Spätestens seit dem hohen Bußgeld gegen die Deutsche Wohnen wegen zu langer Speicherung von Mieterdaten bemühen sich immer mehr Unternehmen um die Erstellung und Umsetzung eines Löschkonzeptes. Schnell stellen sie dabei fest, dass dies nicht so einfach ist. Dieser Beitrag soll helfen, die typische Hürden eines Löschkonzeptes „richtig zu überspringen“.
Der Inhalt im Überblick
1. Hürde: Es gibt kein Muster-Konzept
Im Internet findet man eine Vielzahl an Mustervorlagen zu rechtlichen Themen, z. B. für den Kaufvertrag, Mietvertrag oder Datenschutzerklärungen. Aber beim Thema Löschkonzept stößt man allenfalls auf eine schwer verdauliche DIN-Norm oder allgemeine rechtstheoretische Texte, die nur bedingt weiterhelfen.
Der Gesetzgeber schweigt
Als Jura-Student hört man oft den Satz: „Ein Blick ins Gesetz erleichtert die Rechtsfindung“. Dies trifft leider beim Thema Löschkonzept nicht zu. Hinsichtlich der Informationspflichten gegenüber Betroffenen und dem Vertragsinhalt einer Vereinbarung zur Auftragsverarbeitung oder der Gemeinsamen Verantwortlichkeit gibt der Gesetzgeber viele Mindestangaben konkret vor. Die DSGVO schweigt aber darüber, wie ein Löschkonzept auszusehen hat. Streng genommen, verlangt es nicht mal ein Konzept. Es wird nur an vielen Stellen darauf hingewiesen, dass personenbezogenen Daten unter bestimmten Voraussetzungen zu löschen sind, z. B. in Art. 17 Abs. 1 DSGVO.
Ein Konzept ist aber erforderlich, da ein Unternehmen einerseits aufgrund der Vielzahl an Daten keine Einzelfallentscheidung vornehmen kann und daher eine taugliche Anweisung für die Mitarbeiter benötigt. Andererseits ergibt sich aus Art. 5 Abs. 2 DSGVO die Rechenschaftspflicht und diese kann am besten durch Vorlage eines Konzeptes erfüllt werden.
Auch die Behörden schweigen
Die einzelnen Aufsichtsbehörden und auch die DSK haben eine Vielzahl an Handreichungen zu verschiedenen Themen des Datenschutzes erstellt. Sie äußern sich auch hinsichtlich dem Recht des Betroffenen auf Löschung. Aber eine Mustervorlage für ein Löschkonzept, die zu allen Unternehmen passt, gibt es nicht. Es gibt auch keinen konkreten Leitfaden, wie Unternehmen das Thema angehen sollen. Hier warten wohl die Aufsichtsbehörden selber darauf, ein Musterbeispiel von den Unternehmen zu erhalten.
Lösung: Mut zur Kreativität
Immer positiv denken! Solange es noch keine Mustervorlagen gibt, gibt es kein eindeutiges Falsch. Der eigenen Kreativität sind daher erstmal keine Grenzen gesetzt. Wenn die Aufsichtsbehörde das Löschkonzept überprüft, dann wird sie vielleicht einzelne Punkte kritisieren und Nachbesserung verlangen. Solange aber die Gründe und Vorgehensweise im Löschkonzept – juristisch – nachvollziehbar dargestellt werden, kann die Aufsichtsbehörde nicht ohne Weiteres Sanktionen erlassen. Hier kann also der Mutige und Kreative nur gewinnen.
Auf jeden Fall empfiehlt es sich, die DIN 66398 und 66399 als Orientierung heranzuziehen. Diese ist den Behörden auch bekannt und man muss nicht alles neu erfinden.
2. Hürde: Datenflüsse sind (teilweise) unbekannt
Selbst wenn es irgendwann mal Musterkonzepte geben sollte, dann werden diese nicht 1:1 auf jedes Unternehmen anwendbar sein. Die Datenverarbeitungsvorgänge sind in jedem Unternehmen unterschiedlich und individuell. Bevor man mit einem Löschkonzept starten kann, muss man sich also erstmal einen Überblick über seine Datenflüsse verschaffen:
- Wo werden welche personenbezogenen Daten verarbeitet und insbesondere gespeichert?
