Die Datenschutzgrundverordnung (DSGVO) fordert in Artikel 17 die komplette Löschung nicht mehr benötigter, personenbezogener Daten. Ausrangierte Geräte und Datenträger werden daher zu einem Risiko für die Informationssicherheit, wenn sie nicht korrekt und rechtskonform gelöscht werden. Auch Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes drohen.
Die Verarbeitung von Daten umfasst viele Schritte. Daten werden erfasst, gespeichert, angepasst, verändert, analysiert, abgefragt – und an ihrem „Lebensende“ gelöscht. Unternehmen müssen daher Informationen auf Festplatten, USB-Sticks oder Geräten, die nicht mehr gebraucht werden, nachweisbar und rechtskonform löschen. Das gilt für firmenkritische Daten (Finanzdaten, Kundendaten, Software-Code etc.) und vor allem für sensible personenbezogene Daten. Erfüllen Firmen diese Pflicht nicht, drohen Bußgelder von bis zu vier Prozent des Jahresumsatzes.
Das DSGVO-Portal bietet eine Datenbank mit Bußgeldern, die Firmen und Behörden aus europäischen Ländern wegen Verstößen gegen die DSGVO bis dato bezahlen mussten. Der letzte Eintrag für eine Geldstrafe wegen der unzureichenden Löschung von Daten war am 08.12.2021 (siehe Screenshot). Ein belgisches Unternehmen muss 10.000 Euro bezahlen, weil es einer Löschanfrage nicht nachgekommen ist.
Bußgeld-Datenbank: Das DSGVO-Portal listet tagesaktuell europäische Firmen auf, die gegen die DSGVO verstoßen haben.
Noch zwei andere Beispiele: Die norwegische Aufsichtsbehörde verhängte 2020 gegen eine öffentliche Straßenverwaltung ein Bußgeld in Höhe von 394.000 Euro wegen fehlender Löschmechanismen. Sie hatte personenbezogenen Daten im Rahmen von Mautstellen erfasst und in dem 20 Jahre alten System nie gelöscht.
Spektakulär war 2019 ein Urteil gegen die Immobiliengesellschaft Deutsche Wohnen mit einem Bußgeldbescheid über 14,5 Millionen Euro. Die Firma hatte alte persönliche Daten von Mietern in einem Archiv gespeichert, ohne dass eine Löschmöglichkeit vorgesehen war. Das Urteil wurde im März 2021 vorläufig aufgehoben; die Verhandlung geht aber in die nächste Runde.
Maßgebend: Artikel 17 der DSGVO
Wann also müssen Unternehmen gespeicherte personenbezogene Daten wieder löschen? Maßgebend ist hier Artikel 17 der DSGVO, der die grundlegenden Bestimmungen für das Recht auf Löschung definiert. Demnach sind personenbezogene Daten unter anderem zu löschen, wenn
- der Zweck für die vorherige Erhebung oder Verarbeitung der Daten wegfällt, sprich die Daten nicht mehr benötigt werden. Unternehmen dürfen also personenbezogene Daten grundsätzlich nur für vorher genau definierte, eindeutige und legitime Zwecke erheben und verarbeiten. Fällt dieser Zweck weg, sind die Daten zu löschen. Ein Beispiel dafür sind Bewerbungsunterlagen mit personenbezogenen Daten wie Name, Adresse, Qualifikation, Konfession etc. des Bewerbers oder der Bewerberin. Sollte sich das Unternehmen gegen die Einstellung des Bewerbers entscheiden, ist der Bewerbungsprozess beendet. Da der Zweck der Datenverarbeitung ab diesem Zeitpunkt erfüllt ist, sind die Daten zu löschen.
- der Betroffene die Einwilligung für die Erhebung der Daten widerruft. Grenzen setzen hier etwa die Mindestaufbewahrungsfristen im Steuerrecht. Personenbezogene Daten dürfen erst dann gelöscht werden, wenn diese Fristen abgelaufen sind. Auch der Punktestand in der „Verkehrssünderkartei“ in Flensburg wird erst nach Verjährung gelöscht.
- der Betroffene der Datenverarbeitung widersprochen hat und keine vorrangigen Gründe dazu berechtigen, die personenbezogenen Daten weiterhin zu nutzen (z. B. bei Daten von Kindern, die bei Internetangeboten erhoben wurden).
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden
- es darum geht, eine rechtliche Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zu erfüllen, dem das Unternehmen unterliegt.
Technische Umsetzung: Daten richtig löschen
Die DSGVO schreibt zwar vor, personenbezogene Daten zu löschen, empfiehlt aber kein bestimmtes Verfahren oder Vorgehen. Grundsätzlich müssen Firmen aber auch bei der Datenvernichtung wichtige Standards einhalten. Es genügt also nicht, ausgedruckte Unterlagen einfach in den Müll zu werfen. Die Daten müssen so vernichtet und geschreddert werden, dass sie nicht wiederhergestellt werden können.
Gleiches gilt natürlich auch für physische Datenträger wie Festplatten. Die komplette und sichere Datenlöschung ist aber nicht trivial. Ein einfacher Löschbefehl reicht nicht aus, um sensible Daten endgültig zu entfernen. Auch das vollständige Formatieren einer Festplatte oder eines Datenträgers ist als sicheres Löschverfahren ungeeignet. Eine vollständige Löschung, die eine Wiederherstellung unmöglich macht, erzielt man nur durch mehrmaliges Überschreiben des Datenträgers mit unterschiedlichen Bitmustern. Diesen Ansatz verwenden beispielsweise die Datenlösch-Methode DoD 5220.22-M oder der Algorithmus BSI-VSITR des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Löschkonzept notwendig
Unternehmen sollten daher ein Löschkonzept erstellen, das sämtliche Aufbewahrungspflichten, Löschungsfristen und Löschverfahren enthält und folgende Fragen beantwortet: Wer muss wann welche Daten (Kundendaten, Mitarbeiterdaten etc.) löschen? Wo werden die Daten gespeichert (in welchen Anwendungen, Backups, Tabellen etc.)? Wie läuft die Löschung der Daten technisch ab? Die Kontrollbehörden achten bei den Prüfungen darauf, ob ein derartiges Löschkonzept vorliegt.
Dort ist auch geregelt, wie Firmen mit nicht mehr benötigten Altgeräten wie Notebooks oder PCs umgehen, die sie entweder entsorgen oder weiterverkaufen wollen. Diese dürfen nicht zu einem blinden Fleck in der Datenschutzstrategie von Unternehmen werden. Daher gilt: Firmen müssen die Informationen auf diesen Geräten sofort nach dem Ausmustern mit den oben beschriebenen Verfahren rechtskonform löschen, damit keine unternehmenskritischen oder personenbezogenen Daten in die Hände von Unbefugten gelangen.
Doch dies müssen Sie nicht selbst übernehmen. Sie können auch Dienstleister mit der Löschung Ihrer Daten betrauftagen. Die DELIT AG sorgt für die DSGVO-konforme Löschung gepaart mit einem sicheren Konzept zur Verarbeitung Ihrer Datenträger. Jeder Schritt von Transport zur Verarbeitung bis hin zur Löschung bzw. Zerstörung der Datenträger wird lückenlos dokumentiert und Ihnen zur Verfügung gestellt. Über unser Kundenportal haben Sie stets alle Dokumente zur Erfüllung Ihrer Pflichten zur Hand. So geht DSGVO-konforme Datensicherheit einfach.