PRIMA // BLOG

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur solange, wie die Verarbeitung für diesen Zweck erforderlich ist. Danach müssen personenbezogene Daten gelöscht werden. Lesen Sie hier, welche Maßnahmen Sie treffen sollten, um diese Pflicht zu erfüllen.

So lange darf man personenbezogene Daten speichern

Personenbezogene Daten dürfen nur verarbeitet werden, wenn man dafür eine Rechtfertigung hat. Rechtfertigungstatbestände ergeben sich vor allem aus der DSGVO und dem BDSG, können sich aber auch aus anderen Rechtsnormen wie Betriebsvereinbarungen oder Tarifverträgen ergeben.

Bevor man personenbezogene Daten erhebt, muss man sicherstellen, dass eine Rechtfertigung vorliegt, z.B. weil die Betroffenen eine Einwilligung erklärt haben oder die Verarbeitung für die Erfüllung gesetzlicher oder vertraglicher Pflichten erforderlich ist. Man darf personenbezogenen Daten dann verarbeiten, bis dieser Zweck erreicht ist. Wenn etwa Adressdaten verarbeitet werden, um eine Bestellung auszuliefern, wäre dieser Zweck erfüllt, wenn die Bestellung ausgeliefert ist.

Wann muss man personenbezogene Daten Löschen?

Wenn der Zweck einer Datenverarbeitung erreicht ist, müssen personenbezogene Daten eigentlich gelöscht werden. Es gibt aber oft Gründe, das nicht direkt zu tun. Es kann nämlich sein, dass neue Rechtfertigungstatbestände eingreifen und sich aus einem geänderten Zweck eine neue Rechtfertigung ergibt. Wenn man etwa Adressdaten für eine Bestellung erhoben hat und die Empfänger sich bei der Bestellung für Infopost des Unternehmens angemeldet haben, darf das Unternehmen nach der Auslieferung Adressdaten auch zur Versendung der Infopost verwenden.

Wenn es keinen Zweck mehr zur Verarbeitung personenbezogener Daten gibt, sollte man vor der Löschung immer prüfen, ob es Pflichten oder Rechte zur Aufbewahrung gibt. Das ist sehr häufig der Fall. Dann kann eine Aufbewahrung vor der Löschung gerechtfertigt oder sogar erforderlich sein. Typische Aufbewahrungsfristen ergeben sich aus gesetzlichen Verjährungsfristen oder den steuer- und handelsrechtlichen Aufbewahrungspflichten.

Für das Beispiel der Verarbeitung personenbezogener Daten zur Auslieferung einer Bestellung ist es zulässig, diese bis zum Ablauf der gesetzlichen Verjährungsfrist von drei Jahren ab dem Ende des Kalenderjahres aufzubewahren, nämlich für den Fall, dass es im Zusammenhang mit der Bestellung zu einer rechtlichen Auseinandersetzung kommt. Wenn im Zusammenhang mit der Bestellung Handels- oder Geschäftsbriefe versendet wurden, müssen diese 6 Jahre aufbewahrt werden.

Wenn keine Rechtfertigung mehr besteht und Aufbewahrungsfristen abgelaufen sind, müssen personenbezogene gelöscht werden.

​Hier gibt es eine Übersicht der Löschfristen für HR Daten.

Pflicht zur Erstellung eines Löschkonzepts

Aus Art. 5 Abs. 2 DSGVO ergibt sich faktisch eine Pflicht zur Erstellung eines Löschkonzepts.

Die Pflicht zu Löschung von personenbezogenen Daten ergibt sich aus dem Betroffenenrecht in Art. 17 DSGVO und aus dem Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten müssen wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO nachgewiesen werden können. Das erfordert praktisch, dass Verantwortliche eine Dokumentation vorhalten, aus der sich IT-Systeme, enthaltene personenbezogene Daten, Verarbeitungszwecke, Aufbewahrungs- und Löschfristen und einen Nachweis der Löschung ergeben. In anderen Worten: ein Löschkonzept.

Wie erstellt man ein Löschkonzept?

Für die Erstellung des Löschkonzepts erstellt man eine Übersicht der IT-Systeme und Prozesse zur Verarbeitung personenbezogener Daten. Diese Übersicht ergänzt man um die konkret betroffenen personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten in diesen IT-Systemen und Prozessen. Für die personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten legt man dann möglichst konkret fest, wie lange es Zwecke gibt, diese Daten zu verarbeiten (Vorhaltefrist) und wie lange die personenbezogenen Daten nach der Zweckerfüllung aufbewahrt werden dürfen oder müssen (Aufbewahrungspflicht).

​Hier geht es zum Download von unserem Muster.

Was passiert, wenn man personenbezogene Daten zu spät oder gar nicht löscht?  

Der Verstoß gegen Art. 17 DSGVO oder den Grundsatz der Speicherbegrenzung ist bußgeldbewehrt und kann zu Bußgeldern in Höhe von bis zu 20 Millionen EUR oder 4% des Unternehmensumsatzes führen. Für den Verstoß gegen Löschpflichten wurde 2019 von der Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die die „Deutsche Wohnen“ das bisher höchste Datenschutz-Bußgeld in Deutschland in Höhe von 14 Millionen EUR verhängt. Der Bußgeldbescheid ist nicht rechtskräftig. Die Rechtmäßigkeit wird noch gerichtliche geklärt.

Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs. 1

Das Verzeichnis von Verarbeitungstätigkeiten ist die datenschutzrechtliche Prozessdokumentation des Verantwortlichen. Es macht Sinn, sich bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten etwas Zeit zu nehmen und ein intelligentes System zu schaffen, das die Unternehmensprozesse in angemessener Detailtiefe abbildet, um über die Erfüllung von Dokumentationspflichten hinaus eine sinnvolle Grundlage für die weitere Datenschutz-Organisation und -Dokumentation zu schaffen. Ein gutes Verzeichnis von Verarbeitungstätigkeiten erfasst wie ein Netz alle Unternehmensprozesse und enthält Informationen, die so komprimiert sind, dass sich das Verzeichnis von Verarbeitungstätigkeiten mit vertretbarem Aufwand aktuell halten lässt.

Was ist eine Verarbeitungstätigkeit? Beispiele inklusive

Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist eine gesetzliche Pflicht, die sich aus Art. 30 Abs. 1 DSGVO ergibt. Das Verzeichnis von Verarbeitungstätigkeiten besteht aus der Dokumentation einzelner Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Prozesse, also eine Abfolge von einzelnen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Wie viele Einzeltätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden, kann relativ frei definiert werden. Es ist also möglich, Prozesse zu einer großen Verarbeitungstätigkeit zusammen zu fassen oder getrennt abzubilden. Das klassische Beispiel einer Verarbeitungstätigkeit ist die Personaldatenverarbeitung – aber dazu unten mehr.

Wer braucht ein Verfahrensverzeichnis?

Grundsätzlich muss jeder Verantwortliche ein Verzeichnis der Verarbeitungstätigkeiten führen, also jedes Unternehmen und jede Behörde. Es gibt Ausnahmen von der Dokumentationspflicht für kleine Unternehmen mit weniger als 250 Beschäftigten, die aber mit Vorsicht zu genießen sind und im Ergebnis nur selten relevant werden. Denn es gibt Rückausnahmen, also Fälle, in denen auch diese kleinen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen müssen, nämlich wenn kleine Unternehmen

• regelmäßige Verarbeitungen durchführen, die ein Risiko für Rechte und Freiheiten der Betroffenen bedeuten (das ist öfter der Fall, als man es vermuten könnte);
• Verarbeitungen besonderer Datenkategorien (z.B. von Gesundheitsdaten) durchführen (auch das ist in den meisten Unternehmen der Fall);
• Verarbeitungen über strafrechtliche Verurteilungen und Straftaten durchführen (das dürfte selten der Fall sein).

Im Ergebnis sind also praktisch alle Unternehmen und Behörden verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Selbst wenn das einmal nicht der Fall sein sollte, sind sie zur Einhaltung des Datenschutzrechts verpflichtet und müssen das wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO auch dokumentieren. Jedenfalls dafür macht es Sinn, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, weil es die übliche Dokumentation ist, die eine Datenschutzbehörde kennt und erwartet.

Wer erstellt das Verfahrensverzeichnis?

Die Pflicht zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten liegt bei dem Verantwortlichen, also der natürlichen oder juristischen Person, die ein Unternehmen führt bzw. bei einer Behörde. Nach der internen Organisation muss das Management oder die Behördenleitung sicherstellen, dass ein Verzeichnis von Verarbeitungstätigkeiten erstellt wird. Diese Personen dürfen die Erstellung natürlich delegieren. Das macht Sinn und ist gängige Praxis. Management bzw. Behördenleitung müssen dann nur noch kontrollieren bzw. sich berichten lassen, dass ein Verzeichnis der Verarbeitungstätigkeiten erstellt ist und regelmäßig gepflegt wird.