- Zu welchem Zweck werden diese Daten verarbeitet?
- Welche Abteilungen benötigen diese Daten?
Jetzt denkt sich manch ein Unternehmer: „Kein Problem. Wir haben doch 2018 diese Verzeichnisse über die Verarbeitungstätigkeiten angelegt. Daraus können wir die erforderlichen Informationen ableiten.“ Dieser Gedanke ist grundsätzlich nicht verkehrt und man wird damit erstmal sehr weit kommen. Aber in der Regel liegen nicht alle Verarbeitungstätigkeiten umfassend und vollständig vor. Es sind immerhin schon zwei Jahre vergangen und die Arbeitsweise der Mitarbeiter kann sich bereits geändert haben. Manche damals erfassten Tools werden vielleicht nicht mehr genutzt oder es gibt neue Tools. Insbesondere die Wichtigkeit der letzten Frage wird gerne unterschätzt.
Hierfür ein Beispiel
Im Vermietungsbereich erhebt eine Abteilung, die für den Vertragsschluss zuständig ist, eine Vielzahl an Daten über den Mieter. Der ursprüngliche Zweck der Datenverarbeitung ist mit Vertragsschluss für diese erstmal erreicht, sodass eine Vielzahl an Daten von dieser Abteilung gelöscht wird. Der Mieter wird später säumig mit der Mietzahlung. Die Abteilung für das Forderungsmanagement würde gerne gegen den säumigen Mieter vorgehen. Die Forderungsdurchsetzung ist aber erschwert, weil nunmehr wesentliche Informationen fehlen. Wären die Datenflüsse im Unternehmen besser bekannt, hätte man dieses Problem vermeiden können.
Lösung: Aktualisierung und Vervollständigung
Man sollte hier also alle Abteilungen nochmal interviewen und die Vollständigkeit der bisherigen Dokumentationen überprüfen. Soweit Verarbeitungstätigkeiten von IT-Systemen und sonstigen Applikationen untersucht werden, sollte auch die Expertise der IT-Abteilung hinzugezogen werden.
3. Hürde: Unterschätzung der Komplexität
Die Pflicht zur Löschung rührt aus dem BDSG (alte sowie neue Fassung) und aus der DSGVO. Es scheint daher für manch einen Unternehmer ganz logisch, dass der Datenschutzbeauftragte diese Aufgabe erfüllen kann. Der Datenschutzbeauftrage, insbesondere wenn er extern ist, stößt aber schnell an seine Grenzen, wenn er diese Aufgabe allein meistern soll.
Aufbewahrungsfristen ergeben sich aus Spezialgesetzen
Der Datenschutzbeauftragte ist Experte für das BDSG und die DSGVO. In diesen Gesetzen steht aber allgemein zusammengefasst:
„Du musst die personenbezogenen Daten löschen, wenn der ursprüngliche Zweck erreicht wurde und weder aus dem Gesetz noch aus sonstigen rechtlichen Verpflichtungen sich eine Aufbewahrungspflicht ergibt.“
Die konkreten Fragen zum Wann und Wie werden hier aber nicht beantwortet. Die gesetzlichen Aufbewahrungsfristen ergeben sich aus speziellen Gesetzen, z. B. dem Handelsgesetzbuch oder der Abgabenordnung. Der Datenschutzbeauftragte wird die ein oder andere Aufbewahrungsfrist auch kennen. Aber er wird nicht bei jedem Dokument oder Datenart zweifelsfrei bestimmen können, ob diese Aufbewahrungsfrist auch Anwendung findet. Es gehört weder zu seiner fachlichen Expertise noch zu seinen Aufgaben. So sollte nur der Steuerberater die Steuerrelvanz einzelner Dokumente feststellen. Der Datenschutzbeauftragte kann – und muss – auch nicht alle Fristen kennen, selbst wenn er Jurist sein sollte. Hier müssen also die einzelnen Abteilungen ihr Wissen entsprechend zuarbeiten.
