• Strom: Korrektur beim Kalenderjahr
  • Gas: Seitwärts-Tendenzen
  • Gobaler Klimaschutz unzureichend
  • Fehlende Richter könnten Windkraftausbau bremsen
  • "An den heutigen Strukturen festzuhalten, würde uns viel Geld kosten"
  • Sicherungssysteme haben Blackout verhindert
  • In neun Schritten zur treibhausgasneutralen Verwaltung
  • Wie sage ich es meinem Kunden
  • Thüringer Versorger beteiligt sich an Internetdienstleister
  • Bundeswirtschaftsministerium nimmt Wärmewende ins Visier
Enerige & Management > Recht - RechtEck: Das DS-GVO Löschkonzept - Pflicht, nicht Kür
Bild: Fotolia.com, Stefan Welz
RECHT:
RechtEck: Das DS-GVO Löschkonzept - Pflicht, nicht Kür
Vielen Unternehmen fehlt noch ein Baustein der Datenschutz-Compliance: ein Löschkonzept. Was Unternehmen beachten müssen, erläutern Karina Appelmann, Jost Eder und Thomas Schmeding*.
 
Die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) sind eindeutig: Unternehmen müssen personenbezogene Daten löschen, wenn sie für die Zwecke, für die sie ursprünglich erhoben wurden, nicht mehr benötigt werden. Ein typischer Anwendungsfall für Energieversorger ist der Lieferantenwechsel eines Kunden. Spätestens mit Ablauf der gesetzlichen Aufbewahrungsfristen sind sämtliche personenbezogenen Daten des ehemaligen Kunden aus den IT-Systemen zu löschen, da diese für die Abwicklung der Belieferung nicht mehr benötigt werden.

Welche Daten müssen gelöscht werden?

Die Notwendigkeit zur Löschung bezieht sich auf alle personenbezogenen Daten von Kunden, aber auch Mitarbeitern (auch von Dienstleistern), die in IT-Systemen verarbeitet werden. Personenbezogen sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen − also Name, Anschrift, Telefonnummer und E-Mail-Adresse, darüber hinaus solche Informationen, die nur mittelbar Rückschluss auf eine Person zulassen, wie beispielsweise die Kundennummer und Verbrauchswerte, aber auch die Personalnummer der eigenen Mitarbeiterinnen und Mitarbeiter.

Wichtig ist, dass die Löschung regelmäßig durchgeführt wird. Unternehmen müssen nicht mehr benötigte personenbezogene Daten nicht nur ad hoc beispielsweise bei einem berechtigten Begehren löschen. Eine Löschung der betroffenen Daten (unter Beachtung der gesetzlichen Aufbewahrungsfristen) muss ein etablierter Prozess im Unternehmen sein. Dazu zählt auch die kontinuierliche Löschung der Buchungsbelege und Handels- oder Geschäftsbriefe aus einem Kundenverhältnis sowie der Arbeitszeiterfassungs- oder Gesundheitsdaten der Belegschaft.

Keine Löschung ohne Regel

Beim Löschen von personenbezogenen Daten stehen der Pflicht zur Löschung eine Vielzahl gesetzlicher Aufbewahrungspflichten gegenüber (zum Beispiel § 257 HGB, § 147 AO). Das Löschkonzept muss also sicherstellen, dass der Spagat zwischen der Umsetzung der Löschpflicht unter gleichzeitiger Beachtung der gesetzlichen Aufbewahrungspflichten gelingt. Der Aufbau und die Umsetzung eines Löschkonzepts sind durchaus komplex, da die DS-GVO keine, das Bundesdatenschutzgesetz und die einzelnen Fachgesetze kaum oder keine konkreten Lösch- und Sperrfristen vorgeben. Die Lösch- und Sperrfristen müssen daher häufig aus den allgemeinen gesetzlichen Vorschriften (zum Beispiel HGB, AO und BGB), spezifischen Rechtsvorschriften (zum Beispiel MsbG) oder aus dem allgemeinen Grundsatz der Speicherbegrenzung durch eine Prozessanalyse abgeleitet werden.

Bei der Erstellung des Löschkonzepts sind zwei Prinzipien maßgeblich: „Für jede Datenart genau eine Löschregel“ und „Keine Löschung ohne Regel“. Eine Löschregel definiert, welche Datenart zu welchem Zeitpunkt gelöscht wird. Hilfestellung für die Erstellung eines Löschkonzepts gibt die DIN 66398 (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten).

Was bedeutet löschen?

Gelöscht sind Daten dann, wenn sie derart irreversibel verändert werden, dass sie nach dem Löschvorgang weder verwendet noch rekonstruiert werden können. Die Verpflichtung zur Löschung kann auch durch eine Anonymisierung erfüllt werden.
Unternehmen, die die Pflicht zur Löschung nicht umsetzen, sehen sich potenziell hohen Bußgeldern ausgesetzt. Je nach Art und Schwere des Verstoßes sieht die DS-GVO Bußgelder von bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes vor. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte gegen den Immobilienkonzern Deutsche Wohnen SE 2019 ein Bußgeld in Höhe von 14,5 Mio. Euro, da dieser ein Archivsystem unterhielt, das eine Löschung personenbezogener Daten nicht vorsah und Daten seiner Mieter langfristig speicherte, ohne die Zulässigkeit und Erforderlichkeit der Speicherung zu prüfen.

Unter Berücksichtigung des von der DS-GVO vorgesehenen hohen Bußgeldrahmens ist Unternehmen dringend zu empfehlen, ein abteilungsübergreifendes Löschkonzept für das gesamte Unternehmen zu erstellen. Hilfestellung hierzu bieten die DIN 66398 sowie Erfahrungswerte in der Erstellung derartiger Konzepte, die in der Branche mittlerweile vorliegen. Es sollte nicht darauf gewartet werden, bis der einzelne IT-Anbieter die technische Umsetzung ermöglicht. Die Pflicht zur Erstellung des Löschkonzepts liegt bei den Unternehmen, und zwar bereits jetzt. Die technische Umsetzung ist der zweite, aber natürlich genauso wesentliche Schritt zur Herstellung der Datenschutz-Compliance in diesem wichtigen Bereich. E&M

*Karina Appelmann, Jost Eder, Thomas Schmeding, Rechtsanwälte, Becker Büttner Held, Berlin, Hamburg, München

 
Möchten Sie diese und weitere Nachrichten lesen?
 
 
Testen Sie E&M powernews
kostenlos und unverbindlich
  • Zwei Wochen kostenfreier Zugang
  • Zugang auf stündlich aktualisierte Nachrichten mit Prognose- und Marktdaten
  • + einmal täglich E&M daily
  • + zwei Ausgaben der Zeitung E&M
  • ohne automatische Verlängerung
 
Jetzt kostenlos testen
 
Login für Kunden
 

Kaufen Sie den Artikel
  • erhalten Sie sofort diesen redaktionellen Beitrag für nur € 8.93
 
JETZT ARTIKEL KAUFEN
Mehr zum Thema

 
Haben Sie Interesse an Content oder Mehrfachzugängen für Ihr Unternehmen?
 
Sprechen Sie uns an, wenn Sie Fragen zur Nutzung von E&M-Inhalten oder den verschiedenen Abonnement-Paketen haben.
Das E&M-Vertriebsteam freut sich unter Tel. 08152 / 93 11-77 oder unter  vertrieb@energie-und-management.de über Ihre Anfrage.
 
WEITERE INFORMATIONEN
© 2021 Energie & Management GmbH
Dienstag, 22.12.2020, 11:36 Uhr