In der Praxis wird die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten häufig an Datenschutzbeauftragte oder eine Datenschutzabteilung delegiert. Diese koordinieren die Erstellung, indem sie das entsprechende Dokument anlegen und die Informationsbeschaffung durch die Fachabteilungen anstoßen, indem diese zu Interviews eingeladen werden, in Fragebögen Informationen zuliefern oder direkt in das Dokument einpflegen. Für diesen Prozess macht Softwareunterstützung natürlich Sinn, um Informationen effizient zusammen zu tragen und zu konsolidieren.

Was gehört in ein Verfahrensverzeichnis?

Die Inhalte des Verzeichnisses der Verarbeitungstätigkeiten ergeben sich aus Art. 30 Abs. 1 DSGVO. Es sind:

• Name und die Kontaktdaten des Verantwortlichen;
• die Zwecke der Verarbeitung;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
• die Kategorien von Empfängern, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
• Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
• Fristen für die Löschung;
• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Je nachdem, wie man das Verzeichnis der Verarbeitungstätigkeiten für die Datenschutz-Organisation und -Dokumentation nutzt, ist es zweckmäßig, weitere Informationen dort zu sammeln, wie

• eingesetzte IT-Infrastruktur
• eingesetzte Software
  
• Ergebnis der Prüfung, ob eine Datenschutzfolgenabschätzung erfolgen muss
  
• etc.

Gibt es „Standardverfahren“?

Es gibt „Standardverfahren“, die für alle oder die meisten Verantwortlichen eine Rolle spielen. Das sind z.B. Verfahren zur Verarbeitung von Kundendaten, zur Buchhaltung oder zum Betrieb einer Webseite. DER Klassiker der Verarbeitungstätigkeiten ist natürlich die Personaldatenverarbeitung. Sie ist in praktisch jedem Unternehmen und in jeder Behörde zu finden. In kleineren Unternehmen mit wenig Personal und wenig Aktivität und Komplexität, kann es sinnvoll sein, eine Verarbeitungstätigkeit „Personaldatenverarbeitung“ zu definieren und im Verzeichnis der Verarbeitungstätigkeiten abzubilden. In größeren Unternehmen mit komplexeren Personalprozessen hingegen ist es sinnvoll, das Thema zu splitten und getrennt abzubilden, etwa in Verarbeitungstätigkeiten für „Recruiting“, „Payroll“, „Personalentwicklung“, etc.

In vielen Fällen lässt sich eine sinnvolle Dokumentation mit ca. 15 Verarbeitungstätigkeiten abbilden. Deutlich mehr oder deutlich weniger Verarbeitungstätigkeiten können ein Indiz für eine zu komplexe bzw. zu wenig detaillierte Dokumentation sein.

Sinnvolle Standardverfahren für euer Verzeichnis der Verarbeitungstätigkeiten findet ihr in unserer kostenlosen Vorlage.

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Muster für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten enthalten die Pflichtangaben gemäß Art. 30 Abs. 1 DSGVO (siehe oben). Gute Muster enthalten darüber hinaus weitere Angaben, die für eine sinnvolle Datenschutz-Organisation und -Dokumentation benötigt werden.

​Hier geht’s zum Download von unserem Muster.

Die DSGVO schreibt vor, dass bei der Verarbeitung von personenbezogenen Daten bestimmte Maßnahmen zu deren Schutz getroffen werden - auch technisch organisatorische Maßnahmen (TOM) genannt. Diese Maßnahmen sollen sicherstellen, dass insbesondere die Integrität und Vertraulichkeit von personenbezogenen Daten gewahrt werden und die Verarbeitung sicher ist.

Welche Bedeutung haben TOMs?

Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, technische und organisatorischer Maßnahmen zum Schutz der Daten und zur Einhaltung des Datenschutzrechts zu implementieren. Dazu gehören Maßnahmen wie:

• Anonymisierung und Verschlüsselung von Daten.
• Sicherstellung der Integrität und Verfügbarkeit von Daten und zugehörigen Systemen.
• Kontinuierliche Überwachung und Bewertung der implementierten Maßnahmen.
  

Ziele der TOMs im Datenschutz

Ziel der TOMs ist es, nach den aktuellen technologischen Entwicklungen einen angemessenen Datenschutz zu gewährleisten. Bei der Umsetzung der TOM sollte daher eine gründliche Risikobewertung erfolgen, damit dem Risiko angemessene Maßnahmen getroffen werden können. Wenn etwa ein Server oder Netzwerklaufwerk ausfällt muss es möglich sein, die Daten aus Back-ups wieder herstellen zu können.

TOMs im Unternehmenskontext

Mit der DSGVO steigen die Anforderungen an Unternehmen im Bereich des Datenschutzes. Es besteht die Pflicht, alle umgesetzten Schutzmaßnahmen ordnungsgemäß zu dokumentieren. Bei Nichteinhaltung können Unternehmen mit empfindlichen Geldstrafen rechnen.

