Daten praxisgerecht Löschen

HMDATA Datenschutz-Newsletter 12/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Ein häufiger, aber im Detail doch komplexer Vorgang ist das Löschen von Daten. Datenschutzrechtlich ist die Sache einfach, es gilt das Prinzip des Verbotes der Datenverarbeitung personenbezogener Daten, außer es liegt ein Erlaubnistatbestand nach Art. 6 DSGVO vor, also das Schaffen einer rechtlichen Grundlage der Verarbeitung. Heißt im Umkehrschluss: entfällt der Zweck der Verarbeitung, entfällt die rechtliche Grundlage, ist die Verarbeitung verboten, es also muss gelöscht werden.
Meist erfolgt der Entfall der rechtlichen Grundlage der Verarbeitung durch Vertragsbeendigung, durch Entzug der Einwilligung oder Löschanfrage des Betroffenen.

Sollten dem Betroffenenrecht der Löschung noch vertragliche Gründe entgegen sprechen, wird der Kunde meist auf den Widerruf der Verarbeitung pochen. Auch dieser ist nicht trivial und wie unten ausgeführt mit ähnlicher Komplexität beladen wie die Löschung.
Meint man dann im Sinne einer Kundenrückholaktion den Kunden nach Aussprechen des Löschbegehrens nochmals von den Vorzügen seiner Dienstleistungen überzeugen zu wollen, begibt man sich auf datenschutzrechtlich dünnes Eis: die Rechte sind unabdingbar und den Betroffenenrechten ist unverzüglich, spätestens innerhalb von 4 Wochen Folge zu leisten, inkl. Dokumentation bzw. Nachweispflicht. Alles andere bewegt sich auf einer dünnen Linie zur Datenpanne mit wahrscheinlicher Behördenmeldung.

Die Problematik des Löschens

Allerdings ist eine Löschung "auf Knopfdruck" auf Grund hybrider, verteilter, extern ausgelagerter oder schlicht nicht regelmäßig dokumentierter Datenbestände nicht ohne Weiteres möglich. Dem Gesetzgeber ist der hierbei zu betreibende Aufwand egal, Löschen heißt Löschen und wer das nicht konform kann, hat die Daten von vornherein auch nicht zu verarbeiten.
Zudem gibt es womöglich auch vertragliche oder gesetzliche Vorschriften, die womöglich strafbewehrt einer Löschung entgegenwirken, beispielsweise hier genannt die bekanntesten Beispiele der buchhalterischen und steuerlichen Aufbewahrungspflichten. Nach GoBD ist hiervon auch größtenteils die geschäftliche Kommunikation betroffen, die auch Revisionssicherheit fordert, also ein Löschen unmöglich macht.
Und dann wäre da noch der Aspekt, dass es unternehmerisch möglicherweise auch kontraproduktiv wäre, Daten zu löschen, da man dann in späteren juristischen Konflikten eigenes Beweismaterial zur Entlastung vernichten würde. Eine Löschanfrage nach DSGVO an das Verkehrssünderregister in Flensburg wird also sicher nicht im Sinne des Betroffenen nach datenschutzrechtlichen Aspekten Aussicht auf Erfolg haben.
Dem nicht genug ist es auch nicht unwahrscheinlich, dass die verwendete Technik eine vollständige Löschung gar nicht zulässt. Man denke nur an revisionssichere Archive, automatisierte Online-Backups, Löschalgorithmen der Betriebssysteme bzw. Hardware, mangelnde Datenbank- oder Anwender-Software-Funktionen, Log-Files, Transaktionsprotokolle, Datenhaltung bei externen Dienstleistern, automatisierte Replikationen über Schnittstellen, Backups auf externen Datenträgern oder schlicht - gar nicht so unüblich - Schlamperei. Hier wären insb. die inkonsistente Datenhaltung, nicht dokumentierte Prozesse, Weiterleitung an private Mail- oder Online-Accounts, Speichern jenseits der Netzwerkpfade, externe Datenträger, unsachgerechte Datenträgerentsorgung, Fahrlässigkeit, Nutzung von Fremdsystemen beim mobilen Arbeiten, ... häufig anzutreffen.
Mit anderen Worten: geht man mit technischer und datenschutzrechtlicher Expertise in's Detail, ist eine selektive Datenlöschung hochkomplex. Nur wer diszipliniert, geschult, konsistent und detailliert dokumentiert Daten verarbeitet, wird auch nur im Ansatz eine Chance haben, die Löschung sachgerecht durchführen zu können.
Die Aufstellung eines hierzu vereinfachten Verzeichnisses der Verarbeitungstätigkeiten leistet hier beste Hilfe. Wenn man dies auch nicht zum Selbstzweck des Datenschutzes generiert, sondern als Grundlage einer unternehmerischen Prozessoptimierung versteht, ist auch aus betriebswirtschaftlicher Sicht ein enorm potenter Hebel zum Return-of-Investment gegeben. Der Datenschutz ist hierbei dann lediglich das positive Nebenprodukt, das ganz von alleine hergestellt wird.

