Das Löschen von personenbezogenen Daten ist sicherlich eines der klassischen Datenschutzthemen, welches dennoch häufig ignoriert wird. Das Datenschutzrecht verlangt stets dann eine Löschung der Daten, wenn für deren Verarbeitung keinerlei Verarbeitungszweck beziehungsweise Rechtsgrundlage mehr besteht. Dies erfordern schon die datenschutzrechtlichen Grundsätze der Datensparsamkeit und der Zweckbindung.
Grundsatz der zeitlich begrenzten Speicherung
Der Gesetzgeber hat die DSGVO so ausgestaltet, dass jede Speicherung und Verarbeitung von personenbezogenen Daten nur so lange erfolgen darf, wie es für den Zweck erforderlich ist, für den die Daten ursprünglich erhoben wurden. Dabei regelt die DSGVO leider nicht konkret den Zeitraum der Speicherung der Daten, dabei sind zusätzlich gesetzliche Aufbewahrungsfristen zu berücksichtigen.
Daten eines einzelnen Vorgangs innerhalb einer Geschäftsbeziehung können unterschiedliche Speicherfristen haben. Beispielsweise gelten nach einer Bestellung in einem Online-Shop mehrere Zeiträume der Aufbewahrungsfrist. Nach steuer- und handelsrechtlichen Vorgaben gemäß Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) lassen sich im Großen und Ganzen zwei Fristen definieren. Für die Rechnung aus dem Kauf im Online-Shop ergibt sich demnach eine Aufbewahrungsfrist von mindestens zehn Jahren. Der Kaufvertrag an sich, auch in elektronischer Form via Online-Bestellung, muss lediglich sechs Jahre aufbewahrt werden. Nach Ablauf der Fristen können und müssen diese Daten gelöscht werden, wenn sie für die weitere Geschäftsbeziehung nicht mehr relevant sind.
Andere Löschfristen können aber auch aus vielen anderen Rechtsbereichen folgen. Arbeitsrechtlich ergibt sich beispielsweise eine Aufbewahrungsfrist bei Bewerbungsunterlagen von in der Regel drei bis vier Monaten nach Abschluss des Auswahlverfahrens. Dies dient der Firma zum eigenen Schutz vor eventuellen Schadenersatzforderungen bei abgelehnten Bewerbern.
Daten löschen
Werden personenbezogene Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigt, ist darauf zu achten, dass diese gelöscht werden. Dies sollte schon auf Grund des Datensparsamkeitsgrundsatzes nach DSGVO erfolgen. Wenn die Einwilligung zur Datenverarbeitung durch den Nutzer zurückgezogen wird, müssen dessen Daten ebenfalls gelöscht werden. Auch bei sonstiger unrechtmäßiger Verarbeitung der personenbezogenen Daten kann die Löschpflicht in Kraft treten.
In der Regel dürfte mit Löschen der Daten das physikalische Vernichten gemeint sein. Einfaches Löschen reicht nicht aus, da diese nur als gelöscht markiert werden und gegebenenfalls wieder hergestellt werden können. Auch eine Pseudonymisierung der Daten, bei der der Personenbezug nur durch das Heranziehen weiterer Hilfsmittel hergestellt werden kann, ist meist unzureichend. Mehrfaches professionelles Überschreiben von Datenträgern, Schreddern oder Einschmelzen von Festplatten sowie fachmännisches Vernichten von Papierdokumenten sind die akzeptabelsten Formen der permanenten Löschung von Daten.
Löschfristen einhalten
Die oben beschriebenen Anforderungen verdeutlichen, dass in die Umsetzung von Löschfristen unternehmensintern erhebliche Anstrengungen fließen sollten, gerade auch um mögliche Bußgelder zu vermeiden. In diesem Zusammenhang ist der Fall der Deutsche Wohnen SE aktuell. Gegen diese wurde wegen Verstoßes gegen die Löschpflicht im Jahr 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt. Nach Anfechtung konnte die Deutsche Wohnen SE im Jahr 2021 zwar einen Teilerfolg vor Gericht erzielen, jedoch werden sich nach Einspruch der Berliner Datenschutzbeauftragten die Gerichte auch in Zukunft noch weiter mit diesem Fall beschäftigen.
Schon bei der Einführung neuer Anwendungen muss der Verantwortliche daran denken, dass diese auch systemseitig die Möglichkeiten bieten, gesetzlich vorgegebene Löschfristen umzusetzen. Dabei ist insbesondere auch an Daten-Archivsysteme zu denken, die in Unternehmen an vielen Stellen eingesetzt werden. Auch hier muss eine ordnungsgemäße Umsetzung der Löschfristen möglich sein.
Verträge mit Dienstleistern
Ferner sollten Unternehmen auch beim Einsatz von Dienstleistern zur Verarbeitung von personenbezogenen Daten daran denken, mit diesen entsprechende Verträge zur Auftragsverarbeitung abzuschließen. Solche Verträge sollen garantieren, dass die DSGVO-Vorgaben zur Löschung auch beim Dienstleister umgesetzt werden können.
Zu guter Letzt ist im Rahmen eines effektiven Datenschutzmanagements daran zu denken, ein entsprechendes Löschkonzept zu erstellen. Jeder Datenkategorie sollte möglichst eine Löschfrist zugeordnet werden, um Löschroutinen unternehmensweit durchzusetzen. Empfehlungen für Inhalte und den Aufbau eines Löschkonzepts für personenbezogene Daten enthält beispielsweise die DIN 66398. Alternativ können zertifizierte Datenschutzbeauftragte solche Konzepte erstellen.
Schwammige Vorgaben
Leider ist die DSGVO in vielen Punkten schwammig und unkonkret formuliert. Regelungen wie auch Ausnahmen in der DSGVO können im direkten Gegensatz zu nationalen oder EU-Gesetzen stehen. Eine allgemein gültige Auslegung ist daher kaum möglich und muss unter Berücksichtigung aller gesetzlichen Vorgaben firmenspezifisch definiert werden.