Was macht man mit nicht mehr benötigten personenbezogenen Daten? Oftmals hält man diese nicht mehr weiterhin vor und macht sich in der Alltagshektik und der Akquise des nächsten Geschäftsabschlusses keine weiteren Gedanken. Oder die IT-Systeme sind über Jahre mit der Größe des Unternehmens chaotisch gewachsen und dabei wurde verpasst, ihnen eine beherrschbare Struktur zu geben. So erging es nun der Deutschen Wohnen AG, gegen die von der Berliner Landesdatenschutzbeauftragten ein Bußgeld von 14,5 Millionen Euro verhängt wurde.
Dort wurden wohl bereits jahrelang veraltete Mieterdaten einschließlich deren Sozialversicherungsdaten gespeichert und waren in Archiven als nicht löschbar und weiterhin einsehbar abgelegt.
Generell ist die fehlende Löschpraxis ein Verstoß gegen geltendes Datenschutzrecht und kann auch beim bloßen Fehlen bereits mit einem Bußgeld geahndet werden. Die DS-GVO hat mit dem Recht auf Löschung („Recht auf Vergessenwerden“) gem. Art. 17 DS-GVO die Pflicht zum Löschen personenbezogener Daten ohne Anforderung des Betroffenen zur Pflicht erhoben. Das Löschen auf Anforderung des Betroffenen allein erfüllt also nicht die geltenden rechtlichen Anforderungen. Dafür müssen funktionierende systemische Prozesse entwickelt werden. Diese regeln, wann in jeder Abteilung des Unternehmens personenbezogene Daten zu löschen sind und folgen den Grundsätzen der Datenminimierung und Datensparsamkeit. Um behördlichen Prüfungen der Datenschutzorganisation standzuhalten, müssen diese Prozesse umfassend eingehalten, dokumentiert und die Einhaltung kontrolliert werden.
Dazu muss ein konzeptionelles Löschkonzept, das sämtliche Verarbeitungstätigkeiten beinhaltet und für die einzelnen Tätigkeiten die Speicherorte und –fristen definiert, entwickelt werden. Zwischen den einzelnen Abteilungen des Unternehmens ist ein intensiver Abstimmungsprozess erforderlich, weil oftmals keine ausreichend konkreten Informationen beim Datenschutzbeauftragten oder einem zentralen Datenschutzkoordinator zusammenlaufen. Dadurch wird die Entwicklung eines
Löschkonzepts zeitaufwändiger, weil erst zahlreiche Gespräche mit den Fachabteilungen geführt werden müssen.
An diesem Punkt erschöpfen sich unserer Erfahrung nach die Inhouse-Ressourcen vieler Unternehmen. Hinzugezogene Berater können ein individuell abgestimmtes Löschkonzept entwickeln und vor Ort implementieren. Hilfreich ist dafür eine umfassende Erfahrung im Finanz-, Handels- und Industriesektor, um den unterschiedlichen Unternehmenskulturen gerecht zu werden. Neben der Koordination von verschiedenen Vorstellungen der Fachbereiche sind dabei die fachlichen Voraussetzungen eines umfassenden juristischen und IT-bezogenen Verständnisses der Berater für den Projekterfolg entscheidend.
Die personenbezogenen Daten müssen unter Beachtung etwaiger vorhandener Rechtsansprüche oder nach den gesetzlichen Aufbewahrungspflichten, wenn diese nicht vorhanden sind, nach der Erforderlichkeit zur Zweckerreichung kategorisiert werden. Die Annahme korrekter Aufbewahrungsfristen ist sehr wichtig, weil ein Verstoß, also eine verfrühte, verspätete oder gar keine Vernichtung, Sanktionen wie Geldbußen oder eine Strafe nach sich ziehen kann.
Beispielsweise sind Handelsrechtliche Aufbewahrungsfristen i.S.d. §§ 257 HGB, 147 AO regelmäßig bei buchungs- und besteuerungsrelevanten Unterlagen zu beachten. Der Fristbeginn muss zur Fristberechnung richtig festgelegt werden, um zu wissen, wann die Frist zu laufen beginnt. Fristbeginn ist in diesen Fällen entsprechend der Rechtslage im Bürgerlichen Gesetzbuch regelmäßig der Schluss des jeweiligen Kalenderjahres.
Die Entwicklung und Implementierung eines Löschkonzepts sollte also mit einem konkreten Fahrplan angegangen und in allen Bereichen des Unternehmens umgesetzt werden. Das Schreiben und Ablegen bloßer Arbeitsanweisungen für Mitarbeiter genügt den Anforderungen des geltenden Datenschutzrechts nicht, auch wenn hohe Bußgelder wie gegen die Deutsche Wohnen AG bisher noch selten sind. Die Aufmerksamkeit der Datenschutzbehörden zur korrekten Entfernung nicht mehr benötigter personenbezogener Daten ist aber stark gewachsen, wie die Verhängung des Bußgeldes belegt. Riskieren Sie also nicht mit Ihrer Untätigkeit ein Tätigwerden der Behörden. Mit der Entwicklung und Implementierung eines auf Ihr Unternehmen individuell abgestimmten Löschkonzeptes stellen Sie datenschutzrechtliche Compliance her und treten Bußgeldrisiken effektiv entgegen. Die Consultants der Creditreform Compliance Services GmbH beraten Sie effektiv.
Autor:
Alexander Schmidt, Senior Consultant Data Protection Services, Creditreform Compliance Services GmbH