Es gibt eine gesetzliche Verpflichtung, personenbezogenen Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Bisher wird dies von Unternehmen nur sehr selten umgesetzt. Die DIN-Norm 66398 versucht jetzt, auf diesem Gebiet eine Hilfestellung zu geben.
Der Inhalt im Überblick
Löschpflicht vs. Aufbewahrungspflicht
Wir haben schon darauf hingewiesen, dass es eine Verpflichtung für Unternehmen gibt, Löschroutinen zu erstellen und zu implementieren. In den Artikeln „Löschen und Sperren von Daten mit Konzept“ und „Löschfristen in Unternehmen: Mehr MUSS als KANN“ finden Sie Informationen über den Umgang mit Lösch- und Aufbewahrungspflichten.
Rechtlicher Hintergrund
Die rechtlichen Anforderungen sind im BDSG unter § 35 Abs. 2 (BDSG) benannt. Die Datenschutz-Grundverordnung benennt in Artikel 5 Abs.1 e:
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“
Auch Art.17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“) beschreibt in Absatz 1 weitere Gründe, personenbezogene Daten zu löschen.
Die DIN betritt die Bühne
Im Mai 2016 ist die neue DIN Norm 66398 veröffentlicht worden, die den schönen Namen „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ trägt. Die DIN Norm basiert auf den Erfahrungen der Toll Collect GmbH, die ein unternehmensweites Löschkonzept etabliert hat. Wie Toll Collect in seinem öffentlichen Verfahrensverzeichnis schreibt:
„Der Gesetzgeber hat neben vielfältigen Aufbewahrungspflichten und -fristen in allgemeinen Gesetzen im BFStrMG für die Betreiber des Mautsystems die zeitnahe Löschung von Bewegungsdaten verfügt. Dieser besonderen Pflicht kommt Toll Collect durch ein in allen Systemen implementiertes besonderes Löschkonzept nach.“
Dieses Löschkonzept wurde in den Folgejahren im Rahmen eines Normungsprojekts mit Unterstützung von fünf Unternehmen zur DIN 66398 weiterentwickelt. Dies wurde durch das Bundesministerium für Wirtschaft und Technologie gefördert. Im Gegensatz zur kostenpflichtigen DIN-Norm, die im Beuth-Verlag veröffentlicht wurde, ist eine recht umfassende Vorversion kostenfrei einsehbar. Auch hat der Editor der DIN 66398, Dr. Volker Hammer, Artikel zum Thema verfasst und betreibt eine aussagekräftige Website zum Thema. Die DIN 66399 beschäftigt sich mit der Vernichtung von Datenträgern und legt genaue Anforderungen an die ordnungsgemäße Datenvernichtung fest.
Der systematische Umgang mit Löschung
Im Ideal sollte bei automatischer Verarbeitung auch automatisch gelöscht werden. Die DIN 66398 definiert ein Modell zur Entwicklung und Etablierung eines Löschkonzepts. Die Norm beschreibt Vorgehensweisen, durch die Löschregeln festgelegt werden. Auch empfiehlt sie eine Struktur zur Dokumentation des Löschkonzepts. Der Datenbestand des Unternehmens wird in Datenarten aufgeteilt. Für jede Datenart wird genau eine Löschregel definiert. Diese Löschregel besteht aus zwei Angaben:
- der Regellöschfrist und
- einem Startzeitpunkt, ab dem die Regellöschfrist läuft.
Für die datenschutzrechtliche Zulässigkeit müssen Datenarten durch die Anwendung von Löschregeln ‚rechtzeitig‘ gelöscht werden.
Einfach Lösungen für komplexe Probleme!?
Konkrete Löschregeln und Löschfristen legt die Norm allerdings nicht fest, da diese von den sehr spezifischen Vorgaben der Unternehmen abhängen. Die verantwortliche Stelle bleibt also in der Pflicht, ein Allheilmittel ist die Norm nicht. Insbesondere die Zusammenfassung von unterschiedlichsten Datenobjekten zu einheitlichen Datenarten wird auch weiterhin eine individuelle Herkules-Aufgabe für Unternehmen bleiben.
Nur weil man meint, das man irgend etwas nicht mehr sieht, bedeutet dies noch lange nicht, das es restlos aus der „aktuellen“ Datenbank gelöscht wurde! Theoretisch müssten sogar die Daten auch noch aus den Backups gefegt werden.
Der Rechner wird auch von anderen Usern genutzt