Das Löschen oder Vernichten von Daten und Papierakten stellt für viele Mitarbeiter per se eine Herausforderung dar. Zu tief sitzt die Sorge, dass die betroffenen Informationen in einer zukünftigen Situation noch irgendwie notwendig sein könnten. Aber seien wir ehrlich: meist lagern diese Daten für ewige Zeiten in tiefen Ordnerstrukturen, sei es digital oder analog.
Löschen von temporären Informationen
Bei allen von uns sammeln sich über das Jahr verschiedenste Informationen an: Gesprächsnotizen, Handzettel, Mitschriften und viele weitere Formate, die in der Regel keiner Aufbewahrungspflicht unterliegen und nur zur Unterstützung zurückliegender Aufgaben notwendig waren.
Diese Daten können befreit gelöscht werden. Es macht Sinn, die Beschäftigten zu diesem Schritt zu motivieren, denn für das Löschen ist irgendwie nie Zeit. Sind Sie für die Qualität oder den Datenschutz im Unternehmen verantwortlich, sensibilisieren Sie die Beschäftigten dafür, ihre Dateiablagen gezielt nach diesen Datenarten zu durchforsten. Gerade der Jahresanfang eignet sich dazu, die Löschpflicht in das Zentrum der Aufmerksamkeit zu setzen.
Das Löschen ist aber nicht nur eine Kür, es bedeutet auch einen gesetzlichen Auftrag einzuhalten.
Das Recht auf Vergessenwerden
Das Recht auf Vergessenwerden findet sich in der Datenschutzgrundverordnung (DSGVO) zum einen in den Grundsätzen, den Maximen und damit an oberster Stelle. Das Recht auf Vergessenwerden gibt uns vor, personenbezogene Daten nur so lange zu speichern, wie ein berechtigter Zweck einer Speicherung nicht entgegenspricht. Die sogenannte Speicherbegrenzug in Artikel 5 Abs.1 lit.e DSGVO besagt:
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist..."
Daneben werden in Artikel 17 DSGVO neben den Gründen, die zu einer Löschung verpflichten, auch die Ausnahmen, die einer Löschung entgegenstehen, detaillierter ausgelegt.
Ausnahmen zur Löschpflicht
Der prominenteste Grund Daten länger aufzubewahren sind bestehende Aufbewahrungspflichten, die sich aus anderen Gesetzen, beispielsweise dem Handels- und Steuerrecht (Abgabenordnung / Handelsgesetzbuch) ergeben. Damit ergibt sich ein Strauß an unterschiedlichen Löschfristen, die zur Umsetzung einer strukturierten Übersicht bedürfen. Diese Übersicht könnte zu einem großen Teil bereits im Verzeichnis von Verarbeitungstätigkeiten enthalten sein.
Das Verzeichnis von Verarbeitungstätigkeiten (VVT)
Über das VVT werden Prozesse abgebildet, in denen durch die Organisation personenbezogene Daten verarbeitet werden, wie beispielsweise im Bewerbungsmanagement. Über die Auflistung im VVT ergibt sich eine transparente Übersicht dieser Abläufe.
Wir empfehlen das VVT über eine Excelliste aufzubauen. Jede Zeile beschreibt einen internen Ablauf, jede Spalte eine der in Art.30 Abs.1 lit.a–g DSGVO genannten Angaben. Art.30 Abs.1 lit.f DSGVO fordert die Auflistung von Fristen für die Löschung der aufgeführten Datenkategorien. Würden wir beim Bewerbungsmanagement bleiben, kann dem Ablauf und der darin enthaltenen Datenkategorie "Bewerbungsunterlagen" das Löschdatum "6 Monate nach Auswahl" zugeordnet werden.
Selbstverständlich können Sie in der Übersicht auch Abläufe aufführen, die keine personenbezogenen Daten enthalten, aber deren Datenkategorien einer Löschfrist unterliegen. Über das Format Excel können Sie nach beliebigen Kriterien filtern und erhalten darüber eine Auflistung von zugehörigen Fristen. Beispielsweise könnte nach der Abteilung „Personal“ gefiltert werden. Sie erhalten damit eine Übersicht der abteilungsrelevanten Löschfristen und können diese mit dem Löschauftrag zur Verfügung stellen.
Welche Frist welcher Datenkategorie zugeordnet werden kann, findet sich in diversen Übersichten, beispielsweise hier.
Regelmäßige Erinnerung
Es macht Sinn, die Belegschaft auf die Löschpflicht in regelmäßigen Abständen aufmerksam zu machen. Über eine interne Rundmail können Mitarbeiter motiviert werden, dass VVT und damit die Löschung von Informationen zu prüfen und bei Bedarf anzuwenden.
Je weniger Hürden dabei zu überwinden sind, desto eher wird der Auftrag pflichtbewusst umgesetzt werden. Deshalb wäre eine Empfehlung, die Abteilungen einzeln anzuschreiben und den gefilterten Auszug des VVT beizulegen. Über halbjährliche Erinnerungen z.B. per Serientermin gerät die Aufgabe nicht in Vergessenheit.
Schutzmechanismus im Angriffsfall
Wurden Daten im Rahmen des Löschkonzeptes gelöscht, kann von diesen kein Risiko mehr ausgehen. Technische und organisatorische Sicherheitsmaßnahmen sind überflüssig. Im Falle eines Cyberangriffs besteht keine Gefahr, dass diese Daten in Hände Dritter gelangen oder gar veröffentlicht werden.
Dokumentation der Anforderung und der Vorgehensweise
In Ihrer Organisation wurde eine Entscheidung getroffen, nach welchen Regeln die Löschpflichten umgesetzt werden. Diese Regeln sollten in einem zentralen Dokument festgehalten und gegenüber der Belegschaft veröffentlicht werden. Damit garantieren Sie eine richtige und einheitliche Vorgehensweise.
In der angesprochenen E-Mail sollte sich neben dem gefilterten VVT-Auszug auch ein Verweis auf diese Richtlinie befinden
Die Umsetzung der Löschpflicht bedeutet nicht nur die Einhaltung von gesetzlichen Anforderungen an das Recht auf Vergessenwerden. Sie sorgt auch für integrere und übersichtlichere Datenbestände und damit auch Fehler in der täglichen Arbeit zu vermeiden.