Datenlöschung nach DSGVO oder: Personenbezogene Daten im Niemandsland
Der kleine feine Datentipp
Lesezeit: ca. 7 Minuten
Auch die Zeit von Daten läuft irgendwann ab. Sie werden nicht mehr gebraucht, Aufbewahrungsfristen sind abgelaufen, sie liegen eh nur im Weg — und die Löschung personenbezogener Daten verlangt natürlich auch die DSGVO. Zeit also, sie zu löschen — die Daten, nicht die DSGVO.
Daten, die aufs Löschen warten
Wenn die Aufbewahrungszeit für personenbezogene Daten abgelaufen ist, muss man sie wieder loswerden.
Elektronische Daten sind zu löschen, Papierunterlagen zu vernichten. So weit, so klar. Nur: Manchmal verzögert sich das. Mal klappt es aus technischen Gründen nicht, mal aus organisatorischen. Bis sie wirklich gelöscht werden, bleiben die Daten vorhanden. Dürften sie aber nicht – sie liegen im „Niemandsland“. Wie ergeht es ihnen da und was kann dabei so alles schiefgehen?
Praxisbeispiel:
Personalakte löschen
Betrachten wir die gute alte Personalakte. Nehmen wir an, vor etwas über zehn Jahren ist eine Kollegin ausgeschieden. Mit Ende des laufenden Kalenderjahres ist die Aufbewahrungszeit für ihre Personalakte abgelaufen. Stehen keine zwingenden Gründe dagegen, muss sie also vernichtet werden. Nun ist es aber unwahrscheinlich, dass eine Personalakte tatsächlich am 1. Januar des neuen Jahres zu Schnipseln wird – Dienstleister arbeiten selten am Feiertag und die meisten Mitarbeitenden werden sich am Neujahrstag lieber von der Silvesternacht erholen, als Unterlagen zu schreddern.
Was ist zu tun? Klar, die Akte muss
aufbewahrt werden, bis sie tatsächlich vernichtet wird. Und bis dahin? Ist streng darauf zu achten, dass die Daten darin
für nichts anderes genutzt werden. Sie liegen sozusagen im Niemandsland. Und dort gilt: Sie müssen
grundsätzlich unzugänglich sein.
Geeignete technische und organisatorische Maßnahmen
Papierunterlagen unzugänglich machen
Wer Daten im Niemandsland lagert, muss also sicherstellen, dass niemand darauf zugreift – das darf man erst, wenn die Stunde der Vernichtung geschlagen hat. Heißt: Akten und Unterlagen aus Papier dürfen nicht mehr irgendwo erumliegen. Auch aus dem Regal, wo sie bisher eingelagert waren, müssen sie entfernt werden – außer Sie können sicherstellen, dass niemand unbefugt auf das Regal zugreift.
Herausforderung elektronisch verarbeiteter Personendaten
Gleiches gilt für elektronisch verarbeitete personenbezogene Daten. Ob diese Daten als Sicherungskopie abliegen, sich auf einem fest installierten Gerät oder System befinden oder auf einem mobilen Datenträger gespeichert sind – unbefugte Zugriffe dürfen nicht mehr erfolgen. Jeder Zugriff, der nicht die Vernichtung einleitet oder einem übergeordneten neu entstandenen Zweck dient, ist in diesem Fall unbefugt.
Ein berechtigter Zweck könnte
etwa eine richterliche Anordnung sein, wenn
Unterlagen in einem Strafprozess als Beweis gebraucht werden. Oder ein
bestimmtes Dokument ermöglicht dem Verantwortlichen, eine
unberechtigte Anschuldigung zurückzuweisen.
Datenschutz und die Risiken nicht gelöschter Daten
Die Löschung von personenbezogenen Daten regelt Artikel 17 der Datenschutz-Grundverordnung (DSGVO). Daten sind zu löschen, wenn sie nicht mehr erforderlich sind, um ihre Verarbeitungszwecke zu erfüllen. Spricht etwas gegen eine sofortige Löschung, wie das bei Daten im Niemandsland hoffentlich objektiv der Fall ist, müssen Sie geeignete technische und organisatorische Maßnahmen ergreifen, um unbefugte Zugriffe zu vermeiden.
Und wenn es
dennoch zu unbefugten Zugriffen auf zu löschende personenbezogene Daten kommt? Dann handelt es sich um einen
Datenschutzverstoß. In diesem Fall prüfen Sie, ob eine Meldepflicht an die Datenschutz-Aufsichtsbehörde besteht. Falls ja, bedenken Sie:
Sie haben 72 Stunden. Versäumen Sie die Meldung und die Daten tauchen wieder auf oder es entsteht der Verdacht, dass auf die Daten unbefugt zugegriffen wurde, wird die
Aufsichtsbehörde eine Überprüfung einleiten. Sie wird je nach Fall – etwa bei fehlenden technischen und organisatorischen Maßnahmen und gleichzeitigem Vorliegen besonderer Datenkategorien –
ein Bußgeldverfahren einleiten. Da es um den Schutz personenbezogener Daten und um die Wahrung der Rechte und Freiheiten betroffener Personen geht, kann die
Geldbuße bis 20 Millionen € oder 4 % des Konzernumsatzes des Vorjahres
betragen.
