Datenlöschung nach DSGVO oder: Personen­bezogene Daten im Niemandsland

Der kleine feine Datentipp

Lesezeit: ca. 7 Minuten

Auch die Zeit von Daten läuft irgendwann ab. Sie werden nicht mehr gebraucht, Aufbewahrungsfristen sind abgelaufen, sie liegen eh nur im Weg — und die Löschung personenbezogener Daten verlangt natürlich auch die DSGVO. Zeit also, sie zu löschen — die Daten, nicht die DSGVO.

Daten, die aufs Löschen warten

Wenn die Aufbewahrungszeit für personenbezogene Daten abgelaufen ist, muss man sie wieder loswerden. Elektronische Daten sind zu löschen, Papierunterlagen zu vernichten. So weit, so klar. Nur: Manchmal verzögert sich das. Mal klappt es aus technischen Gründen nicht, mal aus organisatorischen. Bis sie wirklich gelöscht werden, bleiben die Daten vorhanden. Dürften sie aber nicht – sie liegen im „Niemandsland“. Wie ergeht es ihnen da und was kann dabei so alles schiefgehen?

Praxisbeispiel:
Personalakte löschen

Betrachten wir die gute alte Personalakte. Nehmen wir an, vor etwas über zehn Jahren ist eine Kollegin ausgeschieden. Mit Ende des laufenden Kalenderjahres ist die Aufbewahrungszeit für ihre Personalakte abgelaufen. Stehen keine zwingenden Gründe dagegen, muss sie also vernichtet werden. Nun ist es aber unwahrscheinlich, dass eine Personalakte tatsächlich am 1. Januar des neuen Jahres zu Schnipseln wird – Dienstleister arbeiten selten am Feiertag und die meisten Mitarbeitenden werden sich am Neujahrstag lieber von der Silvesternacht erholen, als Unterlagen zu schreddern.

Was ist zu tun? Klar, die Akte muss aufbewahrt werden, bis sie tatsächlich vernichtet wird. Und bis dahin? Ist streng darauf zu achten, dass die Daten darin für nichts anderes genutzt werden. Sie liegen sozusagen im Niemandsland. Und dort gilt: Sie müssen grundsätzlich unzugänglich sein.

Geeignete technische und organisatorische Maßnahmen

Papierunterlagen unzugänglich machen

Wer Daten im Niemandsland lagert, muss also sicherstellen, dass niemand darauf zugreift – das darf man erst, wenn die Stunde der Vernichtung geschlagen hat. Heißt: Akten und Unterlagen aus Papier dürfen nicht mehr irgendwo erumliegen. Auch aus dem Regal, wo sie bisher eingelagert waren, müssen sie entfernt werden – außer Sie können sicherstellen, dass niemand unbefugt auf das Regal zugreift.

Herausforderung elektronisch verarbeiteter Personendaten

Gleiches gilt für elektronisch verarbeitete personenbezogene Daten. Ob diese Daten als Sicherungskopie abliegen, sich auf einem fest installierten Gerät oder System befinden oder auf einem mobilen Datenträger gespeichert sind – unbefugte Zugriffe dürfen nicht mehr erfolgen. Jeder Zugriff, der nicht die Vernichtung einleitet oder einem übergeordneten neu entstandenen Zweck dient, ist in diesem Fall unbefugt.

Ein berechtigter Zweck könnte etwa eine richterliche Anordnung sein, wenn Unterlagen in einem Strafprozess als Beweis gebraucht werden. Oder ein bestimmtes Dokument ermöglicht dem Verantwortlichen, eine unberechtigte Anschuldigung zurückzuweisen.

Datenschutz und die Risiken nicht gelöschter Daten

Die Löschung von personenbezogenen Daten regelt Artikel 17 der Datenschutz-Grundverordnung (DSGVO). Daten sind zu löschen, wenn sie nicht mehr erforderlich sind, um ihre Verarbeitungszwecke zu erfüllen. Spricht etwas gegen eine sofortige Löschung, wie das bei Daten im Niemandsland hoffentlich objektiv der Fall ist, müssen Sie geeignete technische und organisatorische Maßnahmen ergreifen, um unbefugte Zugriffe zu vermeiden.

Und wenn es dennoch zu unbefugten Zugriffen auf zu löschende personenbezogene Daten kommt? Dann handelt es sich um einen Datenschutzverstoß. In diesem Fall prüfen Sie, ob eine Meldepflicht an die Datenschutz-Aufsichtsbehörde besteht. Falls ja, bedenken Sie: Sie haben 72 Stunden. Versäumen Sie die Meldung und die Daten tauchen wieder auf oder es entsteht der Verdacht, dass auf die Daten unbefugt zugegriffen wurde, wird die Aufsichtsbehörde eine Überprüfung einleiten. Sie wird je nach Fall – etwa bei fehlenden technischen und organisatorischen Maßnahmen und gleichzeitigem Vorliegen besonderer Datenkategorien – ein Bußgeldverfahren einleiten. Da es um den Schutz personenbezogener Daten und um die Wahrung der Rechte und Freiheiten betroffener Personen geht, kann die Geldbuße bis 20 Millionen € oder 4 % des Konzernumsatzes des Vorjahres betragen.

