Wann ein Unternehmen Daten löschen muss

Seit der neuen Datenschutzgrunderordnung gilt eine umfassende Löschpflicht für Unternehmen von jeglichen Daten, die ein Kunde oder Interessent während des Betriebs verursacht hat. Bis zum 25 Mai 2018 muss jedes dieser Unternehmen die DSGVO umgesetzt haben. Wie man als Unternehmer die neuen Löschpflichten gemäß der Datenschutzverordnung richtig und konform umsetzt, steht im folgenden Beitrag.

Die Datenschutzgrundverordnung, auch DSGVO abgekürzt, beinhaltet auch eine sogenannte Löschpflicht, nach der Unternehmen personenbezogenen Daten jeglicher Art auf Wunsch der Personen, bei Widerruf und nach Zweckerfüllung löschen müssen.

Diese Löschpflicht ist im Detail im Art. 17 des DSGVOs geregelt und muss von Unternehmen verpflichtend umgesetzt werden, ansonsten können empfindliche Bußgelder und Strafzahlungen in erheblicher Höhe entstehen.

Wann müssen personenbezogenen Daten nach DSGVO gelöscht werden?

Personenbezogene Daten müssen im Wesentlichen dann gelöscht werden, wenn sie ihren Zweck innerhalb des Geschäftsbetriebes erfüllt haben und vom Unternehmen nicht mehr benötigt werden. Sind also erhobene, personenbezogene Daten für einen gewissen Zweck verarbeitet, ausgewertet und angewandt worden, muss das Unternehmen diese Daten anschließend löschen, sofern diese nicht mehr für zukünftige Zwecke derselben Art in absehbarer Zeit eingesetzt werden müssen. Man spricht hier vom Zweckbindungsgrundsatz der Datenschutzgrundverordnung, welcher das Unternehmen dazu verpflichtet, den Einsatz der Daten für den jeweiligen Zweck genau zu benennen. Ebenso damit einhergehend ist dabei, dass eine Weiterverarbeitung der Daten zu anderen Zwecken außerhalb der definierten Zwecke ausgeschlossen ist.

Unternehmen sollten sich aufgrund dieser Löschpflichten ein umfassendes Konzept erstellen, nach denen die Löschpflichten zum Einsatz kommen, um ein standardisiertes Vorgehen zu etablieren. Dazu empfehlen sich folgende Schritte:

 

  1. Lokalisieren der personenbezogenen DatenZunächst muss jedes Unternehmen individuell entscheiden, wo innerhalb des Betriebs überhaupt personenbezogenen Daten anfallen. In den seltensten Fällen werden dabei in einer zentralen Datenbank einmalig Datensätze angelegt, welche alle personenbezogenen Daten beinhalten und entsprechend einfach zu löschen sind. Tatsächlich finden oftmals in sehr viel mehr Anwendungen die Erhebung von personenbezogenen Daten statt:

    Das innerbetriebliche E-Mail Programm, Softwareprogramme für Kundenbindungsmaßnahmen aber auch das Programm zur Etikettenerstellung von Paketsendungsscheinen erfassen alle personenbezogenen Daten und sollten daher alle gemäß der DSGVO unter die Löschpflicht fallen. Je nach Unternehmen können also mehrere Datensätze desselben Kunden entstehen, welche alle nach ihrer Zweckerfüllung zu löschen sind.

    Erst nach dieser Lokalisierung der Daten innerhalb des gesamten Prozesses ist es möglich, diese Daten dann entsprechend der Löschpflicht zu entfernen und DSGVO konform zu agieren.

    2. Kategorisierung der Daten

    Anschließend sollten die Daten nach Kategorien sortiert werden, dabei sollte jede Kategorie eine eigene Löschregel haben. Dieses Vorgehen verschafft Übersicht und Klarheit über die einzelnen Datenbestände.

    3. Löschpflichten nach Kategorie definieren

    Ein besonderer Punkt ist die Aufbewahrungspflicht von Daten innerhalb Unternehmen. Gilt für einen Datensatz eine Aufbewahrungspflicht, muss diese umgesetzt werden. Die Zweckerfüllung der Daten kann zwar dabei eingetreten sein, durch die Aufbewahrungspflicht gibt es jedoch eine rechtlicher neuer Zweckerfüllung dieser Daten, so dass diese nicht gelöscht werden können

    4. Archivierung der DatenWenn die Daten ihren Zweck erfüllt haben, müssen diese gemäß der Aufbewahrungspflicht entsprechend archiviert werden. Erst dann erfolgt die Löschung der Daten. Die Dauer der Aufbewahrungspflicht ist dabei je nach Datenart unterschiedlich lange.

    5. Anschließende Löschung der Daten

Auch bei der Aktenevernichtugn muss vieles beachtet werden. Nach DIN 66399 gibt es 7 Sicherheitsstufen von Aktenvernichtung. Laut gaerner erst ab Sicherheitsstufe 4 erfüllen die Aktenvernichter die DSGVO Anforderungen. Vor allem müssen die Ärzte, Anwälte und Notare wegen einem Berufsgeheimnis bedürfen größere Sicherheitsstufe, da bei kleinen werden nur Streifen und große Partikeln erstellt.

Bei den digitalen und elektrischen Datenträgern personenbezogene Daten nennt die DSGVO keinen konkreten Anforderungen. Daher auch hier empfiehlt es sich hier die Anforderungen der DIN 66399 heranzuziehen. Hier wurde das Löschen und Vernichten von Datenträgern wie Festplatten, Flashspeicher, CDs und DVDs etc. berücksichtigt.

Bild: realinemedia/depositphotos.com