Ein­lei­tung: Digi­ta­le „Auf­he­be­ri­tis“ in Unternehmen

Wir alle ken­nen die­sen einen Kol­le­gen, der E‑Mails aus dem Jahr 2005 auf­be­wahrt, “weil man ja nie weiß”. Und dann ist da noch die IT-Abteilung, die Back­ups wie wert­vol­le Fami­li­en­er­b­stü­cke behan­delt. Doch die Datenschutz-Grundverordnung (DSGVO) macht Schluss mit die­sem digi­ta­len Messi-Syndrom. Daten sind kei­ne Kunst „für immer“, son­dern kön­nen auch mal weg. Genau hier kommt das Lösch­kon­zept ins Spiel.

Unter­neh­men, die es umset­zen, ver­mei­den nicht nur Buß­gel­der, son­dern erhö­hen auch das Ver­trau­en ihrer Kun­den. Denn eines ist sicher: Wer auf­ge­räumt ist, lebt siche­rer – auch digi­tal! – Sona­li Mhalas-Bartels

War­um löschen? Weil der EuGH es sagt!

Die DSGVO ver­langt in Arti­kel 5, dass per­so­nen­be­zo­ge­ne Daten nicht län­ger gespei­chert wer­den als not­wen­dig. Klingt logisch, oder? Doch 2024 hat der Euro­päi­sche Gerichts­hof (EuGH) noch ein­mal betont: Wer Daten grund­los hor­tet, ris­kiert saf­ti­ge Stra­fen. Plötz­lich ist das digi­ta­le Früh­jahrs­put­zen kei­ne frei­wil­li­ge Frei­zeit­be­schäf­ti­gung mehr, son­dern Pflicht.

Zusätz­lich ist 2025 das Jahr des Löschens!

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat für 2025 den Schwer­punkt sei­ner Arbeit auf das Recht auf Löschung nach Art 17 DSGVO gelegt. Das kann auch bedeu­ten, dass sich Auf­sichts­be­hör­den in Deutsch­land ganz gezielt an Unter­neh­men wen­den, um deren Lösch­kon­zep­te zu prüfen!

Ein Unter­neh­men in Frank­reich muss­te stol­ze 800.000 Euro Buß­geld zah­len, weil es kei­ne kla­re Stra­te­gie zur Daten­lö­schung hat­te. Die Auf­sichts­be­hör­de stell­te fest: “Alte Kun­den­da­ten wur­den behan­delt wie gute Fla­schen Wein – nur, dass sie nicht bes­ser, son­dern pro­ble­ma­ti­scher wur­den.” Wer jetzt noch denkt, ein Lösch­kon­zept sei nur Papier­kram, soll­te sich dar­auf ein­stel­len, dass die Auf­sichts­be­hör­den kei­ne Geduld mehr haben.

Grund­la­gen eines Lösch­kon­zepts nach der DSGVO

Gemäß Art. 5 Abs. 1 lit. e) DSGVO dür­fen per­so­nen­be­zo­ge­ne Daten nur so lan­ge gespei­chert wer­den, wie es für die Zwe­cke, für die sie ver­ar­bei­tet wer­den, not­wen­dig ist. Nach Erfül­lung die­ses Zwecks sind die Daten zu löschen, es sei denn, es bestehen gesetz­li­che Auf­be­wah­rungs­pflich­ten oder ande­re legi­ti­me Grün­de für eine wei­te­re Spei­che­rung. Ein Lösch­kon­zept dient dazu, die­se Anfor­de­run­gen sys­te­ma­tisch und nach­voll­zieh­bar umzusetzen. 

Das per­fek­te Lösch­kon­zept – Kein Hexenwerk

  1. Wel­che Daten haben wir über­haupt? Unter­neh­men müs­sen erst mal fest­stel­len, wel­che per­so­nen­be­zo­ge­nen Daten sie über­haupt spei­chern. Vie­le sind dabei über­rascht: “Ach, das haben wir auch noch?”
  2. Wie lan­ge dür­fen sie blei­ben? Es gibt gesetz­li­che Auf­be­wah­rungs­fris­ten, aber auch Daten, die längst über­fäl­lig sind. Ein Ver­trag aus dem Jahr 1998? Time to say goodbye!
  3. Wer ist ver­ant­wort­lich? Hier pas­siert oft ein Miss­ver­ständ­nis: “Die IT soll das regeln!” Aber: Daten­schutz ist Team­ar­beit. Jeder Fach­be­reich muss wis­sen, wann Daten gelöscht wer­den müssen.
  4. Auto­ma­ti­sie­rung ist der Schlüs­sel Moder­ne Sys­te­me kön­nen Daten auto­ma­ti­siert löschen. Theo­re­tisch. Prak­tisch lässt sich man­che IT-Abteilung nur schwer von ihren Daten­samm­lun­gen trennen.
  5. Löschen heißt wirk­lich löschen! “Archi­vie­ren” ist nicht gleich “löschen”. Wer denkt, dass ein Ord­ner mit dem Namen “Alte Daten” DSGVO-konform ist, wird eine unan­ge­neh­me Begeg­nung mit der Daten­schutz­auf­sicht haben.