"Und wenn es zu unbefugten Zugriffen auf zu löschende personenbezogene Daten kommt? Dann handelt es sich um einen Datenschutzverstoß. Prüfen Sie, ob eine Meldepflicht an die Datenschutz-Aufsichtsbehörde besteht. Falls ja, bedenken Sie: Sie haben 72 Stunden."

Daten löschen nach DSGVO

Unbefugte Zugriffe verhindern

Halten wir fest: Hinsichtlich Datenschutz müssen Sie mit geeigneten technischen und organisatorischen Maßnahmen verhindern, dass Daten, die nicht mehr da sein dürften, bis zur Vernichtung für Unbefugte zugänglich sind.

Beispiel Archiv für Akten und Papier

Wie so oft kommt es auf den Einzelfall an. Sind eine größere Menge Akten zu vernichten, bietet sich ein verschließbarer Container an, um die zu vernichtenden Unterlagen einzulagern. Wer den Schlüssel zu diesem Container hat, muss wissen, dass niemand unbefugt auf die Daten zugreifen darf. Eine andere Möglichkeit sind bewegliche Regale im Archiv, die verschlossen werden können. So lassen sich Unterlagen sicher aufbewahren, bis der Inhalt eines ganzen Regals zu entsorgen ist.
Eine dritte Möglichkeit: Das gesamte Archiv wird so lange verschlossen, bis die Vernichtung erledigt ist.

Beispiel elektronische Archive

Auch elektronische Archive müssen in der Zeit bis zur Löschung für Unbefugte unzugänglich sein. Am besten tragen Sie Sorge, dass ein Administrator bis zur Vernichtung die eindeutige Verantwortung trägt. Sollten sich personenbezogene Daten in elektronischer Form noch auf aktiv genutzten Laufwerken befinden, ist zu prüfen, inwieweit hier eine zentrale Sperrung der betreffenden Laufwerke oder Laufwerksbereiche, beispielsweise durch eine Gruppenrichtlinie, erfolgen kann. Stellen Sie in jedem Fall sicher, dass auf elektronische Archive im Niemandsland keine unbefugten Zugriffe erfolgen.

Einsame Daten im Niemandsland

Daraus folgt, dass personenbezogene Daten im Niemandsland hoffentlich sehr einsam sind: keine Zugriffe, keine weitere Verarbeitung, kein Kopieren, keine Ausreden. Unternehmen sollten kontrollieren, ob die Bedingungen für Archive mit Akten und Papier oder für elektronische Archive tatsächlich eingehalten werden. Datenschutzbeauftragte sollten in jedem Fall eingebunden sein.

"Personenbezogene Daten im Niemandsland sind hoffentlich sehr einsam: keine Zugriffe, keine weitere Verarbeitung, kein Kopieren, keine Ausreden.

Tipps für zu löschende Daten im Niemandsland

1. Zeitpunkt für Datenlöschung festlegen

Legen Sie eindeutig fest, zu welchem Zeitpunkt Akten, Papier oder elektronische Unterlagen zu vernichten sind.

2. Löschung einleiten

Sorgen Sie dafür, dass die Vernichtung so schnell wie möglich erfolgt – im Idealfall direkt nach Auslaufen der Aufbewahrungsfrist.

3. Vor Zugriff schützen

Stellen Sie sicher, dass immer dann, wenn die Vernichtung nicht sofort erfolgen kann, geeignete technische und organisatorische Maßnahmen greifen, um die Unterlagen bzw. Daten vor unerlaubtem Zugriff zu schützen.

4. Sensibilisieren

Weisen Sie durch Schulungen oder andere geeignete Maßnahmen darauf hin, welche Zugriffe verboten sind.

5. Kontrollieren

Wenn Daten im Niemandsland liegen, führen Sie angemessene persönliche Kontrollen durch.

6. Dokumentieren

Nehmen Sie eine geeignete Dokumentation vor, die das gesamte Vorgehen bestätigt.

7. Löschregeln ergänzen

Prüfen Sie, ob der Fall „Daten im Niemandsland“ in die Richtlinie für Löschregeln aufzunehmen ist. Wenn ja, sorgen Sie dafür, dass die Richtlinie entsprechend ergänzt wird.

Das ist die Kernfrage: Haben Sie sichergestellt, dass Daten im Niemandsland bis zur endgültigen Vernichtung nicht mehr unbefugt verarbeitet werden?