07610 Das betriebliche Löschkonzept für personenbezogene und buchhalterische Daten
Im Rahmen der Einführung der Datenschutz-Grundverordnung (DSGVO) hat das in der Vergangenheit oftmals stiefmütterlich behandelte Thema „Löschkonzept” eine neue Relevanz erhalten. Seither erfährt die Löschung personenbezogener Daten gegenüber der bisherigen Rechtslage insofern eine Aufwertung, als die diesbezüglichen Bestimmungen detaillierter ausformuliert worden sind und zum Teil auch erweitert wurden. Das mit dem Löschungsanspruch der betroffenen Person verbundene „Recht auf Vergessenwerden” wird zum ersten Mal ausdrücklich gesetzlich geregelt; es ergänzt die Löschung unmittelbar beim Verantwortlichen und die Nachberichtspflichten.
Aufgrund der Relevanz dieses Themenbereichs beschäftigt sich der vorliegende Beitrag im Wesentlichen mit den Themen Datenvermeidung, Löschpflichten, Einführung von Löschkonzepten und Löschregeln sowie den Informationspflichten zur Löschung. Arbeitshilfen: von: |
1 Einführung
Rechtliche Grundlage
Das Löschen personenbezogener Daten wird von der Datenschutz-Grundverordnung (DSGVO) bereits in Artikel 5 als Grundsatz gefordert und in zahlreichen Artikeln der DSGVO als Ausprägung der Rechte des Betroffenen ausgeführt. Diese konkrete Beschreibung der Pflicht zum Löschen von personenbezogenen Daten stellt die betriebliche Praxis von vielen Unternehmen vor Probleme und bedeutet zum Teil enorme Veränderungen in den Unternehmensabläufen.
Das Löschen personenbezogener Daten wird von der Datenschutz-Grundverordnung (DSGVO) bereits in Artikel 5 als Grundsatz gefordert und in zahlreichen Artikeln der DSGVO als Ausprägung der Rechte des Betroffenen ausgeführt. Diese konkrete Beschreibung der Pflicht zum Löschen von personenbezogenen Daten stellt die betriebliche Praxis von vielen Unternehmen vor Probleme und bedeutet zum Teil enorme Veränderungen in den Unternehmensabläufen.
Was sind personenbezogene Daten?
Zunächst ist es für die betriebliche Praxis wichtig und auch erforderlich festzustellen, mit welchen personenbezogenen Daten gearbeitet wird und wie diese zu bewerten sind. Dieses insbesondere deshalb, weil die Regelungen der DSGVO nur für die Verarbeitung personenbezogener Daten gelten und nicht personenbezogene Daten außen vor lassen. Somit sind Unternehmen gefordert, ihre Daten und Datenflüsse sehr konkret zu analysieren und festzustellen, welche Daten davon unter die Bestimmungen der Datenschutz-Grundverordnung fallen. Häufig sind diese Daten im Personalbereich, in der IT-Abteilung, im Marketing, in der Buchhaltung, aber auch in vielen Betriebsteilen (z. B. Schichtplan im Betriebsbüro), bei denen man es nicht zwangsläufig vermutet, zu finden. Grundsätzlich gilt, dass alle Daten, bei denen ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Zumeist klar zuzuordnen sind der Name, die Telefonnummer sowie Kreditkarten- oder Personalnummern. Aber auch Kontodaten, Kfz-Kennzeichen, das Aussehen (z. B. auf Fotos oder in Videoaufzeichnungen), die Kundennummer oder die Anschrift zählen zu den personenbezogenen Daten. Dies sind also nicht nur Informationen über die Person, sondern ebenso Informationen, die sich mit ihr in Verbindung bringen lassen (personenbeziehbare Daten), weshalb der Anwendungsbereich der DSGVO deutlich größer sein dürfte, als zunächst gedacht.
Zunächst ist es für die betriebliche Praxis wichtig und auch erforderlich festzustellen, mit welchen personenbezogenen Daten gearbeitet wird und wie diese zu bewerten sind. Dieses insbesondere deshalb, weil die Regelungen der DSGVO nur für die Verarbeitung personenbezogener Daten gelten und nicht personenbezogene Daten außen vor lassen. Somit sind Unternehmen gefordert, ihre Daten und Datenflüsse sehr konkret zu analysieren und festzustellen, welche Daten davon unter die Bestimmungen der Datenschutz-Grundverordnung fallen. Häufig sind diese Daten im Personalbereich, in der IT-Abteilung, im Marketing, in der Buchhaltung, aber auch in vielen Betriebsteilen (z. B. Schichtplan im Betriebsbüro), bei denen man es nicht zwangsläufig vermutet, zu finden. Grundsätzlich gilt, dass alle Daten, bei denen ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Zumeist klar zuzuordnen sind der Name, die Telefonnummer sowie Kreditkarten- oder Personalnummern. Aber auch Kontodaten, Kfz-Kennzeichen, das Aussehen (z. B. auf Fotos oder in Videoaufzeichnungen), die Kundennummer oder die Anschrift zählen zu den personenbezogenen Daten. Dies sind also nicht nur Informationen über die Person, sondern ebenso Informationen, die sich mit ihr in Verbindung bringen lassen (personenbeziehbare Daten), weshalb der Anwendungsbereich der DSGVO deutlich größer sein dürfte, als zunächst gedacht.
Grundsatz für den Umgang mit den Löschpflichten von personenbezogenen Daten:
Wann löschen?
Personenbezogene Daten sind immer dann zu löschen, wenn der die Speicherung dieser Daten begründende Zweck nicht mehr vorhanden ist bzw. keine Einwilligung mehr ihre Wirkung entfaltet und kein Recht zur Aufbewahrung existiert.
Personenbezogene Daten sind immer dann zu löschen, wenn der die Speicherung dieser Daten begründende Zweck nicht mehr vorhanden ist bzw. keine Einwilligung mehr ihre Wirkung entfaltet und kein Recht zur Aufbewahrung existiert.