Datenschutzrechtliche Pflicht zum Löschkonzept

//Datenschutzrechtliche Pflicht zum Löschkonzept

Datenschutzrechtliche Pflicht zum Löschkonzept

Datenschutzrechtliche Pflicht zum Löschkonzept

Warum benötigte eine datenverarbeitende Stelle ein Löschkonzept? Die EU-Datenschutzgrundverordnung (DSGVO) verpflichtet die Verantwortlichen (Art. 4 Nr. 7 DSGVO, Unternehmen, Praxisinhaber) personenbezogene Daten (Art. 4 Nr. 1 DSGVO, z.B. Beschäftigtendaten, Patientendaten) nur so langen zu verarbeiten, wie dies zur Erfüllung der festgelegten Zwecke der Datenverarbeitung erforderlich ist. Dies ergibt sich aus dem Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1e) DSGVO. Der Verantwortliche muss die Einhaltung der Speicherbegrenzung nachweisen können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Der Verantwortliche muss weiter nach Art. 24 DSGVO  geeignete technische und organisatorische Maßnahmen ergreifen und umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Datenverarbeitung – dazu gehört nach Art. 4 Nr. 2 DSGVO auch die Löschung – gemäß der DSGVO erfolgt. Nach Art. 25 Abs. 1 DSGVO sind dabei die Datenschutzgrundsätze – also inklusive der Speicherbegrenzung) – in die betriebliche Praxis umzusetzen und nach Art. 25 Abs. 2 Satz 2 DSGVO betrifft die Verpflichtung insbesondere auch die Speicherfristen von personenbezogenen Daten.

Bußgeldrisiko bei fehlendem Löschkonzept

Die Verletzung der Datenschutzgrundsätze des Art. 5 DSGVO, wozu die Speicherbegrenzung und die Rechenschaftspflicht gehören, ist mit einem theoretischen Bußgeldrisiko von bis zu 20 Millionen Euro oder 4% des Jahresgesamtumsatzes bedroht, Art. 83 Abs. 5a) DSGVO.

Dokumentation eines Löschkonzeptes

Daher ist die Dokumentation eines Löschkonzeptes erforderlich (siehe Muster für Arztpraxen). Bei einem Löschkonzept ist es wichtig zunächst zu analysieren, welche Daten man überhaupt gespeichert hat, wer für diesen Daten innerhalb der eigenen Organisation (Arztpraxis, Unternehmen) verantwortlich ist und wielange diese Daten aufbewahrt werden müssen oder sollen. Hierzu muss man sich für einzelnen Datenarten die in vielen Fällen bestehenden gesetzlichen Aufbewahrungspflichten (z.B. steuerrechtlich, berufsrechtlich) bewusstmachen und regeln, wer wann die Daten in welcher Form datenschutzkonform löscht bzw. vernichtet. Neben den gesetzlichen Aufbewahrungspflichten gilt es auch eigene Aufbewahrungsinteressen, z.B. zur Beweissicherung und zur Abwehr unberechtigter Ansprüche mit Blick auf die Verjährungsfristen zu beachten. Dabei ist das Recht der Betroffenen auf Löschung bzw. auf Vergessenwerden nach Art. 17 DSGVO zu berücksichtigen, welches seine Grenze an den gesetzlichen Aufbewahrungspflichten findet.

Eine Orientierung an der DIN-Norm 66399 (Vernichtung von Datenträgern) zur Datenlöschung, an dem Baustein 60 des Standard-Datenschutzmodels der Datenschutzaufsichtsbehörden zur Löschung und Vernichtung von Daten sowie an den Empfehlungen zur Löschung von Daten des Bundesamtes für Sicherheit in der Informationsgesellschaft (BSI) im BSI-Grundschutzkompendium Baustein “Löschen und Vernichten” CON. 6 ist zu empfehlen.

Dienstleister bei der Erfüllung des Löschkonzepts

Werden dazu externe Dienstleister eingeschaltet, ist mit diesen ein Vertrag zur Auftragsverarbeitung, Art. 28 DSGVO nebst technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO und bei besonderen Datenarten, z.B. Gesundheitsdaten, spezifische Schutzmaßnahmen nach § 22 Abs. 2 BDSG sowie bei Berufsgeheimnisträgern (z.B. Anwälte, Steuerberater, Ärzte) zusätzlich eine Verpflichtung und Belehrung auf das Berufsgeheimnis nach § 203 StGB (Strafgesetzbuch) erforderlich.

David Seiler

Rechtsanwalt, Lehrbeauftragter

Stand 27.05.2020

Von | 2020-05-27T23:19:10+02:00 27. Mai 2020|Datenschutzrecht|

Weitere Beiträge von: