Achtung, hier drohen erhebliche Bußgelder!
Im Art.5 DS-GVO werden die Grundprinzipien der Datenverarbeitung folgende Aspekte benannt und beschrieben: Hierbei handelt es sich im Wesentlichen um die Speicherbegrenzung, die Datenminimierung und die Zweckbindung. Um diese Grundprinzipien einhalten zu können, ist für Unternehmen ein Löschkonzept zu erarbeiten und somit notwendig. Es stellt sicher, dass u.a. die personenbezogenen Daten dann gelöscht werden, wenn der Zweck wegfällt, auf dessen Grundlage ein Verantwortlicher die Daten verarbeitet hat. Ein ausführliches und nach den Bestimmungen und Richtlinien der Landesbehörden erstelltes Löschkonzept weist die ordnungsgemäße Löschung nach, die zusätzlich protokollarisch dokumentiert werden sollte oder auf anderem Wege die ordnungsgemäße Umsetzung nachzuweisen ist.
Dieses Löschkonzept spielt somit beim Nachweis der Löschung eine wichtige Rolle. Denn die DS-GVO fordert, dass der Verantwortliche nachweisen muss, dass er seinen Pflichten nachkommt. Daraus ergeben sich Dokumentationserfordernisse. Die Rechenschaftspflicht nach Art. 5 DS-GVO gilt ebenso für das Thema Löschen. Danach muss der Verantwortliche zeigen, dass und wie er die Aufgabe des Löschens personenbezogener Daten geregelt und umgesetzt hat.
Da aber die Dokumentation bzw. der Nachweis einer Datenlöschung unter Umständen dazu führt, dass ein Verantwortlicher erneut personenbezogene Daten verarbeitet, ist Vorsicht geboten. Wer beispielsweise eine Liste erstellt und pflegt, die beschreibt, dass er die Daten von Frau Musterfrau zu einem bestimmten Datum gelöscht hat, verarbeitet ja erneut die Daten von Frau Musterfrau.
Es ist ratsam, schriftlich zu dokumentieren, wie das Unternehmen vorgegangen ist, um ein Löschkonzept zu etablieren (Prozessbeschreibung) und wie es den Löschvorgang ausgestaltet. Dies kann eigentlich nur mittels eindeutiger Prozess- und Verfahrensbeschreibung erfolgen. Deshalb sollten sich alle Unternehmen genau überlegen, wie man zu den relevanten Prozessen eine geeignete Prozess- und Verfahrensbeschreibung erstellt oder dies durch externe Spezialisten erstellen lässt.
Aus der Prozessbeschreibung sollte ersichtlich sein, wie das Unternehmen das Thema „Löschung“ umsetzt. Hier spielen Verantwortlichkeiten, Fristen und die Identifikation von Prozessen, die personenbezogene Daten verarbeiten, wichtige Rollen. Aus dieser Beschreibung sollte zudem hervorgehen, dass der Bestand an personenbezogenen Daten regelmäßig auf die Einhaltung von Aufbewahrungs- und Vorhaltefristen geprüft wird, die die Fachbereiche definiert haben, und dass etwaige Löschvorgänge gemäß den beschriebenen technischen und organisatorischen Vorgaben durchgeführt werden.
Datenschutz auch für Papier, nicht nur für Digitales
Die Datenrisiken, die durch einen ungeschulten Umgang mit Papierdokumenten entstehen, zeigen: Die Art der Sicherheits-Maßnahmen und das passende Verhalten wie die Nutzung von Aktenvernichtern hängen vom Standort ab. Damit Arbeiten ortsunabhängig möglich wird, müssen Verantwortliche daher an jedem Ort für die notwendigen risikoabhängigen Datenschutz-Maßnahmen sorgen.
Zudem gilt: Datenschutz ist nicht nur für digitale Verfahren wichtig, sondern immer dann, wenn es um personenbezogene Daten geht. Daher betrifft Datenschutz auch den Umgang mit Papierdokumenten, sei es beim Ausdrucken im Homeoffice, sei es bei mitgebrachten Dokumenten aus dem Büro. Sorgen Sie hier als Datenschutzbeauftragte(r) für entsprechende Beratung und Schulung.
Löschfristen und Löschregeln
Dazu muss für alle Prozesse, die personenbezogene Daten verarbeiten, der Verantwortliche (Fachbereich) die zur jeweiligen Datenart passende Löschfrist kennen und notieren. Als Grundlage kann das Verzeichnis von Verarbeitungstätigkeiten wichtigen Input liefern. Sinnvoll ist es, neben den einzelnen Fristen die betreffenden LöschÂregeln – also das Zusammenspiel aus Datenart, Löschfrist und Startdatum der Löschfrist – zu dokumentieren.
Da die Umsetzung der Datenlöschung ein Teil der technisch-organisatorischen Maßnahmen ist, ergeben sich zudem Nachweispflichten nach Art. 24 DS-GVO. Die Maßnahmen lassen sich nämlich nur dann regelmäßig überprüfen, wenn entsprechende Dokumentationen vorliegen.
Wir helfen Ihnen gerne weiter und kümmern uns um die Problematiken im Datenschutz. Kontaktieren Sie uns über den Punkt „Kontakte“ teilen Sie uns Ihre Wünsche mit und vereinbaren Sie ggf. gleich einen Termin mit uns!