​Jetzt PRIMA entdecken​

​

Wie lässt sich der Datenschutz durch TOMs verbessern?

• Zutrittskontrolle: Verhindern den unkontrollierten Zugang zu Orten, in denen sich IT-Systemen befinden.
• Zugangskontrolle: Stellt sicher, dass nachvollzogen werden kann, wer Zugang zu IT-Systemen hatte.
• Zugriffskontrolle: Beschränkter stellt sicher, dass nur für autorisierte Personen auf personenbezogene Daten zugreifen können.
• Weitergabekontrolle: Schutz der Daten während der Übertragung.
• Eingabekontrolle: Stellt sicher, dass jeder Dateneingabe nachvollzogen werden kann.
• Auftragskontrolle: Stellt sicher, dass Auftragnehmer nur in kontrollierter Weise mit personenbezogenen Daten umgehen.
• Verfügbarkeitskontrolle: Stellt sicher, dass personenbezogene Daten verfügbar sind und nicht bei IT-Fehlern nicht dauerhaft verloren gehen.
• Trennungsgebot: Stellt sicher, dass personenbezogenen Daten für verschiedene Zwecke getrennt verarbeitet werden.
  

Welche konkreten Maßnahmen für Ihr Unternehmen erforderlich sind, sollte unbedingt anhand einer individuellen Risikoanalyse bestimmt werden.

Die Datenschutz-Folgenabschätzung (DSFA) ist das zentrale und verpflichtende Instrument zur Risikobewertung von Datenverarbeitungsvorgängen. Mit der DSFA sollen datenschutzrechtliche Gefahren frühzeitig zu erkennen und angemessene Maßnahmen zu ihrer Verringerung getroffen werden.

Was ist eine Datenschutz-Folgenabschätzung?

Die DSFA ist die zentrale Maßnahme des risikobasierten Ansatzes der DSGVO. Unternehmen müssen für jede Verarbeitung personenbezogener Daten prüfen, ob diese hohe Risiken für die Rechte und Freiheiten der Betroffenen hat. Für Verfahren, bei denen das der Fall ist, wird dann die eigentliche DSFA durchgeführt; eine detaillierte Beschreibung und Bewertung der datenschutzrechtlichen Risiken. Das Hauptziel der DSFA ist es, besondere Risiken für die Rechte und Freiheiten von Betroffenen zu bewerten und angemessene Schutzmaßnahmen zu treffen.

Wann ist eine DSFA durchzuführen?

Die DSGVO sieht vor, dass eine DSFA immer dann durchgeführt werden muss, wenn Datenverarbeitungsprozesse, insbesondere unter Einsatz neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten von Personen bedeuten. Artikel 35 DSGVO enthält zudem Regelbeispiele, die die Durchführung einer DSFA verpflichtend machen, wie zum Beispiel die systematische und umfassende Bewertung persönlicher Aspekte oder die Verarbeitung besonderer Datenkategorien. Zudem haben Aufsichtsbehörden sogenannte Positivlisten veröffentlicht, die Verarbeitungsvorgänge enthalten, für die eine DSFA zwingend erforderlich ist.

Wie führt man eine DSFA durch?

Für die richtige Umsetzung gesetzlicher Anforderungen zur Durchführung einer DSFA ist es von entscheidender Bedeutung, Datenverarbeitungsvorgänge, die potenzielle Gefahren bergen, zu identifizieren und dann gründlich zu prüfen. Die DSGVO legt Mindestanforderungen für den Inhalt einer DSFA fest. Dazu gehören eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit sowie eine Risikobewertung für die betroffenen Personen. Darüber hinaus müssen Unternehmen Maßnahmen zur Risikominderung und zur Gewährleistung des Datenschutzes festlegen und den Rat des Datenschutzbeauftragten einholen. Wenn nach der DSFA immer noch ein hohes Risiko besteht, muss sogar eine Konsultation der Datenschutzbehörde erfolgen.

Fazit

Die DSFA ist ein gesetzliche Pflicht und ein essenzielles Instrument, um datenschutzrechtliche Risiken bei der Einführung neuer Prozesse oder Technologien in Unternehmen zu bewerten und zu mindern. Das dient zum einen dem Schutz der Betroffenen, aber auch dem Schutz Ihres Unternehmens. Insbesondere in Zeiten der Digitalisierung und der Einführung neuer Technologien ist es für Unternehmen unerlässlich, sich mit den potenziellen Risiken und den notwendigen Schutzmaßnahmen auseinanderzusetzen.