20. August 2013 - Praxis Datenschutzkonzept

Schritt für Schritt zum Lösch- und Sperrkonzept

In der Juli-Ausgabe erfuhren Sie, warum jede verantwortliche Stelle ein Lösch- und Sperrkonzept haben muss, welche Regelungen des BDSG hier eine besondere Rolle spielen und welche wirtschaftlichen Vorteile Ihnen ein solches Konzept bringt. Im Folgenden lernen Sie eine Herangehensweise kennen, die sich sowohl für größere als auch für kleinere verantwortliche Stellen eignet, um ein datenschutzkonformes Lösch- und Sperrkonzept zu erstellen.

schritt-fur-schritt-zum-richtigen-losch-und-sperrkonzept.jpeg
Im ersten Schritt ist es wichtig, die im Betrieb vorhandenen Datenarten sorgfältig zu bestimmen (Bild: Thinkstock)

Ein Best-Practice-Ansatz für ein Datenschutzkonzept ist die im Rahmen eines Projekts beim Deutschen Institut für Normung e.V. (DIN) entstandene Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten.

Verfasst wurde sie im Rahmen von Workshops beim DIN, dem Deutschen Institut für Normung e.V., von Dr. Volker Hammer und Karin Schuler, aufbauend auf Erfahrungen bei der Toll Collect GmbH, unter Mitwirkung weiterer Datenschützer.

Der folgende Beitrag zeichnet die Schritte dieser Leitlinie nach, angereichert um einige zusätzliche Aspekte, die die Leitlinie nicht umfasst.

Am Anfang steht ein Projekt

Ein konsistentes und praktikables Lösch- und Sperrkonzept für die gesamte Organisation lässt sich nicht in wenigen Tagen erstellen. Und Sie als Datenschutzbeauftragter wären schlicht überfordert, wollten Sie es allein tun. Die Leitung Ihrer Organisation muss Ihnen Mitwirkende zuweisen, die ins Projekt einzubeziehen sind. Infrage kommen

  • die Leitungen der Fachabteilungen,
  • die Owner von Geschäftsprozessen und IT-Anwendungen,
  • die IT-Leitung sowie
  • ähnliche Verantwortliche und Fachleute, die über entsprechendes Prozesswissen verfügen bzw. Vorgaben hinsichtlich der Gestaltung der Prozesse machen können.

Damit Sie die erforderliche Unterstützung erhalten und sich Ihr Konzept in der betrieblichen oder behördlichen Praxis auch bewährt, erläutern Sie den Mitwirkenden, dass das Löschen und Sperren gesetzlich vorgeschrieben ist und dass es Ihnen darum geht, ein zielführendes, aber dabei möglichst einfaches Konzept zu erstellen.

Erstellen Sie ein zweiteiliges Konzept

Im ersten Schritt werden die Fristen für Löschung und Sperrung festgelegt. Im zweiten Schritt erstellen Sie sodann ein Konzept für die Umsetzung der Löschung und Sperrung.

Aus dem Umsetzungskonzept und ebenso aus den Erfahrungen mit dem anschließenden Betrieb in der Praxis können sich erforderliche Anpassungen des ersten Teilkonzepts ergeben. Insgesamt sind die im Folgenden dargestellten Schritte somit als ein iterativer, also stufenweiser Prozess zu verstehen. Spätere Schritte können dabei Änderungen in früheren Schritten erforderlich machen.

Der Unterschied zwischen Aufbewahrungs- und Löschpflicht
Was für Sie als Datenschutzbeauftragten trivial ist, sollte den Projektbeteiligten erläutert werden:

Es gibt rechtliche Regelungen, die die verantwortliche Stelle zwingen, bestimmte Daten für eine vorgeschriebene Dauer verfügbar zu halten (z.B. die steuerrechtlichen Aufbewahrungspflichten, aus denen sich für bestimmte Dokumente eine Vorhaltefrist von zehn Jahren ergibt).

Andere Regeln verlangen von uns, Daten nach einer bestimmten Frist oder zu einem bestimmten Zeitpunkt zu löschen (z.B. die allgemeinen Löschvorschriften des § 20 Abs. 2 BDSG für öffentliche Stellen und § 35 Abs. 2 BDSG für nicht-öffentliche Stellen).

Ist eine Aufbewahrungsfrist abgelaufen, bedeutet dies, dass die weitere Aufbewahrung nicht in unserem Belieben steht, sondern dass die Daten – sofern sie für keinen anderen zulässigen Zweck benötigt werden – zu löschen sind.

Das Sperren, Pseudonymisieren, Anonymisieren und die nicht personenbezogenen Daten gleich mitplanen

Die DIN-Leitlinie befasst sich nur mit dem Löschen von personenbezogenen Daten. Sie verweist aber darauf, dass sich die Vorgehensweise grundsätzlich auch auf nicht personenbezogene Daten anwenden lässt. Dies ist zu empfehlen. Denn nicht personenbezogene Daten sollten ebenfalls nicht „auf ewig“ gespeichert bleiben.