Soweit so gut, den Pflichten des Datenschutzes ist hiermit Genüge getan.

Der beste Weg ist also, Verarbeitungstätigkeiten erfassen, Prozesse darauf abstimmen und Löschfristen und Umsetzung gewährleisten, Mitarbeiter qualifizieren und IT befähigen.

Die Löschung in der Praxis

Vorab ein wichtiger Hinweis: der folgende Abschnitt ist keine Empfehlung eines Datenschützers, sondern spiegelt lediglich ein mögliches Alltagszenario wieder, wie es in der Praxis bereits vorgekommen sein soll. Ein konformes Löschkonzept muss wie o.a. skizziert vorhanden und umgesetzt sein.
Blickt man in ein typisches mittelständisches Unternehmen, dass personenbezogene Daten verarbeitet, ist meist folgende Situation vorzufinden: das Augenmerk der Wertschöpfung liegt in der laufenden Abwicklung der hierfür benötigten Prozesse - sprich: die Mitarbeiter machen Ihre Arbeit und tragen zum Umsatz und zur Rendite bei.
Dazu werden Verwaltungs-, Buchhaltungs- und Anwender-Programme verwendet, branchenspezifische Softwarelösungen eingesetzt, komplexe oder vereinfachende Vorgänge händisch mit Office- oder Spezial-Tools gemacht, Daten lokal, extern oder auf Netzlaufwerken abgespeichert, Daten empfangen und verschickt, ausgedruckt, geteilt oder geshared, auf's mobile Gerät dupliziert, Offline-, Netzwerk- und Online-Speicher beschrieben, Datenbanken gefüllt, Ausdrucke erstellt und handschriftliche Notizen angefertigt.

Kurz: es läuft.

Ohne Prozessdokumentation und definierte Workflows: der Datenschutz-GAU.

Es ist davon auszugehen, dass bei einer Löschanfrage im Betrieb nur mit enormen manuellen Aufwand - falls überhaupt möglich - ein umfassender Überblick über den Datenbestand herzustellen ist, geschweige denn konform gelöscht werden kann. Nicht zu vergessen die einhergehende Problematik der Sperrung, da gesetzliche Aufbewahrungsfristen bestehen, nach deren Ablauf erst gelöscht werden kann und muss. Irgendwie also eine Verarbeitung ohne zu verarbeiten - durchaus nicht trivial.
Konsequenz im o.a. Beispiel ist, dass jeden Tag die datenschutzrechtliche Sprengkraft des verwalteten Datenbestandes steigt und nur der zwangsweise Zeitpunkt der Explosion fraglich ist.

Was tun?

Sichtwechsel! Was erwartet denn der Kunde als Betroffener bei einer Löschanfrage, bzw. Entfall der rechtlichen Verarbeitungsgrundlage?
Dass er nie wieder ohne erneute Einwilligung oder Vertragsunterzeichnung vom Unternehmen kontaktiert wird. In der Praxis durchaus üblich wird eine Löschung meist missverständlich mit einer Untersagung der Werbeeinwilligung nach UWG gleichgesetzt.

Schlussfolgerung: im Außenverhältnis MUSS die Löschung funktionieren.

