Auch das Löschen von Daten will gelernt sein!

Aufsatz von Jonas Puchelt, Vorabveröffentlichung aus NWB 27/2020 S. 2012

Die Erhebung, Kategorisierung und Verknüpfung von Daten bilden die Basis des Erfolgs vieler Unternehmen. Aus diesem Grund erfolgte die Löschung von Daten in der Vergangenheit allenfalls, wenn die Speicherplatz-Begrenzung des unternehmenseigenen Servers zur faktischen Korrektur zwang. Inzwischen spielt die Begrenzung von Speicherplatz wegen riesiger lokaler Speichermedien oder nahezu unbegrenzter Speichermöglichkeiten in der Cloud keine Rolle mehr spielt. Dafür zwingt das neue Datenschutzrecht zu einer inhaltlichen Auseinandersetzung mit der Löschung personenbezogener Daten. 

Ein Konzept zur Unterstützung der Umsetzung von Löschpflichten
Damit ein Verantwortlicher die gesetzlichen Erfordernisse vollständig einhält, ist die Systematisierung von Datenlöschungen empfehlenswert. Diese kann in einem sog. Löschkonzept festgehalten werden. Ein branchenübergreifendes oder gar allgemeingültiges Löschkonzept ist kaum vorstellbar, denn ein Löschkonzept muss auf die bei dem Verantwortlichen bestehende Organisationsstruktur angepasst werden sowie bereichsspezifische Besonderheiten des Tätigkeitsfelds (z. B. das Berufsrecht) berücksichtigen.

Etablierung eines Löschkonzepts als fortlaufender Prozess
Technische Fragen dürfen in diesem Zusammenhang nicht außer Acht gelassen werden. Viele Verantwortliche nutzen digitale Lösungen zum Datenmanagement, die völlig unterschiedliche Maßnahmen und Mechanismen zur Etablierung eines Löschkonzepts bieten.

Die Etablierung eines Löschkonzepts darf nicht als einmaliger Aufwand begriffen werden. Es handelt sich um einen fortlaufenden Prozess, der stetigen Anpassungen unterliegt. Zum einen, weil sich Datenverarbeitungen bei einem Verantwortlichen verändern, und zum anderen, weil sich das Datenschutzrecht durch Einflüsse der Rechtsprechung und der Aufsichtsbehörden in stetigem Wandel befindet.

Aufbau und Inhalt eines Löschkonzepts
Zur Entwicklung eines Löschkonzepts hat der Verantwortliche zunächst alle Datenverarbeitungen des Unternehmens zu kategorisieren. Bestenfalls erfolgte dies bereits im Zuge der Erstellung eines Verarbeitungsverzeichnisses. In diesem Fall kann das Verarbeitungsverzeichnis als Ausgangsbasis genutzt werden.

Sodann muss der Verantwortliche für Datenverarbeitungen generelle Löschzeitpunkte festlegen. Dafür hat er zunächst zu prüfen, wann welche Daten gelöscht werden sollen. Dies erfolgt durch die Identifizierung anwendbarer Lösch- und Aufbewahrungspflichten. Ferner muss er prüfen, auf welche Aufbewahrungsrechte er sich außerhalb seiner Aufbewahrungspflichten stützen kann. Bspw. muss der Verantwortliche Daten weiterverarbeiten können, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Bei der Umsetzung des Konzepts ist sicherzustellen, dass die unternehmensinternen Verantwortlichkeiten klar verteilt sind, Löschvorgänge technisch sauber durchgeführt und Dokumentationen in dem erforderlichen Umfang angefertigt werden.

Die Erstellung eines Löschkonzepts vermag zwar zunächst einen nicht unerheblichen Aufwand verursachen, kann bei richtiger Umsetzung aber nicht nur die Einhaltung der gesetzlichen Erfordernisse sicherstellen, sondern auch – z. B. durch die Automatisierung von Vorgängen – zu Erleichterungen in der täglichen Arbeit führen.

X

Diese Website verwendet Cookies

Cookies gewährleisten den vollen Funktionsumfang unseres Angebots, ermöglichen die Personalisierung von Inhalten und können für die Ausspielung von Werbung oder zu Analysezwecken gesetzt werden. Lesen Sie auch unsere Datenschutzerklärung!
Cookie-Einstellungen

Cookies akzeptieren

Cookies erforderlich

Um fortfahren zu können, müssen Sie die dafür zwingend erforderlichen Cookies zulassen. Diese gewährleisten den vollen Funktionsumfang unserer Seite, ermöglichen die Personalisierung von Inhalten und können für die Ausspielung von Werbung oder zu Analysezwecken genutzt werden. Lesen Sie auch unsere Datenschutzerklärung.