Es kann sich dabei um Geschäfts- und Betriebsgeheimnisse oder um geistiges Eigentum von Dritten, z.B. von Ihren Vertragspartnern, handeln. Bedenken Sie neben eventuellen Geheimhaltungsvereinbarungen die allgemeine Regelung des § 241 Abs. 2 BGB, wonach Sie Rücksicht auf die Rechte, Rechtsgüter und Interessen Ihrer Vertragspartner nehmen müssen.

Das Datenschutzrecht verlangt in bestimmten Fällen eine Sperrung von personenbezogenen Daten (§ 20 Abs. 3 und § 35 Abs. 3 BDSG). Daher sollte auch das Sperren von Anfang an mit eingeplant werden.

Die Erstellung des Lösch- und Sperrkonzepts dient auch der Umsetzung des häufig vernachlässigten Grundsatzes der Datenvermeidung und Datensparsamkeit und ist ein sinnvoller Anlass, spätestens jetzt die Pseudonymisierung und Anonymisierung von Daten in Ihrer Organisation zu regeln.

Denn personenbezogene Daten sind nach § 3a BDSG zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und es keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

Anonymisieren statt löschen?

Wollen Sie anstelle einer Löschung anonymisieren, dann beachten Sie, dass nur eine absolute Anonymisierung eine Löschung ersetzen kann. Absolut heißt, dass sich unter keinen Umständen der Personenbezug wiederherstellen lässt.

In medias res mit Schritt 1: Datenarten bestimmen

Beginnen Sie wie folgt: Sie analysieren – möglichst gemeinsam mit Ihrem Projektteam – zuerst Ihre Geschäftsprozesse, um alle Datenarten in Ihrer Organisation zu identifizieren. Beispiele für Datenarten sind

  • Buchhaltungsdaten,
  • Kundenstammdaten oder
  • Protokolle.

Es bietet sich an, Ihre Datenbestände nach Geschäftsprozessen und Verwendungszwecken zu unterteilen und alle Daten, die diesen Zwecken zuzuordnen sind, als eine Datenart aufzufassen. Werden in einem Geschäftsprozess verschiedene Zwecke verfolgt, ergeben sich daraus dann unterschiedliche Datenarten.

Eine weitere Differenzierung kann sich nach den für Sie einschlägigen Rechtsvorschriften ergeben, die für jeweils unterschiedliche Gruppen von Daten gelten. Auch kann nach Betroffenenkategorien unterschieden werden. Wird mit bestimmten Daten nur innerhalb eines Teilprozesses umgegangen, so kann auch hier eine eigene Datenart festgelegt werden.

Datenarten müssen eventuell noch einmal unterteilt werden

Bestimmte Aufbewahrungspflichten, z.B. die steuer- und handelsrechtlichen Fristen, gelten eventuell nur für bestimmte Daten innerhalb einer von Ihnen ermittelten Datenart. Dann teilen Sie sie in zwei Datenarten (z.B. Kundenstammdaten in Kernstammdaten und erweiterte Stammdaten).

Sensible Daten, z.B. Gesundheitsdaten, sind zwingend als eigene Datenart zu betrachten.

Schritt 2: Datenobjekte den Datenarten zuordnen

Stellen Sie dann im zweiten Schritt fest, welche Datenobjekte zu den ermittelten Datenarten gehören. Die DIN-Leitlinie versteht unter Datenobjekten unter anderem Dateien, Dokumente und Datensätze, aber auch Attribute wie Name oder Geburtsdatum.

Sie können gegebenenfalls an unterschiedlichen Stellen gespeichert sein. Einzelne Datenobjekte können auch mehreren Datenarten zugehören. Alle Datenobjekte, die personenbezogene Daten sind oder enthalten, müssen mindestens einer Datenart zugeordnet werden.

Schritt 3: Die geltenden Löschfristen identifizieren

Ermitteln Sie als Nächstes die für Ihre Organisation geltenden Löschfristen. Sie können sich insbesondere aus Rechtsvorschriften, aus vertraglichen Festlegungen oder gegebenenfalls aus für Sie geltenden Standards und Normen ergeben. Es gibt Vorgaben,

  • die eine sofortige Löschung verlangen (z.B. § 13 Abs. 4 Satz 1 Nr. 2 TMG),
  • die einen Zeitpunkt bezeichnen, nach dem zu löschen ist (z.B. § 35 Abs. 2 Satz 2 Nr. 4 BDSG), oder
  • die einen Zeitraum angeben, während dessen die Daten vorgehalten werden müssen (z.B. § 34 Abs. 1a BDSG).