Einbeziehung der IT erforderlich
Der Datenschutzbeauftragte kann zwar die theoretischen Anforderungen an das Löschkonzept liefern. Aber was nützt das schönste Konzept, wenn es nicht gelebt werden kann. Zwischen Theorie und Praxis liegen oftmals Welten. Um ein umsetzbares Konzept im Unternehmen etablieren zu können, ist es daher unabdingbar, dass auch die IT-Abteilung involviert wird. Diese muss mitteilen, wie die technische Umsetzung erfolgen kann. Bekanntermaßen führen viele Wege nach Rom. Dies gilt auch bei technischen Problemen und Hindernissen. Der Datenschutzbeauftragte kann bei der Entscheidungsfindung beraten, aber die Entscheidungsbefugnis liegt nicht bei ihm.
Einbeziehung des Betriebsrates
Irgendwann muss man im Löschkonzept auch Verantwortlichkeiten definieren:
- Wer soll die Löschung vornehmen?
- Wer muss diese überwachen?
- Wer muss sich vor wem rechtfertigen?
Spätestens hier wird ein Betriebsrat, soweit dieser im Unternehmen vorhanden ist, seine Mitwirkung wünschen. Es kann sich eventuell sogar eine Mitwirkungspflicht aus § 87 BetrVerfG ergeben.
Lösung: Projektmanagement
Der Datenschutzbeauftragte kann kein Löschkonzept im stillen Kellerlein schreiben, wenn dieses Konzept tatsächlich im Unternehmen Anwendung finden soll. Es sind viele Zuarbeiten von verschiedenen Akteuren erforderlich. Eine enge Zusammenarbeit mit den einzelnen Abteilungen ist unvermeidbar. Dem Datenschutzbeauftragten fehlt auch oft die Entscheidungsbefugnis.
Es handelt sich letztlich um ein großes Projekt im Unternehmen, welches gute Planung und Koordination bedarf. Der Datenschutzbeauftragte kann dies in der Regel nicht allein bewältigen. Wenn es sich um einen Externen handelt, kommt zudem hinzu, dass er von den Zuarbeiten durch einzelne Mitarbeiter und Abteilungen abhängig ist. Wenn diese nicht erfolgen, kann er meist nichts machen, außer höflich darum zu bitten. Es muss daher eine Projektgruppe gegründet werden und der Projektmanager sollte zur effektiven Umsetzung des Projektes gewisse Entscheidungsbefugnis und Einflussnahme haben.
Die Klärung des finanziellen Budgets gehört auch zur Projektplanung. Für eine schnelle Umsetzung kann es sich anbieten, auf die Expertise Dritter zurückzugreifen. Allerdings geht dies meist mit höheren Kosten einher.
Indem man viele kleine Etappen definiert, kann man auch besser den Fortschritt des Projektes erkennen.
4. Hürde: Ein Dokument für alles
Je nachdem wie ausführlich das Konzept geschrieben ist, entsteht am Ende eine sehr lange Dokumentation mit hunderten von Seiten. Wer mag sowas schon lesen?! Es würde dazu führen, dass die ganze Arbeit für umsonst war, weil das Löschkonzept nur in einer Schublade verstaubt. Zudem besteht die Gefahr, dass dieses Dokument nie in Kraft tritt, weil die internen Abstimmungsprozesse nicht abgeschlossen werden. Oder aber das Dokument ist so allgemein und kurz, dass der einzelne Mitarbeiter weiterhin nicht weiß, was er zu tun hat. Beide Szenarien führen dazu, dass die Umsetzung des Löschkonzeptes scheitert. Schließlich muss das Konzept regelmäßig evaluiert und aktualisiert werden. Dies geht ebenfalls mit vielen kleineren Dokumentationen leichter als mit einem großen Dokument.
