei deren Löschung.
Es wird oft vergessen, dass Daten, wie ein Datenschützer erst kürzlich treffend sagte, nur geliehen sind. Sie sind nicht Eigentum des Unternehmens welche diese erhebt. Daher hat der Gesetzgeber Vorschriftgen erlassen die eine Löschung – da ja Zurückgeben nicht möglich ist – der Daten vorschreibt auch dann, wenn diese Löschung nicht explizit vom Eigentümer der Daten gefordert wird.
Um dem in organisierter Weise nachkommen zu können, sollte ein Löschkonzept erarbeitet werden bzw. eine Löschroutine. Da der Pflicht zur Löschung auch andere Gründe entgegenstehen können – z. B. gesetzlich vorgeschriebenen Aufbewahrungspflichten oder aber eine Löschung unverhältnismäßig wäre (z. B. du befindest dich in einem Rechtstreit mit einer Person und diese verlangt eine Löschung ihrer Daten bzw. eine Aufbewahrungsfrist läuft im Verfahren aus) – solltest du dir ein Rechtskataster anlegen.
Aber gehen wir systematisch vor. Zunächst wann müssen Daten gelöscht werden – das regelt die DSGVO wie folgt:
- wenn die Daten nicht mehr für den Zweck, für den sie erhoben wurden, benötigt werden,
- wenn die betroffene Person die Einwilligung, auf die sich die Verarbeitung stützt, widerruft und es keine weitere Rechtsgrundlage für die Verarbeitung gibt,
- wenn die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat und keine vorrangigen berechtigten Gründe vorliegen,
- wenn die personenbezogenen Daten unrechtmäßig bezogen wurden,
- wenn die Löschung der personenbezogenen Daten zur Erfüllung von rechtlichen Verpflichtungen erforderlich ist,
- wenn die personenbezogenen Daten von Kindern in Bezug auf Dienste der Informationsgesellschaft erhoben wurden.
Nehmen wir z. B. einen Newsletter-Abonnement. Er möchte die Newsletter nicht mehr haben, in diesem Fall müssen seine Daten gelöscht werden. Aber wenn dieser Newsletter-Abonnement auch Kunde in meinem Unternehmen ist, stehen dem gesetzliche Aufbewahrungsfristen gegenüber – wie z. B. die Aufbewahrung von Rechnungen -. In diesem Fall, würde ich den Newsletter-Abonnementen darüber benachrichtigen, dass ich ihn aus der Liste für den Erhalt der Newsletter gestrichen habe, aber da er auch Kunde ist, seine Daten erst vollständig nach dem Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht werden können.
Was muss bei Löschungen beachtet werden?
Löschungen von Daten müssen dokumentiert werden. Wie die Löschung zu erfolgen hat ergibt sich aus den Schutzklassen unter denen diese fallen.
Schutzklasse 1 Hierunter fallen Daten wie Adressdatenbanken, Telefonlisten oder Listen. Diese können einfach gelöscht werden oder unbrauchbar gemacht werden.
Schutzklasse 2 Dies sind vertrauliche Daten wie Gesundheitsdaten oder Finanzinformationen. Hier ist es Pflicht ein professionelles Unternehmen für die Vernichtung der Daten zu beauftragen. Und Achtung! Dabei handelt es sich um Auftragsverarbeitung also ein Vertrag ist Pflicht.
Schutzklasse 3 Das sind besonders vertrauliche oder geheime Daten. Zum Beispiel Daten zu Forschungszwecken, Entwicklungsdokumente und Unternehmensgeheimnisse. Die Weitergabe dieser Daten hat erhebliche Konsequenzen für die Betroffenen. Auch hier ist es Pflicht ein professionelles Unternehmen (Auftragsverarbeiter) zu beauftragen. Es ist sogar geregelt, wie ein Datenträger zerstört werden muss.
Bei der Schutzklasse 1 ist es erlaubt die Daten selbst zu löschen. Du musst aber darauf achten, dass Wiederherstellung der Daten nicht
mit einfachen Mitteln erfolgen kann (z. B. mit sogenannten Wiederherstellungssoftware). Konventionelle Festplatten können entweder
mehrfach überschreiben werden oder aber formatiert. Beim Überschreiben rät der BSI dies siebenmal zu tun. Bei SSDs und
Flashspeichern (USB-Sticks oder SD-Karten) gestaltet sich dies schon schwieriger. Hier sollten die Daten erst verschlüsselt und dann mit
spezieller Software überschrieben werden.
Noch eines; auch personenbezogene Daten auf Smartphones, Tablets und Druckern müssen gelöscht werden. Da fällt mir auch noch ein
das diese Daten auch bei Facebook & Co. nicht zu vergessen sind. Und natürlich auch alles was auf Papier geschrieben ist. Um zu wissen
wo da was abgelegt ist hilft die gute alte Tagesablage und das Posteingangsbuch.
Kommen wir nun zum Rechtskataster. Was ist das eigentlich und muss ich eines führen? Man kann es so formulieren; ein Rechtskataster
ist eine Übersicht über alle für mein Unternehmen relevanten Gesetze, Verordnungen, Bestimmungen und Regelwerke. Es sollte immer im
aktualisierten Zustand vorliegen, denn nur so wird eine Rechtssicherheit geschaffen und die Grundlage rechtskonform zu handeln.
Generell gehört die Kenntnis von Gesetzen und Vorschriften zu einer ordentlichen Geschäftstätigkeit und den Grundpflichten der
Geschäftsführung.
Wie dieses erstellt wird, wo du die Informationen herbekommst über die Regelungen die dein Unternehmen betreffen, wie du es immer
auf dem aktuellen Stand hälts, dass werde ich alles in meinem nächsten Blog näher erläutern. Hier nur so viel, in diesem Rechtskataster
hälts du automatisch auch die Aufbewahrungsfristen fest die von den einzelnen Regelungen vorgegeben werden und weißt somit wann
welche personenbezogenen Daten gelöscht werden dürfen bzw. müssen.
Abschließend möchte ich dir noch auf den Weg geben, eine Löschroutine einzurichten. Je nach den Gesetzen und den Regelungen die für
dich zutreffen, gehe quartalsweise, halbjahresweise oder jährlich durch deine Datensammlungen durch und lösche die welche du löschen
musst. Mache dir auch einen Verweis in diese Routine wo diese Daten alle vorhanden sind, um sie wirklich alle zu löschen und denke dabei
auch an die Datensicherungen.
Wenn du unsicher bist bei diesem Thema, empfehle ich dir dich an ein Unternehmen zu wenden die sich auf Datensicherheit spezialisiert
haben. Im Übrigen ist dies auch gesetzlich vorgeschrieben, dass nur diese eine Beratung durchführen dürfen.
Also plane demnächst auch etwas Zeit für ein Löschkonzept ein. Und wenn du willst, dann bis nächste Woche zum Thema Rechtskataster.
Ein Nachtrag: Ich bin auf dieses Thema gekommen durch ein Webinar, welches von einem zertifizierten Datenschützer angeboten wurde.
Das Webinar war sehr aufschlussreich, die Präsentation sehr gut und Fragen wurden beantwortet. Auch weitere Auskünfte die ich einholte
waren positiv, so dass ich diesen Datenschützer bzgl. der Einholung von Auskünften oder bei besonderen Fragestellungen
weiterempfehlen möchte. Die Kontaktdaten sind: Herr Marc Dauenhauer, Email: marc.dauenhauer@dauenhauer.one, Internet:
https://dauenhauer.de.
Folge mir auf Facebook. Ich freue mich auf deinen Besuch.
Kommentar schreiben