Datenschutzrechtliche Löschungspflicht und Schriftgutverwaltung (Records Management)
Erfahren Sie in diesem Beitrag, was Unternehmen hinsichtlich der Löschung von Personendaten und Records Management unbedingt beachten sollten, um Strafen zu vermeiden.
Die Datenschutzgrundverordnung der Europäischen Union sieht vor, dass Personendaten gelöscht werden müssen, wenn diese unter anderem nicht mehr zur Verarbeitung benötigt werden. Dies stellt im Bereich der Schriftgutverwaltung aber keine Neuerung dar. Dabei gibt es Gemeinsamkeiten, die zur datenschutzkonformen Umsetzungen für Firmenlösungen einen genaueren Blick verdienen.
Recht auf Löschung
Das Recht auf Vergessenwerden in rechtlicher Sprache, das Recht auf Löschung gemäß Artikel 17 DSGVO bedeutet, dass datenverarbeitende Unternehmen verpflichtet sind, bestimmte Daten irreversibel zu löschen.
Als Schriftgutverwaltung oder „Records Management“ wird die Verwaltung von Aufzeichnungen bezeichnet. Records Management ist die Summe von Strategien, Standards und Arbeitsabläufen zur revisionssicheren Verwaltung von geschäftlichen und sensiblen Daten oder Transaktionen. Der Begriff Dokumentenmanagement ist hierfür nicht zutreffend.
Die Löschungspflicht nach Artikel 17 DSGVO sieht konkret vor, dass Unternehmen dazu verpflichtet sind, nicht mehr erforderliche personenbezogene Daten zu entfernen. Dies wurde in zahlreichen Urteilen bestätigt. Die Datenschutzbehörde des Bundeslandes Berlin hat etwa verdeutlicht, dass personenbezogene Daten hinsichtlich Immobilien, welche durch ein Unternehmen verwaltet und vermietet werden, zu lange und zu umfassend aufbewahrt wurden. Nachdem das Unternehmen die Daten auch zwei Jahre nach erfolgter Mahnung nicht gelöscht hatte, wurde eine Geldbuße in Höhe von 14,5 Millionen Euro verhängt. Die Strafdrohungen, die von der DSGVO bei Verstößen ausgehen können, sind teilweise horrend!
Diese Entscheidung war richtungsweisend und hob die Konsequenzen der Ignoranz der Löschungsverpflichtung eindrucksvoll hervor. Es steht außer Zweifel, dass Aufbewahrungs- und Löschungspflichten von Unternehmen ernst genommen werden müssen, da die Folgen bei Widerhandlungen dramatisch sein können und die Durchsetzungsmechanismen der DSGVO ausreichend mächtig sind, den inhaltlichen Regelungen der DSGVO zur Umsetzung zu verhelfen.
Premierenurteil zum Recht auf Vergessenwerden
Das Premierenurteil hierzu erlangte ein spanischer Staatsbürger, der verlangte, dass verschiedene Zeitungsartikel über eine Zwangsversteigerung, bei welcher seine Grundstücke versteigert wurden, gelöscht werden. Der Beklagte hierbei war der spanische Ableger von Google, der einer Löschungsanfrage nicht nachkam.
Der EuGH bestätigte damals in seinem Urteil im Mai 2014 – bereits vor Inkrafttreten der DSGVO – das Recht auf Vergessenwerden unter gewissen Prämissen.
Hinsichtlich des Rechts auf Vergessenwerden bestätigte die EU-Kommission selbst, dass jede Person ein Recht auf Vergessenwerden haben sollte, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Es sollten Betroffenen der Anspruch eingeräumt werden, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, sofern die Zwecke, für welche die Daten erhoben wurden, nicht mehr bestehen. Außerdem, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten abgegeben haben und zuletzt auch dann, wenn die Verarbeitung der personenbezogenen Daten aus anderen Gründen unter Verstoß gegen Datenschutzgrundverordnung geschah.
