Unternehmen sind verpflichtet, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen. Die Löschfristen werden jedoch nicht von allen Unternehmen eingehalten. Dies birgt erhebliche rechtliche Risiken.
Der Inhalt im Überblick
Datensammlung für alle Fälle
Aus einer jüngst von Iron Mountain veröffentlichten Studie geht hervor, dass viele Unternehmen in Europa grundsätzlich alle Daten behalten. Diese würden der Schöpfung eines möglichen Mehrwerts dienen oder als Absicherung. Oftmals fehle es den Unternehmen gegenüber den Mitarbeitern an klaren Verfahren und Leitlinien, welche Daten und Dokumente schutzwürdig sind bzw. was im Einzelnen gelöscht und was aufbewahrt werden muss. In der Folge bestehe für die Unternehmen ein hohes Risiko, dass der Mitarbeiter eine unzutreffende Entscheidung fällt.
Dies deckt sich auch mit unseren Erfahrungen, wonach die Löschung von personenbezogenen Daten eine nur ungern eingehaltene Pflicht ist,
„man wisse ja schließlich nie, wozu man diese noch brauche“.
Eine der Ursachen für die Missachtung der rechtlichen Vorgaben dürfte aber sicher auch in der Struktur des Bundesdatenschutzgesetzes (BDSG) liegen, da in diesem Löschfristen gerade nicht zeitlich konkret festgelegt werden und in der Folge es auch nicht immer einfach ist festzustellen, wann der Zeitpunkt eingetreten ist, ab dem die Kenntnis der einmal erhobenen Daten für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.
Entwicklung eines Löschkonzepts
Ungeachtet dessen kommen Unternehmen nicht darum herum, Löschkonzepte und Löschroutinen zu erarbeiten und zu implementieren. Dazu ist es unter anderem erforderlich, vorhandene Datenarten zu identifizieren. Hier finden Sie Hinweise für die Entwicklung eines Löschkonzepts und Empfehlungen im Umgang mit den Daten abgelehnter Bewerber:
Je später ein solcher Prozess erfolgt, umso größer ist die Gefahr, einem Bußgeldverfahren ausgesetzt zu sein. Vor allem aber wird der Prozess zunehmend aufwändiger und schwieriger zu organisieren.
Rechtliche Löschvorschriften
Löschvorschriften ergeben sich primär aus § 35 BDSG a.F., können aber auch aus anderen Gesetzen (z.B. § 15 Abs. 7 TMG) folgen. Mitunter ist auch eine juristische Analyse der Prozessschritte erforderlich, denn neben gesetzlichen können ggf. auch vertragliche Löschpflichten vorhanden sein („Wann wurde die jeweilige Leistungserfüllung erbracht?; Sind mögliche Ansprüche verjährt?“).
Die Erstellung eines Löschkonzepts ist aber nicht Selbstzweck, sondern stellt sicher, dass ein Unternehmen seinen rechtlichen Verpflichtungen nachkommt („Compliance„), es sozusagen nicht zu einer unzulässigen Vorratsdatenspeicherung kommt. Das Prinzip der Datensparsamkeit, welches ein Gebot für den gesamten Datenverarbeitungsprozess darstellt, unterstreicht die Löschanforderungen im BDSG. Gerne wird vergessen, dass das BDSG ein Verbotsgesetz mit Erlaubnisvorbehalt ist.
Geschäftsführung ist verantwortlich
Adressat der gesetzlichen Löschpflichten ist die verantwortliche Stelle. Die Geschäftsführung muss entsprechende Maßnahmen und Anweisungen erteilen. Unterlässt sie dieses, trägt sie die volle Organisationsverantwortung. Da die Erstellung eines Löschkonzepts eine Zusammenarbeit und Abstimmung mehrerer Abteilung erfordert sind Unternehmen gut beraten, ihren Datenschutzbeauftragten frühzeitig einzubeziehen und sich von diesem unterstützen zu lassen.
Änderungen mit der Datenschutz-Grundverordnung
Im Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) wirksam und damit ein einheitliches Datenschutzrecht für die gesamte Europäische Union. Dies sieht zum einem deutlich striktere Löschpflichten (u.a. in Art. 17 DSGVO „Recht auf Vergessenwerden“) vor und zum anderen drohen Unternehmen Bußgelder von bis zu 4 Prozent des globalen Umsatzes bis zu 20 Millionen Euro vor, je nachdem, was höher ist. Unternehmen müssen dann in Streitfällen beweisen, dass sie die Anforderungen der DSGVO umgesetzt haben.
Es ist immer wieder von den Löschpflichten in der DSGVO die Rede, Stichwort „Recht auf Vergessenwerden“. Leider finde ich keine Information dazu, wenn nach DSGVO nicht mehr benötigte personenbezogene Daten standardmäßig gelöscht werden müssen. Also gibt es eine Entsprechung für § 35 (2) 4 BDSG?
Regelungen zur Löschung bzw. Sperrung finden sich in der DSGVO in mehreren Normen, wie Art. 5 Abs. 1 e), 12, 17, 18, 19 (sowie ErwG 65). Eine exakte Entsprechung gibt es dabei nicht. Am ehesten dürfte tatsächlich Art. 17 mit ihren zahlreichen Verpflichtung dem von Ihnen gesuchten entsprechen.
Hier wird immer von § 35 BDSG gesprochen, allerdings ist die dort zitierte Fassung mittlerweile überholt durch das neue BDSG, oder? Wie ist denn die Rechtslage nach Inkrafttreten der DSGVO und des neuen BDSG?
Die grundsätzlichen Verpflichtungen, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen, haben sich nicht verändert, da die DSGVO eine Vielzahl von Regelungen und Verpflichtungen des BDSG (alt) übernommen hat (vgl. § 35 BDSG (alt) und Art. 17 DSGVO). Weiterführende Informationen finden Sie in diesen Beiträgen https://www.dr-datenschutz.de/din-norm-66398-die-entwicklung-eines-loeschkonzepts/ und https://www.dr-datenschutz.de/praxistipp-loeschkonzept-im-unternehmen-implementieren/
Die DSGVO steht immer dem BDSG vor, folglich kann das BDSG die DSGVO nicht überholen. Grundsätzlich müssen personenbezogene Daten nach Zweckerfüllung gelöscht werden, sofern dem keine gesetzliche Aufbewahrungspflicht gegenüber steht (wie bei Rechnungen zum Beispiel)
Ich habe zwei Jahre bei prima strom,meinen Strom bezohgen.Bin jetz wieder bei den Stadtwerken Geesthacht, Meine Kontodaten sind doch absovort nicht mehr zugänglich.Trotz alledem werden Meine Daten weiter benutzt.Es wird weiter von meinem Konto Geld abgebucht obwohl keine Einzugsermächtiegung vorliegt-Es handelt sich um eine smartcart die Ich nie bestelt habe da Ich weder Handy noch Smartphon besitse.