DSGVO-Vorgaben: Daten komplett löschen und Bußgeld vermeiden

Die Datenschutzgrundverordnung (DSGVO) fordert in Artikel 17 die komplette Löschung nicht mehr benötigter, personenbezogener Daten. Ausrangierte Geräte und Datenträger werden daher zu einem Risiko für die Informationssicherheit, wenn sie nicht korrekt und rechtskonform gelöscht werden. Auch Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes drohen.

Die Verarbeitung von Daten umfasst viele Schritte. Daten werden erfasst, gespeichert, angepasst, verändert, analysiert, abgefragt – und an ihrem „Lebensende“ gelöscht. Unternehmen müssen daher Informationen auf Festplatten, USB-Sticks oder Geräten, die nicht mehr gebraucht werden, nachweisbar und rechtskonform löschen. Das gilt für firmenkritische Daten (Finanzdaten, Kundendaten, Software-Code etc.) und vor allem für sensible personenbezogene Daten. Erfüllen Firmen diese Pflicht nicht, drohen Bußgelder von bis zu vier Prozent des Jahresumsatzes.

Das DSGVO-Portal bietet eine Datenbank mit Bußgeldern, die Firmen und Behörden aus europäischen Ländern wegen Verstößen gegen die DSGVO bis dato bezahlen mussten. Der letzte Eintrag für eine Geldstrafe wegen der unzureichenden Löschung von Daten war am 08.12.2021 (siehe Screenshot). Ein belgisches Unternehmen muss 10.000 Euro bezahlen, weil es einer Löschanfrage nicht nachgekommen ist.

Screenshot DSGVO Portal

Noch zwei andere Beispiele: Die norwegische Aufsichtsbehörde verhängte 2020 gegen eine öffentliche Straßenverwaltung ein Bußgeld in Höhe von 394.000 Euro wegen fehlender Löschmechanismen. Sie hatte personenbezogenen Daten im Rahmen von Mautstellen erfasst und in dem 20 Jahre alten System nie gelöscht.

Spektakulär war 2019 ein Urteil gegen die Immobiliengesellschaft Deutsche Wohnen mit einem Bußgeldbescheid über 14,5 Millionen Euro. Die Firma hatte alte persönliche Daten von Mietern in einem Archiv gespeichert, ohne dass eine Löschmöglichkeit vorgesehen war. Das Urteil wurde im März 2021 vorläufig aufgehoben; die Verhandlung geht aber in die nächste Runde.

Maßgebend: Artikel 17 der DSGVO

Wann also müssen Unternehmen gespeicherte personenbezogene Daten wieder löschen? Maßgebend ist hier Artikel 17 der DSGVO, der die grundlegenden Bestimmungen für das Recht auf Löschung definiert. Demnach sind personenbezogene Daten unter anderem zu löschen, wenn

  • der Zweck für die vorherige Erhebung oder Verarbeitung der Daten wegfällt, sprich die Daten nicht mehr benötigt werden. Unternehmen dürfen also personenbezogene Daten grundsätzlich nur für vorher genau definierte, eindeutige und legitime Zwecke erheben und verarbeiten. Fällt dieser Zweck weg, sind die Daten zu löschen. Ein Beispiel dafür sind Bewerbungsunterlagen mit personenbezogenen Daten wie Name, Adresse, Qualifikation, Konfession etc. des Bewerbers oder der Bewerberin. Sollte sich das Unternehmen gegen die Einstellung des Bewerbers entscheiden, ist der Bewerbungsprozess beendet. Da der Zweck der Datenverarbeitung ab diesem Zeitpunkt erfüllt ist, sind die Daten zu löschen.
  • der Betroffene die Einwilligung für die Erhebung der Daten widerruft. Grenzen setzen hier etwa die Mindestaufbewahrungsfristen im Steuerrecht. Personenbezogene Daten dürfen erst dann gelöscht werden, wenn diese Fristen abgelaufen sind. Auch der Punktestand in der „Verkehrssünderkartei“ in Flensburg wird erst nach Verjährung gelöscht.
  • der Betroffene der Datenverarbeitung widersprochen hat und keine vorrangigen Gründe dazu berechtigen, die personenbezogenen Daten weiterhin zu nutzen (z. B. bei Daten von Kindern, die bei Internetangeboten erhoben wurden).
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden
  • es darum geht, eine rechtliche Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zu erfüllen, dem das Unternehmen unterliegt.