Ein effek­ti­ves Lösch­kon­zept umfasst daher fol­gen­de Schrit­te:

  1. Iden­ti­fi­ka­ti­on der zu löschen­den Daten: Ermitt­lung der ver­schie­de­nen Daten­ar­ten, wie Per­so­nal­stamm­da­ten oder Ver­trags­da­ten, und Zuord­nung spe­zi­fi­scher Daten­ob­jek­te, bei­spiels­wei­se Name, Geburts­da­tum oder Vertragsnummer. 
  2. Erfas­sung der daten­hal­ten­den Sys­te­me und Daten­flüs­se: Ana­ly­se, in wel­chen IT-Systemen die Daten gespei­chert sind und wie sie zwi­schen die­sen Sys­te­men über­tra­gen wer­den. Dies ermög­licht eine geziel­te und voll­stän­di­ge Löschung. 
  3. Fest­le­gung von Lösch­fris­ten: Defi­ni­ti­on kon­kre­ter Zeit­räu­me, nach denen Daten zu löschen sind, unter Berück­sich­ti­gung gesetz­li­cher Auf­be­wah­rungs­fris­ten und betrieb­li­cher Erfordernisse. 
  4. Imple­men­tie­rung tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men: Ein­rich­tung von Pro­zes­sen und Sys­te­men, die eine frist­ge­rech­te Löschung gewähr­leis­ten und dokumentieren. 

Löschen mit Stil – Bei­spie­le aus der Praxis

  • Die Phantom-Kunden: Ein Online-Shop ent­deck­te, dass er noch Kun­den­da­ten von Nut­zern hat­te, die seit zehn Jah­ren nichts mehr gekauft hat­ten. Löschen? “Aber viel­leicht kom­men sie zurück!” Lei­der war das für die Behör­de kein Argument.
  • Die ewi­ge Newsletter-Liste: Ein Unter­neh­men wun­der­te sich über Beschwer­den, weil es immer noch Mails an Kun­den ver­schick­te, die sich 2016 abge­mel­det hat­ten. “Ach, das waren doch gute Kun­den!” Aber DSGVO-konform? Fehlanzeige.

 

Aktu­el­le Recht­spre­chung und ihre Auswirkungen

Die Recht­spre­chung des Jah­res 2024 hat die Anfor­de­run­gen an Lösch­kon­zep­te wei­ter konkretisiert: 

  • Erwei­ter­te Befug­nis­se der Auf­sichts­be­hör­den: Der Euro­päi­sche Gerichts­hof (EuGH) ent­schied am 14. März 2024, dass Daten­schutz­auf­sichts­be­hör­den die Löschung unrecht­mä­ßig ver­ar­bei­te­ter Daten auch ohne Antrag der betrof­fe­nen Per­son anord­nen dür­fen, wenn dies zur Sicher­stel­lung der DSGVO-Compliance erfor­der­lich ist.
  • Kei­ne Mit­be­stim­mungs­pflicht des Betriebs­rats: Das Bun­des­ar­beits­ge­richt stell­te klar, dass die Erstel­lung eines Lösch­kon­zepts kei­ne mit­be­stim­mungs­pflich­ti­ge Ange­le­gen­heit des Betriebs­rats dar­stellt, da es sich um eine gesetz­li­che Ver­pflich­tung des Arbeit­ge­bers handelt. 
  • Buß­gel­der bei feh­len­den Lösch­kon­zep­ten: In meh­re­ren Fäl­len wur­den erheb­li­che Buß­gel­der ver­hängt, weil Unter­neh­men kein aus­rei­chen­des Lösch­kon­zept imple­men­tiert hat­ten. Bei­spiels­wei­se ver­häng­te die fran­zö­si­sche Daten­schutz­be­hör­de im Dezem­ber 2022 wie oben erwähnt ein Buß­geld gegen einen Kom­mu­ni­ka­ti­ons­an­bie­ter, der über kein Lösch­kon­zept ver­füg­te und kei­ne regel­mä­ßi­ge Über­prü­fung der Daten­be­stän­de vornahm. 

Aus­nah­men von der Löschpflicht

  • Die DSGVO sieht in Art. 17 Abs. 3 bestimm­te Aus­nah­men von der Lösch­pflicht vor, bei­spiels­wei­se wenn die Ver­ar­bei­tung zur Erfül­lung einer recht­li­chen Ver­pflich­tung erfor­der­lich ist. Dies betrifft ins­be­son­de­re gesetz­li­che Auf­be­wah­rungs­pflich­ten, wie sie in § 257 HGB und § 147 AO gere­gelt sind. Wäh­rend die­ser Fris­ten dür­fen die ent­spre­chen­den Daten nicht gelöscht werden.

 

Fazit: Löschen ist nicht das Ende, son­dern ein Neuanfang

Ein gutes Lösch­kon­zept ist kein Zei­chen von Kon­troll­ver­lust, son­dern von Professionalität.

Unter­neh­men soll­ten die aktu­el­len recht­li­chen Ent­wick­lun­gen berück­sich­ti­gen und ihre inter­nen Pro­zes­se ent­spre­chend anpas­sen, um Risi­ken wie Buß­gel­der oder Repu­ta­ti­ons­ver­lus­te zu mini­mie­ren. Die Imple­men­tie­rung eines sol­chen Kon­zepts erfor­dert eine enge Zusam­men­ar­beit zwi­schen Daten­schutz­be­auf­trag­ten, IT-Abteilungen und der Geschäftsführung. 

Was Sie noch interessieren könnte:

Neues Jahr – neue Themen…

Ein neu­es Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich die­je­ni­gen The­men anzu­se­hen, die das […]

Autorin des Artikels:

Sonali Mhalas-Bartels

Rechtsanwältin und Beraterin im Datenschutz
MEHR ZUR AUTORIN