Das Löschkonzept des Auftragsverarbeiters

Fachbeitrag

Immer wieder kommt es vor, dass Auftragsverarbeiter von ihren Auftraggebern um Vorlage ihres Löschkonzeptes gebeten werden. Doch was ist damit gemeint und wozu ist der Auftragsverarbeiter eigentlich verpflichtet? Damit beschäftigen wir uns im folgenden Artikel.

Adressaten der Pflicht zur Löschung

Oft ist nicht nur eine Partei an einer Verarbeitung beteiligt. Sobald Daten von einer Partei an einen anderen Empfänger weitergeleitet werden, ist eine Löschung an mehreren Stellen erforderlich.

Der Verantwortliche

Die Norm der DSGVO, die sich rund um das Löschen dreht, ist Art. 17 DSGVO. Demnach ist die Rede vom „Verantwortlichen“. Dieser ist als Adressat der Norm verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn es für die weitere Speicherung der personenbezogenen Daten keine Rechtsgrundlage mehr gibt. Die betroffene Person kann vom Verantwortlichen auch ergänzend entsprechend Löschung ihrer Daten verlangen. Obwohl an einer Verarbeitung verschiedene Stellen beteiligt sein können, richtet sich die DSGVO mit der Pflicht zur Löschung ganz konkret an den Verantwortlichen. Dass das Löschen von Daten ein großes Thema ist, zeigen auch die in der Vergangenheit bereits ergangenen Bußgelder. Auch Schadensersatzansprüche der Betroffenen sind denkbar.

Der Auftragsverarbeiter

Während sich Art. 17 DSGVO ausschließlich an den Verantwortlichen richtet, finden wir in Art 28 Abs. 3 S. 2 lit. g) DSGVO auch eine Pflicht des Auftragsverarbeiters. Demnach muss der Auftragsverarbeiter personenbezogene Daten grundsätzlich nach Abschluss der Erbringung der Verarbeitungsleistung nach Wahl des Verantwortlichen löschen oder die Daten zurückgeben. Konkret sieht die Norm vor, dass der Auftragsverarbeiter:

  • nach Abschluss der Erbringung der Verarbeitungsleistung
  • alle personenbezogenen Daten
  • nach Wahl des Verantwortlichen entweder löscht oder zurückgibt
  • und vorhandene Kopien löscht,
  • sofern nicht nach dem EU-Recht oder dem nationalen Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

Benötigt der Auftragsverarbeiter jetzt ein eigenes Löschkonzept?

Wir haben also gesehen, dass sich die Löschpflicht der DSGVO grundsätzlich an den Verantwortlichen richtet, der Auftragsverarbeiter aber über den Auftragsverarbeitungsvertrag bzw. Art 28 Abs. 3 S. 2 lit. g) DSGVO ebenfalls zur Löschung in bestimmten Fällen verpflichtet ist.

Der Auftragsverarbeiter als Verantwortlicher

Trennen muss man ganz klar die personenbezogenen Daten, die auch ein Auftragsverarbeiter in eigener Verantwortlichkeit verarbeitet. Hierzu gehören beispielsweise die Daten seiner Beschäftigten oder auch Kundendaten. Hier agiert der Auftragsverarbeiter eben nicht als solcher, sondern verarbeitet Daten als Verantwortlicher. Ihn treffen in damit alle Pflichten eines Verantwortlichen und damit auch die Löschpflichten aus Art. 17 DSGVO. In diesem Fall benötigt er ein umfassendes Löschkonzept, das alle technischen und organisatorischen Maßnahmen beschreibt, die der Umsetzung der Pflichten im Zusammenhang mit der Löschung beim Verantwortlichen erforderlich sind. Darum soll es hier aber nicht gehen. Dieses wird er seinem Auftraggeber auch regelmäßig nicht vorlegen, da es sich in keinerlei Hinsicht auf die im Auftrag verarbeiteten Daten bezieht.

Das Löschkonzept des Auftragsverarbeiters

Das Löschkonzept des Auftragsverarbeiters, das sich auf die personenbezogenen Daten bezieht, die er im Auftrag verarbeitet, muss sich auf die technischen und organisatorischen Maßnahmen beschränken, die zur Erfüllung seiner Pflicht aus Art. 28 Abs. 3 S. 2 lit. g) DSGVO, also der Pflicht zur Löschung und/oder Rückgabe nach Abschluss der Erbringung der Vertragsleistung oder auf Weisung des Verantwortlichen erforderlich sind.

Damit bleibt es bei der Pflicht des Verantwortlichen, jedenfalls die Speicherdauer der Daten festzulegen und damit den Zeitpunkt der Löschung zu bestimmen. Durch die Auslagerung der Verarbeitung an einen Auftragsverarbeiter wird der Verantwortliche nicht von seiner Pflicht zur Löschung der Daten befreit. Folgende Punkte sollten daher im Vorfeld zwischen Verantwortlichem und Auftragsverarbeiter geklärt sein:

  • Wann und wie werden die im Auftrag verarbeiteten Daten gelöscht?
  • Wie erfolgt der Nachweis der DSGVO-konformen Löschung durch den Auftragsverarbeiter?

Nur so kann der Verantwortliche seinen Pflichten zur Löschung aus Art. 17 DSGVO und seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO genügen.

Was beinhaltet das Löschkonzept des Auftragsverarbeiters?

Hinsichtlich der technischen und organisatorischen Maßnahmen bei der Umsetzung des Löschkonzepts kann der Verantwortliche dem Auftragsverarbeiter einen Entscheidungsspielraum überlassen.

Im Gegensatz zum Löschkonzept des Verantwortlichen enthält das Löschkonzept des Auftragsverarbeiters jedoch keine Angaben zur Speicherdauer. Als Löschzeitpunkt bleiben nur der Abschluss der Erbringung der Verarbeitungsleistung sowie die Anweisung des Verantwortlichen zur Löschung. Werden vom Verantwortlichen auch die Mittel der Löschung festgelegt, fällt das Löschkonzept des Auftragsverarbeiters entsprechend knapp aus.

Enthalten sollte das Löschkonzept jedenfalls folgende Punkte:

  • Startzeitpunkte (Abschluss Vertragsleistung / Weisung des Verantwortlichen)
  • (Technische) Umsetzung der Löschung
  • Dokumentation der Löschung
  • Angaben zu Kontrollen
  • Informationen zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit + ggf. Aktualisierung

Man kann also festhalten, dass auch Auftragsverarbeiter ein Löschkonzept benötigen. Über das Kontrollrecht des Verantwortlichen und die Nachweispflicht des Auftragsverarbeiters hat der Verantwortliche grundsätzlich wohl auch das Recht, dieses einzusehen, um sich von der ordnungsgemäßen Löschung überzeugen zu können.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Dokumente

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.