Es bestehen somit verschiedene Gründe, die eine Löschung rechtfertigen, wobei die Pflicht zur Löschung aufgrund fehlender gesetzlicher Grundlage oder Wegfall der Bearbeitungsnotwendigkeit im Vordergrund steht. Ein typischer Fall liegt vor, wenn personenbezogene Daten nicht mehr aktuell oder nicht mehr relevant sind, die Einwilligung des Betroffenen zur Bearbeitung von Personendaten zurückgezogen wurde oder wenn kein anderer rechtlicher Grund für die Datenverarbeitung vorliegt. Es reicht freilich aus, wenn einer der genannten Gründe zutrifft, um eine Löschung zu erwirken. Die Geltendmachung kann vom Betroffenen selbst eingeleitet werden, ohne dass dabei die Erfüllung von Formalitäten zu beachten wäre. Es genügt bereit ein schlichtes Begehren des Betroffenen an das Unternehmen. Unternehmen sollten daher auf entsprechende Anfragen bzw Verlangen bereits vorbereitet sein und einen Prozess zur Durchführung veranlagt haben.
Zu beachten ist dabei aber, dass die Löschungspflicht auch Einschränkungen unterliegt, wie etwa für Patientenakten oder Grundbuchsdaten.
Die Löschung personenbezogener Daten
Datenverarbeiter – dies ist praktisch jedes Unternehmen – müssen personenbezogene Daten nach Beendigung des Zwecks, für den sie erhoben wurden, rückstandslos löschen. Um die Umsetzung zu gewährleisten ist Folgendes zu beachten:
- Rechtzeitige Umsetzung einer Datenklassifizierung
- Überschreibung der Daten
- Auflösung der Auffindbarkeit in Suchindizes
- Daten sind auch aus Datensicherungsbeständen zu entfernen
- Mögliche Mehrfachspeicherung beachten
Der Löschungsanspruch ist somit ein absoluter, der eine spätere Datenwiederherstellung nicht erlaubt.
Löschung von Personendaten und Records Management
Große Daten- oder Dokumentenmengen sind genauso zu führen, dass sie strukturiert und erforderlichenfalls gelöscht werden können, sobald diese nicht mehr erforderlich sind oder nicht weiter verwaltet werden dürfen.
Um dies zu erreichen, empfiehlt sich die Kategorisierung und Klassifizierung. Dies dient nicht nur der Effizienz, sondern auch der Gewährleistung der Fähigkeit, eine Löschung zeitgerecht überhaupt vornehmen zu können. Mangels klarer Struktur, welche Personendaten in welche Klasse gehören (Stichwort sensible Daten) und in welche Kategorien diese zu fassen sind, gestaltet sich eine vollständige Löschung schwierig oder gar unmöglich.
Nur, wenn Records klassifiziert und kategorisiert worden sind, können sie weiterverarbeitet und gemanagt werden bis hin zur Löschung. Als Beispiel hierfür dienen steuer- oder unternehmensrechtliche Unterlagen, deren Aufbewahrungspflicht endete.
Schutz durch Anonymisierungen oder Pseudonymisierung
Die Löschung von Personendaten kann oft wirtschaftlich aufwendig und kompliziert in der Durchführung und Planung sein, weshalb auch an Alternativen gedacht werden kann. Nicht nur die Verpflichtung zur Aufnahme in ein Verarbeitungsverzeichnis, sondern auch die angesprochene Klassifizierung und Kategorisierung, sind häufig nicht geplant oder gar umgesetzt worden. Einfacher gestaltet sich die Aufgabe, wenn ein gänzlich neues Datenverarbeitungssystem eingeführt wird, schwieriger hingegen ist die Anpassung bestehender Systeme.
Um die Anforderungen dennoch zu erfüllen, haben sich für die schrittweise Löschung von personenbezogenen Daten diverse Modelle entwickelt.
Pseudonymisierung als Zwischenschritt
Die erste Etappe zur Erfüllung der Löschungsverpflichtung ist für betroffene Unternehmen zumindest kurzfristig die Option der Pseudonymisierung bzw Anonymisierung von Daten, die jedoch die Pflicht zur vollständigen Löschung nicht aufhebt.
