Daten löschen? Das machen wir täglich. Gibt es dabei Probleme? Nein, wieso? So laufen typische Dialoge ab, wenn man dieses Thema in Unternehmen anspricht. Aber ganz so einfach war es schon bisher nicht, und die Datenschutz-Grundverordnung (DS-GVO) bringt einige Neuerungen.
„Löschen“ – gar nicht so einfach
Was bedeutet es eigentlich, Daten zu löschen? Das Verschieben der Daten in einen elektronischen Papierkorb reicht nicht aus. Nur zur Sicherheit: Wenn Sie Daten mit ein paar Mausklicks „wiederherstellen“ können, sind sie nicht wirklich gelöscht. Sie sind dann nur an einer anderen Stelle als bisher gespeichert, eben im „Papierkorb“.
Löschen als Zerstörung
Was bedeutet dann Löschen? Der Europäische Gerichtshof verwendet klare Worte, um den Begriff „Löschen“ verständlich zu erklären. Daten sind dann gelöscht, wenn sie „zerstört“ sind. Die Daten dürfen also auf keinem Weg mehr rekonstruierbar und/oder wiederherstellbar sein.
Daten auf Papier
Bei Daten auf Papier bedeutet dies beispielsweise, das Papier zu verbrennen. Zerkleinern kann man es natürlich auch. Dies hat so zu geschehen, dass niemand mehr die Seiten wieder zusammensetzen kann. Am besten orientiert man sich bei der Vernichtung von Datenträgern, z. B. Papier aber auch Festplatten, CD, USB-Stick, an der DIN 66399 (Norm zur Datentägervernichtung).
Elektronische Daten
Elektronische Daten lassen sich auf den ersten Blick schnell löschen. Eine Möglichkeit ist das Überschreiben. Der Teufel steckt dabei im Detail. Viele Löschfunktionen bewirken lediglich, dass die entsprechenden Bereiche auf dem Datenträger (etwa einer Festplatte) nicht mehr gegen ein Überschreiben geschützt sind. Das heißt allerdings noch lange nicht, dass sie auch tatsächlich bald überschrieben werden. Manchmal geschieht dies auch nie. Wundern Sie sich also nicht, wenn die EDV erklärt, dass das Löschen von Daten nicht so banal ist, wie viele denken.
Gesetzliche Anlässe zur Löschung
Wann Daten gelöscht werden müssen, ist in Art. 17 DS-GVO ausführlich geregelt. Zumindest die wichtigsten Fälle der Löschungspflicht sollte man kennen:
- Rechtswidrige Verarbeitung
Wenn Daten unrechtmäßig verarbeitet wurden, müssen sie ohne Ausnahme gelöscht werden. Ein klassisches Beispiel: Um bestimmte Daten überhaupt verarbeiten zu dürfen, hat ein Unternehmen die Einwilligung der betroffenen Personen eingeholt. Leider stellt sich heraus, dass dabei rechtliche Fehler passiert sind und dass die Einwilligung unwirksam ist. Die Folge: Die betroffenen Daten sind zu löschen. - Widerruf einer Einwilligung
Ein nicht ganz so klassisches Beispiel: Jemand hat eine Einwilligung erteilt und widerruft sie. Welche Folgen hat das? Der Ausgangspunkt ist klar: Alles, was bis zum Widerruf mit den Daten geschehen ist, bleibt rechtmäßig. Dies regelt Art. 7 Abs. 3 Satz 2 DS-GVO. - Folgen eines Widerrufs
Aber wie sieht es ab dem Widerruf aus? Müssen die Daten jetzt gelöscht werden? Nicht so ohne Weiteres. Denn vor allem im geschäftlichen Bereich kann es nötig sein, die Daten noch länger vorrätig zu halten, im Rahmen der gesetzlichen Aufbewahrungsfristen. Diese gelten in erster Linie, wenn Buchführungspflichten oder steuerliche Pflichten das Unternehmen dazu zwingen.
Das sind rechtliche Verpflichtungen, die ein Unternehmen zu erfüllen hat. Die Folge: Weil es um die Erfüllung einer rechtlichen Verpflichtung geht (in diesem Fall gegenüber dem Staat), dürfen die Daten noch gespeichert werden, solange diese Pflicht besteht (Art. 17 Abs. 3 Buchst. b DS-GVO). Der Widerruf der Einwilligung ändert daran nichts. - Zweckbindung
Die Speicherung ist allerdings nur genau für die Pflicht erlaubt, die erfüllt werden muss. Unzulässig wäre es beispielsweise, die Daten noch zu verwenden, um dem Kunden Werbematerial oder einen Newsletter zuzuschicken. Die Verwendung für diesen Zweck muss ausgeschlossen werden. Die DS-GVO spricht hier von einer „Einschränkung der Verarbeitung“ (so die Überschrift von Art. 18 DSGVO). Früher bezeichnete man dies meist als „Sperrung“.
Vorsicht vor Bußgeldern
Solche und ähnliche Fälle zeigen, dass eine Löschung nicht nur technisch schwierig sein kann, sondern auch in rechtlicher Hinsicht ganz erhebliche Fragen aufwirft. Man sollte sie in jedem Fall ernst nehmen. Denn zumindest wenn grobe Fehler passieren, kann dies durchaus zu einem Bußgeld seitens der Datenschutzaufsicht führen.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.