Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

17. Oktober 2019

So haben Sie die Datenlöschung sicher im Griff

So haben Sie die Datenlöschung sicher im Griff
Bild: wildpixel / iStock / Thinkstock
2,00 (1)
Aufbewahrungs- und Löschfristen
Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?

Datenlöschung wird wichtiger

Im  Zuge der Datenschutz-Grundverordnung (DSGVO) sollten sich Unternehmen sehr genau mit dem Recht auf Vergessenwerden befassen. Denn im Vergleich zur Archivierung steht die Datenlöschung zu wenig im Fokus.

In den meisten Umfragen zur Archivierung geht es darum, ob die gesetzlichen Aufbewahrungspflichten bekannt und umgesetzt sind. Ob die Betriebe die gesetzlich geforderte Datenlöschung einhalten, ist kein Thema.

Auch die Anwendungen im Bereich Dokumenten-Management-System (DMS) und Archivierung widmen sich vornehmlich der Frage, wie sie die Aufbewahrungspflichten erfüllen. Manche Archivdienste empfehlen sogar, am besten alle E-Mails aufzubewahren, damit keine steuerlich relevante elektronische Nachricht fehlt, wenn es zur Betriebsprüfung kommt.

Was aber, wenn die Datenschutz-Aufsichtsbehörde zur Kontrolle kommt? Wie steht es dann um die fristgerechte Datenlöschung? Die Antwort ist ernüchternd.

Datenlöschung: Allgemeine Formulierung ersetzt keine Frist

Auf der Suche nach der Definition von Löschfristen finden Aufsichtsbehörden immer wieder unscharfe Formulierungen.

Statt eine genaue Löschfrist anzugeben, beschränken sich viele Betriebe auf die Aussage, die Daten zu löschen, sobald sie nicht mehr erforderlich sind. Konkrete Fristen suchen die Aufsichtsbehörden vergeblich.

Ein solches Vorgehen ähnelt einem Projektplan, der keine Termine nennt, sondern nur darauf hinweist, dass der Meilenstein erreicht ist, wenn alle Tätigkeiten, die zum Meilenstein gehören, abgearbeitet sind.

Ein sinnvolles Projektcontrolling ist dann ebenso wenig möglich wie eine Prüfung, ob ein Unternehmen die Löschfristen entsprechend der Datenschutzvorgaben einhält.

Für die Aufsichtsbehörden könnte nun der Verdacht nahe liegen, dass der Verantwortliche sich nicht ausreichend mit der Löschung personenbezogener Daten befasst hat.

Verzeichnis von Verarbeitungstätigkeiten für mehr Klarheit

Hier hilft das Verzeichnis von Verarbeitungstätigkeiten. In einer Verarbeitungsübersicht dokumentiert der Verantwortliche oder Auftragsverarbeiter, welche personenbezogenen Daten er mit welchen automatisierten Verfahren in welcher Art und Weise verarbeitet. Und wie er die Daten schützt.

Dazu gehören konkrete Angaben zu den Regelfristen für Aufbewahrung und Löschung.

Nicht nur die Datenschutz-Aufsichtsbehörden möchten bei einer Kontrolle auf diese Informationen zugreifen. Auch die Eigenkontrolle im Betrieb braucht eine solche Übersicht mit definierten Zeiträumen und Terminen.

Als Datenschutzbeauftragter haben Sie einen Anspruch auf diese Übersicht, um Ihren Aufgaben sinnvoll nachzugehen.

Datenlöschung praktisch umsetzen

Geht es um die praktische Löschung von Daten, sind Listen auf Verarbeitungsebene jedoch nicht ausreichend.

  • Zum einen machen es die zum Teil langen Fristen notwendig, für bestimmte Erinnerungsfunktionen zu sorgen.
  • Zum anderen müssen die Fristen einzelnen Dateien und Datensätzen zugeordnet werden.

Wünschenswert sind deshalb Lösungen,

  • die den Datenschutzbeauftragten rechtzeitig an den Ablauf einer Frist und an die Kontrolle erinnern
  • und die die Daten, die von der Löschung betroffen sind, konkret vorschlagen.

Datenlöschung als Teil des Datenmanagements

Gute Lösungen für das Dokumenten- und Datenmanagement sehen also nicht nur Archivfunktionen vor. Sie bieten gleichzeitig Termin-Erinnerungen und Löschfunktionen bis auf Datei- und Datenebene an.

Gelangt ein neues Dokument in das digitale Archiv, sollte die Lösung es nicht nur erlauben, die Metadaten zu erfassen, um Dokumente besser zu finden. Sie muss auch gleich zu Beginn die Definition einer konkreten Regellöschfrist einfordern.

Das ermöglicht es dem Archivsystem, an die Datenlöschungen zu erinnern und Löschvorschläge zu unterbreiten.

Der Verantwortliche kann dann die Löschvorschläge und somit die Erforderlichkeit der weiteren Datenspeicherung gezielt überprüfen.

Die günstige Variante: Manuelle Listen

Leider sind solche Löschfunktionen in Dokumentenmanagement- und Archivsystemen nicht immer vorhanden. Und nicht immer besteht die Möglichkeit, ein solch komfortables System anzuschaffen und einzuführen.

Deshalb kann es notwendig sein, die zu löschenden Dokumente und Daten manuell zu suchen und sich selbst eine Terminübersicht anzulegen.

Dabei ist es hilfreich, individuell definierbare Felder zu verwenden, um die Löschfristen zu dokumentieren. Die in der Regel umfangreichen Recherchemöglichkeiten in digitalen Archiven fördern dann die speziell hinterlegten Fristen zutage.

Empfehlen Sie, dass diese Recherchen regelmäßig stattfinden und am besten in elektronischen Terminkalendern auf Wiedervorlage landen.


Checkliste: Fristgerechte Datenlöschung

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.