Das Mindeste wäre also, seine Prozesse zu kennen, in denen der Betroffene kontaktiert wird: Serienbriefe, Auswertungen, Support, Service, Newsletter, Übermittlung externe Dienstleister usw.
Ohne Kenntnis droht die Datenpanne mit vermutlicher Behördenmeldung durch den Betroffenen. Dann hat man noch 4 Wochen Zeit, seine Datenschutzunterlagen und -prozesse schleunigst auf Vordermann zu bringen und sich die argumentativen Ausreden einfallen zu lassen.
Inbs. die Verarbeitung durch externe Dienstleister (s. EuGH-Urteil C129/21 vom 27.10.2022) ist mit einzuschließen, diese sind zu informieren und die Löschung ist durchzusetzen - wie es letztlich auch beidseitige Verpflichtung aus dem Auftragsverarbeitungsverhältnisses nach Art. 28 DSGVO ist. Hier droht ansonsten die Potenzierung der Datenpanne.
Wenn also sichergestellt ist, dass der Kunde als Betroffener im Außenverhältnis "unsichtbar" wird, ist ein großer Schritt zur Löschung getan.
Ob die Löschung nun technisch und datenschutzrechtlich einwandfrei durchgeführt wurde oder durch "Sperrmerkmale" verwaltet wird (also bspw. Kundeneintrag "rot" markiert heißt keine Anfragen mehr beantworten und nicht anrufen), wäre der erste Schritt. Eine Löschung müsste also nicht umgehend erfolgen, sondern könnte innerhalb regelmäßiger Revisionsintervalle erfolgen, Hauptsache nach Extern sind die Daten unsichtbar.
Im zweiten Schritt wäre zu überlegen, wie unnötiger Datenballast leicht entfernt werden kann. Regelmäßige Bereinigung trägt auch durchaus zur besseren Gesamtperformance bei und hätte somit auch einen positiven Zusatznutzen. Wie beim Weihnachtsputz rentiert es sich also, auch mal jährlich die hinteren Datenecken abzustauben.
Durch geeignete TOMs, also bspw. ein sinnvolles Berechtigungssystem oder physisch sicher verwahrte externe Datenträger und Backup-Bänder kann auch der Zugriff eingeschränkt werden.
Und fast das Wichtigste: ohne qualifizierte und sensibilisierte Mitarbeiter ist sowieso kein geordnetes Arbeiten möglich.

Die Tipps für den Alltag

Wer personenbezogene Daten verarbeitet, unterliegt der DSGVO im Sinne des Art. 24 DSGVO ist zum verantwortungsvollen Umgang verpflichtet, das "Löschen können" ist also kein Wunschkonzert. Die Zeiten der vertrieblichen Profitmaximierung des Datenbestandes auf Kosten des Datenschutzes sind endgültig vorbei. Entweder wird auf rechtmäßiger Grundlage gearbeitet, oder man lebt mit den Konsequenzen. Eine Frage, die sich für seriöse, auf Reputation bedachte Unternehmen aber sowieso nicht stellt.

Im Spannungsfeld zwischen theoretischer Anforderung und betriebswirtschaftlich, technologisch sinnvoller Umsetzung können aber folgende Tipps hilfreich sein

1. Dokumentation verarbeitender Prozesse mit Außenwirkung
2. Nutzen der Software-Funktionen zur Sperrung und Löschung
3. Prozessoptimierung nach "Need-to-know", Datensparsamkeit und Löschfristen
4. Kennen der Löschfristen und ggf. der Notwendigkeit zur Beweislast bei rechtlichen Auseinandersetzungen
5. Sperren von zukünftigen Verarbeitungen nach Löschanfrage
6. Zentrales Speichern von Daten, Vermeiden von händischen Prozessen und "Datenwildwuchs", Einhegen externer Datenspeicherung
7. Information externer Dienstleister über Löschung
8. Anpassung bzw. Überprüfen des Berechtigungs-und Dateibablagesystems für Sperrung und Löschung
9. Qualifizieren der Mitarbeiter

Fazit

Liest man o.a. Auflistung heißt die Lösung: geordnete Prozesse,. Dann kann selbst einfach und professionell mit der Komplexität der Datenlöschung umgegangen werden.
Womit wir bei der eigentlichen Motivation wären: es macht betriebswirtschaftlich einfach Sinn, die eigenen Prozesse auf Effizienz zu trimmen. Dann ist Datenschutz und Nachweispflicht gern gesehenes Nebenprodukt.