Bestandteile von Daten, die Rückschlüsse auf personenbezogene Daten geben können, werden in diesem ersten Schritt nicht gelöscht oder unkenntlich gemacht, sondern durch „Pseudonyme“ ersetzt oder derart ergänzt, damit unmittelbare Rückschlüsse verhindert werden können, auch wenn Rückschlüsse mit Hilfe weiterer Datensätze noch möglich sind. Es besteht also noch keine Anonymisierung – Personendaten sind nach wie vor als Personendaten zuordenbar. Aus datenschutzrechtlicher Sicht ist damit noch kein Erfolg verbunden.
Anonymisierung
Anonymisieren bedeutet das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Sämtliche Bezüge zu Personen sind (absolut) unmöglich, besonders durch die Nutzung von weiteren Verarbeitungen durch Big Data oder künstliche Intelligenz. Die hinter anonymisierten Daten stehende Person kann also weder aus den Daten selbst, noch aus einer Kombination mehrerer Datensätze unter dem Aufwand herkömmlicher Mittel eruiert werden.
Achtung:
Bloße Verschlüsselungen – mögen diese auch noch so effektiv sein – gelten in den meisten Fällen nicht als genügende Anonymisierung, sondern stellen eine Pseudonymisierung dar und genügen damit nicht als absolut taugliches Mittel zur Anonymisierung oder Vermeidung der Anordnungen des DSGVO.
Nicht abschließend geklärt ist die Frage nach dem unverhältnismäßigen Aufwand, der erforderlich ist, um anonymisierte Daten doch wieder zurück zu setzen, ohne dass die erfolgreiche Anonymisierung scheitert. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Das Records Management per se erfordert freilich nicht eine derart hohe Präzision und Intensität des Datenschutzes. Nichtsdestotrotz bedeutet gelöschte Daten auch hier, dass die Daten nicht mehr zugänglich sind. Personenbezogene Daten sind nach regulatorischen Anforderungen unwiderruflich zu löschen. Ein solch so hoher Maßstab wird im Bereich des Records Managements nicht angesetzt. Keinesfalls ist aber auszuschließen, dass in Zukunft die Hürde höher und die Anstrengungen intensiver ausfallen müssen, um den gesetzlichen Anforderungen zu genügen.
Klasse und Kategorie als Dreh- und Angelpunkt
Um Aufzeichnungen oder personenbezogene Daten löschen zu können und ohne manuelle, zusätzliche Tätigkeiten zur Löschung zu bringen, ist eine Datenklassifizierung und -kategorisierung vorzunehmen, wofür entsprechende Prozesse und Richtlinien zu entwickeln sind. Darauf fußt der spätere Erfolg, um in weiterer Folge diese Kategorisierung und -klassifizierung auf der Ebene der Metadaten von Systemen zu erfassen, zu implementieren und durchzuführen.
Wurde ein funktionierendes System etabliert, können Aufzeichnungen oder personenbezogene Daten einem der bestehenden Raster trennscharf zugewiesen werden. Dies ermöglicht Überblick, einfache Steuerung und auch Löschung.
Ein Resümee
Die Ansprüche an Datenschutz und Records Management sind vergleichbar, wenn auch nicht ident. Besonders die automatisierte Umsetzung mittels Datenklassifizierung und -kategorisierung steht dabei im Fokus. Ist dies geschehen, kann stetig überprüft werden, ob Klassen und Klassifizierungen vereinfacht und damit effizienter gemacht werden können.
Ein großer Vorteil liegt in der zentralen Steuerbarkeit der Löschungen, wenn man davon ausgeht, dass ein Großteil der Aufzeichnungen gerade personenbezogene Daten sind. Die Gewährleistung der Wahrung von Löschungsfristen ist elementar.
Unternehmen sind also im Datenschutzrecht verpflichtet, personenbezogene Daten zu löschen, die, vereinfacht gesagt, nicht mehr benötigt werden und für deren Aufbewahrung es keine gesetzliche Grundlage gibt. Dies trifft auch für das Records Management zu. Es gilt daher keine weitere Zeit zu verlieren und Risiken einzugehen und eine strategische Basis für diese Bereiche zu entwickeln und diese dann auch umgehend umzusetzen.