17. Oktober 2016 - Aufbewahrungs- und Löschfristen

So haben Sie die Datenlöschung sicher im Griff

Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?

Datenlöschung: Manchmal helfen nur manuelle Listen Denken Sie an die fristgerechte Datenlöschung! (Bild: wildpixel / iStock / Thinkstock)

Datenlöschung wird wichtiger

Im  Zuge der Datenschutz-Grundverordnung (DSGVO) sollten sich Unternehmen sehr genau mit dem Recht auf Vergessenwerden befassen. Denn im Vergleich zur Archivierung steht die Datenlöschung zu wenig im Fokus: In den meisten Umfragen zur Archivierung geht es darum, ob die gesetzlichen Aufbewahrungspflichten bekannt und umgesetzt sind. Ob die Betriebe die gesetzlich geforderte Datenlöschung einhalten, ist kein Thema.

Auch die Anwendungen im Bereich Dokumenten-Management-System (DMS) und Archivierung widmen sich vornehmlich der Frage, wie sie die Aufbewahrungspflichten erfüllen. Manche Archivdienste empfehlen sogar, am besten alle E-Mails aufzubewahren, damit keine steuerlich relevante elektronische Nachricht fehlt, wenn es zur Betriebsprüfung kommt.

Was aber, wenn die Datenschutz-Aufsichtsbehörde zur Kontrolle kommt? Wie steht es dann um die fristgerechte Datenlöschung? Die Antwort ist ernüchternd.

Datenlöschung: Allgemeine Formulierung ersetzt keine Frist

Auf der Suche nach der Definition von Löschfristen finden Aufsichtsbehörden immer wieder unscharfe Formulierungen.

Statt eine genaue Löschfrist anzugeben, beschränken sich viele Betriebe auf die Aussage, die Daten zu löschen, sobald sie nicht mehr erforderlich sind. Konkrete Fristen suchen die Aufsichtsbehörden vergeblich.

Ein solches Vorgehen ähnelt einem Projektplan, der keine Termine nennt, sondern nur darauf hinweist, dass der Meilenstein erreicht ist, wenn alle Tätigkeiten, die zum Meilenstein gehören, abgearbeitet sind.

Ein sinnvolles Projektcontrolling ist dann ebenso wenig möglich wie eine Prüfung, ob ein Unternehmen die Löschfristen entsprechend der Datenschutzvorgaben einhält. Für die Aufsichtsbehörden könnte nun der Verdacht nahe liegen, dass die verantwortliche Stelle sich nicht ausreichend mit der Löschung personenbezogener Daten befasst hat.

Verfahrensverzeichnis für mehr Klarheit

Hier hilft das Verfahrensverzeichnis. In einem Verfahrensverzeichnis dokumentiert die verantwortliche Stelle, welche personenbezogenen Daten mit welchen automatisierten Verfahren in welcher Art und Weise verarbeitet werden. Und wie sie die Daten schützt. Dazu gehören konkrete Angaben zu den Regelfristen für Aufbewahrung und Löschung.

Nicht nur die Datenschutz-Aufsichtsbehörden möchten bei einer Kontrolle auf diese Informationen zugreifen. Auch die Eigenkontrolle im Betrieb braucht eine solche Übersicht mit definierten Zeiträumen und Terminen. Als Datenschutzbeauftragter haben Sie einen Anspruch auf diese Übersicht, um Ihren Aufgaben sinnvoll nachzugehen.

Datenlöschung praktisch umsetzen

Geht es um die praktische Löschung von Daten, sind Listen auf Verfahrensebene jedoch nicht ausreichend.

  • Zum einen machen es die zum Teil langen Fristen notwendig, für bestimmte Erinnerungsfunktionen zu sorgen.
  • Zum anderen müssen die Fristen einzelnen Dateien und Datensätzen zugeordnet werden.

Wünschenswert sind deshalb Lösungen,

  • die den Datenschutzbeauftragten rechtzeitig an den Ablauf einer Frist und an die Kontrolle erinnern
  • und die die Daten, die von der Löschung betroffen sind, konkret vorschlagen.

Datenlöschung als Teil des Datenmanagements

Gute Lösungen für das Dokumenten- und Datenmanagement sehen also nicht nur Archivfunktionen vor. Sie bieten gleichzeitig Termin-Erinnerungen und Löschfunktionen bis auf Datei- und Datenebene an.

Gelangt ein neues Dokument in das digitale Archiv, sollte die Lösung es nicht nur erlauben, die Metadaten zu erfassen, um Dokumente besser zu finden. Sie muss auch gleich zu Beginn die Definition einer konkreten Regellöschfrist einfordern. Das ermöglicht es dem Archivsystem, an die Datenlöschungen zu erinnern und Löschvorschläge zu unterbreiten. Die verantwortliche Stelle kann dann die Löschvorschläge und somit die Erforderlichkeit der weiteren Datenspeicherung gezielt überprüfen.

Die günstige Variante: Manuelle Listen

Leider sind solche Löschfunktionen in Dokumentenmanagement- und Archivsystemen eher eine Seltenheit. Und nicht immer besteht die Möglichkeit, ein solch komfortables System anzuschaffen und einzuführen. Deshalb kann es notwendig sein, die zu löschenden Dokumente und Daten manuell zu suchen und sich selbst eine Terminübersicht anzulegen.

Dabei ist es hilfreich, individuell definierbare Felder zu verwenden, um die Löschfristen zu dokumentieren. Die in der Regel umfangreichen Recherchemöglichkeiten in digitalen Archiven fördern dann die speziell hinterlegten Fristen zutage.

Wirken Sie darauf hin, dass diese Recherchen regelmäßig stattfinden und am besten in elektronischen Terminkalendern auf Wiedervorlage landen.


Checkliste: Fristgerechte Datenlöschung


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Anzeige

Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln