Zum Inhalt springen Zur Navigation springen
Löschen und Sperren von Daten mit Konzept

Löschen und Sperren von Daten mit Konzept

Das Löschen bzw. Sperren von Daten ist insbesondere dann kompliziert, wenn ein Unternehmen einen sehr großen Datenbestand hat. Wenn erst nach Jahren des Bestehens eines Unternehmens Löschroutinen implementiert werden sollen, ist die Entwicklung eines Löschkonzepts eine sehr große Herausforderung, die nicht nur den Datenschutzbeauftragten involviert.

Warum überhaupt löschen?

Im Datenschutz gilt der Grundsatz, dass man Daten nicht unbegrenzt speichern darf. Die datenschutzrechtliche Regelung zur Löschung von Daten ist in § 35 Abs. 2 BDSG zu finden.

„(2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn ihre Speicherung unzulässig ist,

  1. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  2. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
  3. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.“

Zwar gilt die datenschutzrechtliche Löschungspflicht grundsätzlich nur für Daten, die in Datenverarbeitungsanlagen oder in nicht-automatisierten Dateien verarbeitet oder genutzt werden. Jedoch ist § 32 Abs. 2 BDSG zu beachten, nach dem auch personenbezogene Daten in Papierform davon betroffen sind. Im Personalbereich, wo es häufig noch Aufzeichnungen in Papierform gibt, gilt daher dieselbe Löschpflicht, die für elektronisch erfasste Daten nach § 35 BDSG gilt.

Löschen auf Gedeih und Verderb?

Heißt das jetzt, ich muss alle Daten unverzüglich löschen egal ob ich Sie noch benötige oder nicht? Nein.

Die gesetzliche Löschpflicht wird ausgesetzt, wenn Daten aufgrund von Aufbewahrungsfristen vorgehalten werden müssen. Hierunter fallen beispielsweise Jahresabschlüsse und Bilanzen (10 Jahre), ärztliche Dokumentation (10 Jahre, teilweise bis zu 30 Jahre) und Rechnungen (2 Jahre). Darüber hinaus gibt es zahlreiche weitere Tatbestände, die einer Löschung entgegenstehen.

Sofern das Gesetz eine Aufbewahrungsfrist vorsieht, tritt anstelle der Löschung eine Sperrung gem. § 35 Abs. 3 BDSG.

„(3) An die Stelle einer Löschung tritt eine Sperrung, soweit

  1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
  2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder
  3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“

Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken; beispielsweise die Kennzeichnung als „inaktiv“.

Praktische Umsetzung

Die Empfehlung, ein Löschkonzept zu erstellen, hört sich für viele so an, als müsste ein umfangreiches Dokument erstellt werden. Praxisgerechter ist es, von der Implementierung von Löschroutinen zu sprechen, die dann Eingang in die internen Prozesse und internen Verfahrensverzeichnisse finden sollten.

Die häufig zu hörende Annahme, es sei alleinige Aufgabe des Datenschutzbeauftragten, entsprechende Löschroutinen zu implementieren, ist nicht korrekt. Der Datenschutzbeauftragte kann lediglich unterstützen – das Unternehmen muss als verantwortliche Stelle und damit Herrin der Daten den Großteil selbst leisten. Schließlich weiß das Unternehmen bzw. wissen die jeweiligen Abteilungen am besten, welche Daten vorhanden sind und wo sowie wie lange diese faktisch gespeichert werden.

Konkret empfiehlt sich in einem ersten Schritt folgendes Vorgehen:

  1. Identifizierung der Datenarten (z.B. Personaldaten, Buchhaltungsdaten, Rechnungsdaten)
  2. Aussortieren definitiv nicht mehr benötigter Daten (z.B. ausgeschiedener Mitarbeiter)
  3. Prüfung bestehender Aufbewahrungsfristen

Sobald das Unternehmen den bestehenden Datenbestand genauer identifiziert hat, ist neben dem Datenschutzbeauftragten der Steuerberater und der Wirtschaftsprüfer des Unternehmens hinzuzuziehen. Darüber hinaus ist in Bezug auf die Umsetzung die Zusammenarbeit mit der IT-Abteilung gefragt. Es sollte auch die die Protokollierung der gelöschten Daten beispielsweise mittels timestamp nicht vergessen werden.

Löschroutinen – ein erfolgloses Unterfangen?

Es wird deutlich, dass die Etablierung von Löschroutinen in einem Unternehmen – gerade, wenn Löschverpflichtungen längere Zeit vernachlässigt wurden – erst einmal mit einem gewissen (insbesondere zeitlichen) Aufwand verbunden ist. Sobald man allerdings erst einmal die Datenarten identifiziert hat und Löschroutinen (ggf. technisch) etabliert sind, ist der tägliche Umgang recht einfach.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • @ Dr. Datenschutz

    Müssen Rechnungen tatsächlich nur 2 Jahre aufbewahrt werden? Ich ging bislang davon aus, dass alle finanzbezogenen Daten und Unterlagen (überall wo Geld fließt) 10 Jahre aufzubewahren sind.

    Beispiel: Kontoauszüge oder Rechnungen von Bestellungen im Versandhandel. Hier speichern die Banken und Händler soweit ich weiß 10 Jahre.

    • Eine pauschale Antwort kann ich Ihnen leider nicht so einfach geben. Bei den Angaben im Beitrag handelt es sich lediglich um Beispiele.

      Bei Rechnungen gibt es beispielsweise Unterschiede in der Aufbewahrungsfrist: In den Fällen des § 14 Abs. 2 Satz 1 Nr. 1 hat der Leistungsempfänger die Rechnung, einen Zahlungsbeleg oder eine andere beweiskräftige Unterlage zwei Jahre gemäß den Sätzen 2 und 3 aufzubewahren, soweit er (1.) nicht Unternehmer ist oder (2.) Unternehmer ist, aber die Leistung für seinen nichtunternehmerischen Bereich verwendet. Sofern es sich um einen Unternehmer handelt ist die Frist 10 Jahre. Genauere Details hinsichtlich der Buchhaltung/Steuerfragen kann Ihnen Ihr Steuerberater sicherlich geben.

  • Muss man bei Sicherungsdatenträger was beachten? Auf einem Datenträger befinden sich unterschiedliche Daten mit unterschiedlichen Aufbewahrungsfristen.
    Wenn ich heute eine Datei lösche, könnte Sie ja immer noch von einer älteren Datensicherung wiederhergestellt werden. Also ist sie faktisch nicht vollständig entfernt!

    • Grundsätzlich kommt es auf die Art der Sicherung an die bei Ihnen stattfindet. Bei einer inkrementellen und differenziellen Datensicherung müssen alle Teilsicherungen gelöscht werden. Bei einer Vollsicherung wird es wahrscheinlich keine weiteren Teilsicherungen geben, so dass es ausreichen sollte wenn nur die Vollsicherung gelöscht wird. Fazit: alle Teile müssen gelöscht werden. Die Daten sollten dann so gelöscht werden, dass eine Wiederherstellung nicht mehr möglich ist.

  • Wie handhaben Sie Löschen beim Vorliegen von Backups. Es gibt wohl keine gesetzliche Ausnahmeregelung für Backups. Aus einem Backup einzelne Daten zu löschen, ist jedoch mit einem wirtschaftlich kaum darstellbaren Aufwand verbunden. Dieses Problem sollten doch alle haben, die personenbezogene Daten verarbeiten. Doch wie ist die gesetzeskonforme aber auch IT-Sicherheitskonforme Lösung?

    • Grundsätzlich werden Backups nicht über längere Zeit aufbewahrt. Sie dienen der kurzfristigen Wiederherstellungsmöglichkeit des Systems und werden meistens auch in kurzen Abständen erstellt. Daher kann jeweils das gesamte Backup gelöscht werden, nachdem ein neues erstellt wurde. Die Problematik der Löschung von einzelnen Datensätzen besteht dann nicht.

  • Guten Tag, ist diese Argumentation belastbar?

    Vertriebsdaten, also Kontaktdaten und Aufzeichnungen zu Gesprächen / Präsentationen, etc. werden zu eigenen Zwecken erhoben und verarbeitet. Der Zweck der Speicherung ist die Möglichkeit, Interessenten für den erstmaligen oder wiederholten Verkauf von Produkten und Dienstleistungen gezielt wieder kontaktieren zu können. Je nach Intensität der Vertriebsaktivitäten können Kontaktversuche auch längere Zeit auseinanderliegen. Insofern entfällt der Zweck der Speicherung von seiten des Unternehmens nicht, bzw. nur, wenn die Kontaktmöglichkeiten (Adresse, E-Mail, Telefonnummern) nicht mehr korrekt sind und auch nicht mehr zu ermitteln sind.

    Von daher müsste doch eine Löschroutine ausreichen, die die Vertriebsmitarbeiter / die Nutzer der Vertriebsdaten im Rahmen von Mailings anweist, beim Feststellen fehlerhafter Telefonnummern, E-Mail-Adressen oder bei Rückläufern der Post zu versuchen, die Kontaktdaten neu zu ermitteln und dann zu löschen, wenn dies nicht gelingt.

    • Problematisch ist in dem von Ihnen geschilderten Fall – wie regelmäßig auch – wohl bereits die Datenerhebung, die sich häufig als unzulässig darstellt. In diesem Fall sind die erhobenen Daten umgehend zu löschen. Auf Löschroutinen kommt es also dann nicht mehr an.

  • zur Frage von Jörn am 16.Mai 17 und zur Antwort von Datenschutz am 29.Mai 17.

    Ntürlich müssen backups auch auf längere Zeit vorgehalten werden – bis zu 10 JAhren. Wir halten immer die Jahresabschluß-backups fest, im laufenden Jahr die ultimo-backups und aktuell 7 Tage die Tagesbackups. Die backups sind doppelt komprimiert (tar.gz und umfassen alle Datenbanken aller Kunden mit all ihren Mitgliedern). Zu einer Reproduktion müßten die Datenbanken zweimal dekomprimiert werden und außerdem u.U. mit der entsprechenden Programmversion in eine verarbeitbare Strktur eingespielt werden – ehe überhaupt a) eine Löschung oder Anonymisierung statfinden kann und oder b) ein sinnvoller Datenklau stattfinden kann. Der Aufwand eine Person mit alle ihren Daten zu anonymisieren (löschen geht nicht, weil sonst das buchhalterische Gesamtgerüst eines Unternehmens gestört wird), alle gespeicherten Dokumente physisch zu löchen und die gesamte Änderungshistorie zu löschen/zu anonymisieren. Der Löschvorgang für eine Person würde ungefähr 1 Manntag a´ 1000,00 € kosten. Kann man das in Rechnung stellen ? Muss man das vorher bekannt machen ? Und wie ist das bei Auskunftsbegehren einer Person – müssen da auch alle Daten der backups mit ausgegeben werden, auch wenn es nur die backup-Kopien der aktuellen Daten sind ?

  • Leider finde ich keinen Link zu einer speziellen Frage, aber nachdem es um Löschen und Sperren von Daten geht, mein Anliegen: In unserer Firma bin ich für das Eingeben von Daten und Aufträgen zuständig. Wir haben ca. 10.000 Kunden-Adress-Sätze. Das Problem ist, dass manche Kunden erst nach 12,15 Jahren wieder was bestellen. Da wäre es doch idiotisch, nach 10 Jahren alle Datensätze zu löschen, da dann in vielen Fällen ( es geht um Ersatzteile vom Maschinen ) nicht mehr festzustellen ist, was denn überhaupt gekauft wurde. Hinzu kommt, dass unsere Daten nur intern, also ohne Zugriffsmöglichkeiten seitens des Internets, gespeichert sind. Wie sieht da die Praxis aus ? Danke im voraus.

    • Nach der DSGVO sind personenbezogene Daten u.a. zu löschen, wenn der ursprüngliche Zweck der Speicherung weggefallen ist (Art. 17 DSGVO). Dies bedeutet, Sie müssen sich für jede Datenart überlegen, zu welchem Zweck sie die Daten speichern, wann dieser Zweck wegfällt, und wie lange die gesetzlichen Aufbewahrungsfristen sind. Bei den Kundendaten wäre zunächst zwischen den Kategorien Kontaktdaten (Name, E-Mail Adresse), Kaufhistorie und z.B. Rechnungen zu unterscheiden. Für Rechnungen gelten gesetzliche Aufbewahrungsfristen, d.h. diesen müssen Sie auch über die Bestellung hinaus aufbewahren. Bei den Kontaktdaten dürfte der Zweck der Speicherung allerdings nach Abwicklung des Kaufvertrages weggefallen sein. Es trifft sicherlich nicht auf jeden Kunden zu, dass nach 12 Jahren eine neue Bestellung vorgenommen wird. Wenn Sie die Daten länger speichern wollen, könnten Sie ähnlich wie bei Bewerberdaten eine Einwilligung einholen.

  • Guten Tag, gibt es für historische Dienstpläne eine festgelegte Höchstdauer zur Speicherung bzw. eine vorgeschriebene Löschfrist nach X Monaten/Jahren? Herzlichen Dank für die Information.

    • Leider ist es nicht möglich diese Frage im gegebenen Rahmen vollumfänglich zu beantworten. Zu viele Faktoren können bezüglich einer Aufbewahrungsfrist eine Rolle spielen. Beim Thema Dienstpläne könnte zum Beispiel das Mindestlohngesetz in Verbindung mit SGB IV und Schwarzarbeitsbekämpfungsgesetz eine Rolle spielen.
      Aber natürlich auch steuerrechtliche Aufbewahrungspflichten. Und wenn der Steuerberater Ihres Unternehmens mit dem Finanzamt individuelle Fristverlängerungen verhandelt hat, gibt es weitere Abweichungen. Wir bitten um Ihr Verständnis, dass eine individuelle Beratung zum Thema Aufbewahrungsfristen hier leider nicht möglich ist. Vielen Dank.

  • Guten Tag,
    läuft die Monatsfrist, um personenbezogene Daten aufgrund eines Löschantrags zu löschen, erst nach der Identitätsfeststellung des Antragstellers und ab wann läuft sie, wenn die Identität nicht zweifelsfrei festgestellt werden kann?
    Vielen Dank für die Info.

    • Selbst wenn im Grundsatz von einer einmonatigen Erledigungsfrist für Betroffenenanfragen ausgegangen werden sollte, bezieht sich die Frist aus Art. 12 Abs. 3 DSGVO zunächst nur auf eine Statusmeldung (Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Art. 12 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung). Wenn der Antrag einer betroffenen Person aufgrund fehlender Informationen nicht innerhalb eines Monats abschließend bearbeitet werden kann, wirkt eine entsprechende Mitteilung mit der Bitte um Präzisierung zunächst grundsätzlich fristwahrend. Diese Mitteilung muss spätestens innerhalb eines Monats nach Eingang der Betroffenenanfrage ergehen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.