Lösung: Dokumentation aufteilen
Es sollte daher nicht alles in einem einzigen Dokument festgehalten werden. Mindestens ein zweigliedriger Aufbau sollte angestrebt werden. In einem allgemeinen Dokument wird das Lösch-Vorgehen sowie die Begrifflichkeiten allgemeingültig definiert. Auch sollten Unternehmensentscheidungen zu einzelnen Themen hier schriftlich festgehalten werden. Zum Beispiel zu folgenden Fragen:
- Soll der Löschprozess manuell, automatisiert oder teilautomatisiert erfolgen?
- Soll die Löschung primär durch Vernichtung der Daten (-träger) oder durch Anonymisierung erfolgen?
- Wer überwacht die Einhaltung des Konzeptes und trägt insoweit intern die Verantwortung?
Für die einzelnen Abteilungen und IT-Anwendungen sollten aber noch konkrete Arbeitsanweisungen erstellt werden, die sich primär an diese Mitarbeiter richten. Der Mitarbeiter soll so schnell nachlesen können, was für ihn relevant ist. Denn die Mitarbeiter aus der Personalabteilung interessieren sich nicht für die Löschvorgaben, welche die Abteilung für Finanzen zu beachten hat. Je schneller Mitarbeiter Antworten auf ihre Fragen finden und je verständlicher das Dokument für diese aufbereitet ist, umso mehr halten sich die Mitarbeiter auch an die getroffenen Vorgaben.
Ab einer gewissen Unternehmensgröße oder bei einem Konzern kann es zudem erforderlich werden, dass die Dokumentation des Löschkonzeptes noch weiter aufgegliedert wird.
Niemals das Ziel aus den Augen verlieren
Es führt kein Weg daran vorbei, ein Löschkonzept im Unternehmen zu erstellen und umzusetzen. Anhand der Hürden wurde nun deutlich, dass es sich um ein großes Projekt handelt, welches arbeits- und zeitaufwendig ist. Nur sorgfältige Planung, Arbeitsaufteilung, Struktur und Ausdauer werden langfristig zu guten Ergebnissen führen. Der Datenschutzbeauftragte kann hierbei entsprechend beraten und unterstützen. Er kann es aber nicht alleine fertigstellen. Nur durch Team Work kommt man am Ende ins Ziel.
Ein ausgezeichneter Artikel. Vielen Dank, Frau Dannewitz.
Ich hatte letzte Woche noch entschieden, dass wir kein Löschkonzept brauchen, da es genügt, diejenigen, die personenbezogene Daten be- und verarbeiten eine Vereinbarung über eine „rechtzeitige“ Löschung unterschreiben zu lassen. Nach Ihrem Artikel sehe ich das anders. Wir brauchen auch einen Kontrollmechanismus.
Schön, dass Sie uns darauf hingewiesen haben, dass wir relativ frei entscheiden können wie dieser Mechanismus aussehen soll/kann.
Vielen Dank für Ihre lobende Worte.
In der Tat wäre ein solche Vereinbarung über die „rechtzeitige Löschung“ in rechtlicher als auch tatsächlicher Hinsicht wirkungslos, wenn der Arbeitgeber dem Mitarbeiter nicht konkret erläutert, was unter „rechtzeitig“ verstanden wird.
Zuerst muss der Arbeitgeber definieren, wann welche Daten wie zu löschen sind. Wenn er das gemacht hat, kann innerhalb seines Unternehmens interne Verantwortlichkeiten definieren und delegieren, wer die rechtzeitige Löschung zu überwachen hat. Für eigene Notizen, individuelle Datei- und E-Mail-Ablage kann dies den einzelnen Mitarbeiter treffen. Hinsichtlich Dateien und Unterlagen, auf die ganze Abteilungen zugreifen müssen, kann dies aber nicht mehr dem einzelnen Mitarbeiter aufgebürdet werden. Hier wird dann wohl der Abteilungs-, Projektleiter o. Ä. die Verantwortung tragen müssen.