Technische Umsetzung: Daten richtig löschen

Die DSGVO schreibt zwar vor, personenbezogene Daten zu löschen, empfiehlt aber kein bestimmtes Verfahren oder Vorgehen. Grundsätzlich müssen Firmen aber auch bei der Datenvernichtung wichtige Standards einhalten. Es genügt also nicht, ausgedruckte Unterlagen einfach in den Müll zu werfen. Die Daten müssen so vernichtet und geschreddert werden, dass sie nicht wiederhergestellt werden können.

Gleiches gilt natürlich auch für physische Datenträger wie Festplatten. Die komplette und sichere Datenlöschung ist aber nicht trivial. Ein einfacher Löschbefehl reicht nicht aus, um sensible Daten endgültig zu entfernen. Auch das vollständige Formatieren einer Festplatte oder eines Datenträgers ist als sicheres Löschverfahren ungeeignet. Eine vollständige Löschung, die eine Wiederherstellung unmöglich macht, erzielt man nur durch mehrmaliges Überschreiben des Datenträgers mit unterschiedlichen Bitmustern. Diesen Ansatz verwenden beispielsweise die Datenlösch-Methode DoD 5220.22-M oder der Algorithmus BSI-VSITR des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Löschkonzept notwendig

Unternehmen sollten daher ein Löschkonzept erstellen, das sämtliche Aufbewahrungspflichten, Löschungsfristen und Löschverfahren enthält und folgende Fragen beantwortet: Wer muss wann welche Daten (Kundendaten, Mitarbeiterdaten etc.) löschen? Wo werden die Daten gespeichert (in welchen Anwendungen, Backups, Tabellen etc.)? Wie läuft die Löschung der Daten technisch ab? Die Kontrollbehörden achten bei den Prüfungen darauf, ob ein derartiges Löschkonzept vorliegt.

Dort ist auch geregelt, wie Firmen mit nicht mehr benötigten Altgeräten wie Notebooks oder PCs umgehen, die sie entweder entsorgen oder weiterverkaufen wollen. Diese dürfen nicht zu einem blinden Fleck in der Datenschutzstrategie von Unternehmen werden. Daher gilt: Firmen müssen die Informationen auf diesen Geräten sofort nach dem Ausmustern mit den oben beschriebenen Verfahren rechtskonform löschen, damit keine unternehmenskritischen oder personenbezogenen Daten in die Hände von Unbefugten gelangen.

Doch dies müssen Sie nicht selbst übernehmen. Sie können auch Dienstleister mit der Löschung Ihrer Daten  betrauftagen. Die DELIT AG sorgt für die DSGVO-konforme Löschung gepaart mit einem sicheren Konzept zur Verarbeitung Ihrer Datenträger. Jeder Schritt von Transport zur Verarbeitung bis hin zur Löschung bzw. Zerstörung der Datenträger wird lückenlos dokumentiert und Ihnen zur Verfügung gestellt. Über unser Kundenportal haben Sie stets alle Dokumente zur Erfüllung Ihrer Pflichten zur Hand. So geht DSGVO-konforme Datensicherheit einfach.

Cookie-Einstellungen
Diese Website verwendet Cookies. Diese werden für den Betrieb der Website benötigt oder helfen uns dabei, die Website zu verbessern.
Alle Cookies zulassen
Auswahl zulassen
Individuelle Einstellungen
Individuelle Einstellungen
Dies ist eine Übersicht aller Cookies, die auf der Website verwendet werden. Sie haben die Möglichkeit, individuelle Cookie-Einstellungen vorzunehmen. Geben Sie einzelnen Cookies oder ganzen Gruppen Ihre Einwilligung. Essentielle Cookies lassen sich nicht deaktivieren.
Speichern
Abbrechen
Essenziell (1)
Essenzielle Cookies werden für die grundlegende Funktionalität der Website benötigt.
Cookies anzeigen
Statistik (1)
Statistik Cookies tracken den Nutzer und das dazugehörige Surfverhalten um die Nutzererfahrung zu verbessern.
Cookies anzeigen
Marketing (0)
Wir verwenden Marketing-Cookies um unsere digitalen Werbemaßnahmen effizient steuern zu können.
Cookies anzeigen
Funktional (0)
Cookies die uns helfen bestimmte Funktionen unserer Website bereitzustellen. Zum Beispiel einen Livechat.
Cookies anzeigen