"Und wenn es zu unbefugten Zugriffen auf zu löschende personenbezogene Daten kommt? Dann handelt es sich um einen Datenschutzverstoß. Prüfen Sie, ob eine Meldepflicht an die Datenschutz-Aufsichtsbehörde besteht. Falls ja, bedenken Sie: Sie haben 72 Stunden."
Daten löschen nach DSGVO
Unbefugte Zugriffe verhindern
Halten wir fest: Hinsichtlich Datenschutz müssen Sie mit geeigneten
technischen und organisatorischen Maßnahmen verhindern, dass Daten, die nicht mehr da sein dürften,
bis zur Vernichtung für Unbefugte zugänglich sind.
Beispiel Archiv für Akten und Papier
Wie so oft kommt es auf den Einzelfall an. Sind
eine größere Menge Akten zu vernichten, bietet sich ein
verschließbarer Container an, um die zu vernichtenden Unterlagen einzulagern. Wer den
Schlüssel
zu diesem Container hat, muss wissen, dass
niemand unbefugt auf die Daten zugreifen darf. Eine andere Möglichkeit sind
bewegliche Regale im Archiv, die verschlossen werden können. So lassen sich Unterlagen sicher aufbewahren, bis der Inhalt eines ganzen Regals zu entsorgen ist.
Eine dritte Möglichkeit:
Das gesamte Archiv wird so lange verschlossen, bis die Vernichtung erledigt ist.
Beispiel elektronische Archive
Auch elektronische Archive müssen in der Zeit
bis zur Löschung für Unbefugte unzugänglich sein. Am besten tragen Sie Sorge, dass
ein Administrator bis zur Vernichtung die
eindeutige Verantwortung trägt. Sollten sich
personenbezogene Daten in elektronischer Form noch auf
aktiv genutzten Laufwerken befinden, ist zu prüfen, inwieweit hier eine
zentrale Sperrung der betreffenden Laufwerke oder Laufwerksbereiche, beispielsweise durch eine
Gruppenrichtlinie, erfolgen kann. Stellen Sie in jedem Fall sicher, dass auf elektronische Archive im Niemandsland
keine unbefugten Zugriffe erfolgen.
Einsame Daten im Niemandsland
Daraus folgt, dass personenbezogene Daten im Niemandsland hoffentlich sehr einsam sind:
keine Zugriffe, keine weitere Verarbeitung, kein Kopieren, keine Ausreden. Unternehmen sollten
kontrollieren, ob die Bedingungen für Archive mit Akten und Papier oder für elektronische Archive tatsächlich eingehalten werden.
Datenschutzbeauftragte
sollten
in jedem Fall eingebunden sein.
"Personenbezogene Daten im Niemandsland sind hoffentlich sehr einsam: keine Zugriffe, keine weitere Verarbeitung, kein Kopieren, keine Ausreden.
Tipps für zu löschende Daten im Niemandsland
1. Zeitpunkt für Datenlöschung festlegen
Legen Sie eindeutig fest, zu welchem Zeitpunkt Akten, Papier oder elektronische Unterlagen zu vernichten sind.
2. Löschung einleiten
Sorgen Sie dafür, dass die Vernichtung so schnell wie möglich erfolgt – im Idealfall direkt nach Auslaufen der Aufbewahrungsfrist.
3. Vor Zugriff schützen
Stellen Sie sicher, dass immer dann, wenn die Vernichtung nicht sofort erfolgen kann, geeignete technische und organisatorische Maßnahmen greifen, um die Unterlagen bzw. Daten vor unerlaubtem Zugriff zu schützen.
4. Sensibilisieren
Weisen Sie durch Schulungen oder andere geeignete Maßnahmen darauf hin, welche Zugriffe verboten sind.
5. Kontrollieren
Wenn Daten im Niemandsland liegen, führen Sie angemessene persönliche Kontrollen durch.
6. Dokumentieren
Nehmen Sie eine geeignete Dokumentation vor, die das gesamte Vorgehen bestätigt.
7. Löschregeln ergänzen
Prüfen Sie, ob der Fall „Daten im Niemandsland“ in die Richtlinie für Löschregeln aufzunehmen ist. Wenn ja, sorgen Sie dafür, dass die Richtlinie entsprechend ergänzt wird.
Das ist die Kernfrage: Haben Sie sichergestellt, dass Daten im Niemandsland bis zur endgültigen Vernichtung nicht mehr unbefugt verarbeitet werden?
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