Die Frage der Erforderlichkeit

Wenn eine Vorhaltefrist endet, greift für personenbezogene Daten die allgemeine Löschpflicht (z.B. aus § 35 Abs. 2 Nr. 3 BDSG), wonach die Daten nach Wegfall der Erforderlichkeit zur Zweckerfüllung zu löschen sind.

Die „Erforderlichkeit“ hat es bekanntlich in sich! Um zu ermitteln, ab wann die weitere Speicherung von personenbezogenen Daten nicht mehr erforderlich ist, werden Sie oftmals nicht umhinkommen, Ihre Prozesse und Verfahren gemeinsam mit der Fachseite eingehend zu analysieren.

Schritt 4: Regellöschfristen bestimmen

Beachten Sie, dass ein Löschen möglichst kurz nach dem Wegfall der Erforderlichkeit vorzunehmen ist. Die technischen Prozesse der Löschung sind entsprechend zu gestalten. Je sensibler die Daten, je strenger die gesetzliche Regelung, je größer die Risiken für die Betroffenen oder je höher die drohende Sanktion, desto kürzer sollte der Zeitraum für die Realisierung der Löschung sein.

Aus der Vorhaltefrist plus der für die technische Umsetzung der Löschung vorgesehenen Zeit ergibt sich die Regellöschfrist eines Datums. Haben wir eine gesetzlich streng vorgeschriebene Höchstspeicherfrist, muss der Vorgang des Löschens bis zum Ablauf dieser Frist abgeschlossen sein. Hier stimmen dann Höchstspeicherfrist und Regellöschfrist überein.

Schritt 5: Komplexität reduzieren und Standardlöschfristen festlegen

Ergeben sich aus Ihrer Prozessanalyse und Identifikation der (Regel-)Löschfristen viele unterschiedliche Löschfristen, so sollten Sie zur Reduktion der Komplexität organisationsweit eine überschaubare Zahl von Standardlöschfristen festlegen. So bleibt das Konzept für alle Beteiligten möglichst einfach, nachvollziehbar und handhabbar.

Als Standardlöschfristen eignen sich diejenigen Regellöschfristen, die Ihnen das Gesetz sowieso vorgibt. Prüfen Sie dann, ob Sie die weiteren von Ihnen identifizierten Löschfristen der jeweils nächstfolgenden Standardlöschfrist zuordnen können. Spricht aus Datenschutzgesichtspunkten etwas Gewichtiges dagegen, kann alternativ eine Zuordnung zu der nächsten früheren Standardlöschfrist erwogen werden, wenn von Ihren Prozessen her eine Löschung schon vorher möglich ist.

Besser später löschen als nie
Wollte man für jede Datenart eine eigene Löschfrist festlegen und umsetzen, so bestünde die Gefahr, dass die Organisation an der Komplexität scheitert. Ziel eines praxistauglichen Löschkonzepts sollte daher sein, organisationsweit eine überschaubare Zahl von Standardlöschfristen festzulegen. Auch wenn dadurch einige Daten etwas länger vorgehalten werden, ist damit dem Schutz der Persönlichkeitsrechte der Betroffenen wesentlich besser gedient, als wenn sie gar nicht gelöscht werden.

Die Datenschutzaufsichtsbehörden legen Wert darauf, dass überhaupt Fristen festgelegt und umgesetzt werden. Die Verzögerung der Löschung muss sich dabei natürlich in einem datenschutzrechtlich vertretbaren Maß halten, in Abhängigkeit von der Sensibilität der Daten.

Typische Standard­löschfristen

Standardlöschfristen könnten sein:

  • „sofort“,
  • 42 Tage (wenn sich z.B. aus der Prozessanalyse ergeben hat, dass Protokolldateien vier Wochen aufbewahrt werden und im Ernstfall eine Auswertung zwei Wochen in Anspruch nimmt),
  • vier Jahre (die sich aus dem BGB ergebende dreijährige Verjährungsfrist, die mit Schluss des Kalenderjahrs beginnt),
  • sieben Jahre und
  • elf Jahre (steuer- und handelsrechtliche Aufbewahrungspflicht von sechs bzw. zehn Jahren, beginnend ab Ende des Kalenderjahrs).

Weitere Standardlöschfristen können Sie insbesondere aus Ihren Kernprozessen oder aus ausgewählten wichtigen Datenarten herleiten.

Ist der Abstand zwischen den Standardlöschfristen zu groß, können Sie sinnvolle und datenschutzrechtlich angemessene Zwischenschritte festlegen.

Schritt 6: Startzeitpunkte der Fristen bestimmen

Fristen beginnen zu unterschiedlichen Startzeitpunkten zu laufen. Häufige Startzeitpunkte sind:

  • ab Entstehung/Erhebung
  • ab Ende eines Vorgangs
  • ab Ende einer Kundenbeziehung

Bestimmen Sie für Ihre Organisation solche abstrakten Startzeitpunkte.

Schritt 7: Die Löschklassen-Matrix

Erstellen Sie dann eine Matrix, in der Sie die abstrakten Startzeitpunkte Ihren Standardlöschfristen gegenüberstellen. Daraus ergeben sich die für Ihre Organisation geltenden Löschklassen.

Schritt 8: Datenarten den Löschklassen zuordnen

Jede Datenart in Ihrer Organisation wird nun den mit der Matrix ermittelten Löschklassen zugeordnet, wobei –
wie oben beschrieben – Datenarten, deren Regellöschfrist nicht genau den Löschklassen entspricht, der nächsthöheren oder gegebenenfalls nächstniedrigeren Löschklasse zugeordnet werden.

Schritt 9: Von der abstrakten zur konkreten Löschregel

Aus der Zuordnung der Datenarten zu den Löschklassen ergeben sich abstrakte Löschregeln. Diese müssen nun konkretisiert werden, indem festgelegt wird, welches Ereignis den Startzeitpunkt bildet.

Die Löschklasse „Reklamations- und Forderungsdaten“ mit dem Startzeitpunkt „ab Ende Vorgang“ und der Standardlöschfrist „4 Jahre“ muss z.B. für Reparaturaufträge konkretisiert werden durch den konkreten Startzeitpunkt „Übergabe des reparierten Geräts an den Kunden“. Am Ende muss es für jede Datenart eine konkrete Löschregel geben.

Erweitern Sie das Löschkonzept um ein Sperrkonzept

Daten, die im Regelbetrieb nicht mehr verwendet werden, aber z.B. aus Beweisgründen während des Laufs von Verjährungsfristen weiter aufbewahrt werden sollen, sind zu sperren.

Diese Daten und die zugehörigen Datenobjekte können ab dem Ausscheiden aus dem Regelbetrieb als eine neue Datenart behandelt werden, mit der Sie ebenfalls gemäß den dargestellten zehn Schritten verfahren. Denn am Ende der Sperrung kommt auch für sie die Löschung. Für den Fall, dass die gesperrten Daten wieder benötigt werden, sollten Sie ebenfalls regeln, wann sie danach zu löschen sind.

Schritt 10 und letzter Akt: Die Dokumentation

Am Ende Ihres Projekts zur Erstellung eines Lösch- und Sperrkonzepts sollten die Standardlöschfristen, die Löschklassen und die Zuordnung der Datenarten mitsamt den Löschregeln sowie Ihre Festlegungen zum Sperren dokumentiert werden.

Um die konsistente Weiterentwicklung des Konzepts und dessen Anwendung auf neue Verarbeitungszwecke und Verfahren sicherzustellen, sollten Sie auch die Gründe für die Definition der Fristen und für die Zuordnung der Datenarten zu Löschklassen festhalten.

Vom Konzept zur konkreten Umsetzung

Nun bedarf es der Erstellung von Vorgaben für die konkrete Umsetzung der Löschung und Sperrung. Es empfiehlt sich, mit denjenigen Datenbeständen zu beginnen, in denen sich sehr sensible Daten befinden. Nehmen Sie sich dann die Datenarten mit kurzen Löschfristen vor und zuletzt die Bestände, in denen sich Datenarten befinden, deren Löschfrist schon abgelaufen ist.

Lösch- und Sperrregeln in einem IT-System zentral umsetzen

Reduzieren Sie den Implementierungsaufwand der Löschmaßnahmen, indem Sie die Lösch- und Sperrregeln für alle Arten von personenbezogenen Daten in einem IT-System gemeinsam umsetzen. Bedenken Sie dabei auch die Abhängigkeiten zwischen Primär- und Folgesystemen, damit Datenbestände in den Folgesystemen entweder auch gelöscht werden oder eben nicht, wenn sie noch für andere Zwecke benötigt werden. Suchen Sie zudem gezielt nach Restdatenbeständen, die von unvollständigen Löschmaßnahmen übrig geblieben sein könnten.

Schreiben Sie das Konzept fort

Schreiben Sie Ihr Lösch- und Sperrkonzept und das zugehörige Umsetzungskonzept im Rahmen der Regelprozesse in Ihrer Organisation kontinuierlich fort und nutzen Sie es im Praxisbetrieb als Prüfgrundlage für interne und externe Audits.

Ausnahmen und Sonderfälle

Nehmen Sie sich zu Beginn Ihres Projekts die Löschleitlinie des DIN vor. Sie behandelt neben den dargestellten Schritten unter anderem auch Hinweise zur Behandlung von Ausnahmen und Sonderfällen.

Manuel Cebulla
Manuel Cebulla, LL.M., ist datenschutzrechtlicher Berater und Gutachter in der Prüfstelle für Datenschutz der TÜV Informationstechnik GmbH (TÜViT).

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln