Am 25. Mai 2018 tritt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft. Ab diesem Zeitpunkt sind die neuen Bestimmungen für Unternehmen und öffentliche Einrichtungen in Deutschland bindend. Mit der Verordnung wird das Datenschutz-Niveau in der EU auf eine einheitliche Grundlage gestellt. Das macht es für Unternehmen einfacher, mit Kunden oder Partnern in anderen EU-Staaten zusammenzuarbeiten.

Zentrale Passagen der DSGVO betreffen das Speichern und Löschen von personenbezogenen Daten. In Artikel 13 ist beispielsweise festgelegt, dass Unternehmen diejenigen Personen, deren Daten sie verarbeiten, umfassend darüber informieren, zu welchem Zweck und wie lange sie welche Informationen speichern.

Löschen in Artikel 17 geregelt

Artikel 17 der Verordnung enthält Vorgaben, wann personenbezogene Informationen zu löschen sind. Das ist laut Artikel 17, Absatz 1 dann der Fall, wenn

• die Speicherung aus fachlichen Gründen nicht mehr notwendig ist,

• ein Betroffener seine Einwilligung zurückzieht, dass die Daten verarbeitet werden dürfen,

• ein Unternehmen oder eine öffentliche Einrichtung solche Informationen unrechtmäßig verarbeitet oder

• die Löschung "zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich" ist.

Dieses "Recht auf Vergessenwerden" schließt die Verpflichtung mit ein, auf Wunsch eines Betroffenen dessen Daten zu löschen. Zudem müssen Unternehmen nachweisen, dass sie die Vorgaben des Artikels 17 in der Praxis umsetzen. Ein solches "Vergessenwerden" können beispielswese Empfänger von Online-Newslettern einfordern, wenn sie diese nicht mehr beziehen möchten. Unternehmen, die sich darüber hinwegsetzen oder gar die Daten der entsprechenden Personen an Dritte weitergeben, müssen mit empfindlichen Strafen rechnen.

Auch Bewerbungsunterlagen und Informationen über Mitarbeiter dürfen nicht unendlich lange gespeichert werden. Bei Bewerbungsdaten gilt beispielsweise eine Frist von drei Monaten. Will ein Arbeitgeber diese Informationen länger aufheben, muss der Bewerber seine Zustimmung geben. Bei Daten von Mitarbeitern gilt, dass die Speicherung aus betrieblichen Gründen erforderlich sein muss. Bei Lohn- und Gehaltsabrechnungen gilt beispielsweise eine Aufbewahrungspflicht von zehn Jahren. Wichtig ist zudem, dass auch Links zu personenbezogenen Daten sowie Kopien solcher Unterlagen gelöscht werden.

Problem: Viele Applikationen und IT-Systeme im Spiel

Um eine Aufforderung oder Pflicht zum Löschen von Daten umzusetzen, ist ein "Löschkonzept" erforderlich. Im ersten Schritt sollten IT-Abteilungen und Datenschutzbeauftragte dazu ermitteln, welche IT-Systeme und Anwendungen personenbezogene Daten verarbeiten und wo sich solche Informationen befinden. Das ist leichter gesagt als getan. Denn solche Informationen können auf einer Vielzahl von Systemen liegen, etwa Datenbanken- und Datei-Servern oder Backup-Systemen.

Zu berücksichtigen ist zudem, dass sensible Datenbestände nicht nur im Unternehmensrechenzentrum gespeichert werden. Aus Sicherheitsgründen gehen Firmen beispielsweise dazu über, Backup-Dateien und komplette Server in eine Cloud-Umgebung oder ein zweites Datacenter zu "spiegeln".

Eine Bestandsaufnahme muss zudem alle Applikationen erfassen, mit denen personenbezogene Daten bearbeitet werden. Und davon gibt es eine ganze Menge: Datenbankprogramme, CRM-Software (Customer Relationship Management), Archiv-Software, Big-Data-Lösungen sowie E-Mail- und Office-Anwendungen. Hinzu kommen spezielle Programmpakete, etwa für die Personalabteilung.

Bei dieser Bestandaufnahme können externe Fachleute Hilfestellung leisten, etwa von Systemhäusern wie Bechtle. Das entlastet die hauseigene IT-Abteilung.

[Zwischentitel] Bei Herstellern von Software nachfragen

Im zweiten Schritt ist es angebracht, bei den Anbietern der Software-Pakete nachzufragen, welche Lösungen sie für ein gesetzeskonformes Löschen von personenbezogenen Daten anbieten beziehungsweise in ihre Produkte integrieren wollen. Denn dass solche Funktionen in einer Applikation vorhanden sind, ist alles andere als selbstverständlich.

Manche Anbieter, wie etwa SAP, stellen für das Verwalten und Löschen von Daten spezielle Module bereit. Bei SAP ist dies das SAP Information Lifecycle Management (ILM). Außerdem stehen Datenlösch-Applikationen von Drittanbietern zur Verfügung, etwa von Blancco. Sie haben Schnittstellen zu gängigen ERP-Systemen und Datenbanken.

Je nachdem, wie die IT-Landschaft eines Unternehmens strukturiert ist, kann trotzdem auf die IT-Abteilung und Datenschutz-Experten jede Menge Handarbeit zukommen. Das ist dann der Fall, wenn keine Werkzeuge vorhanden sind, mit denen sich das Löschen sensibler Daten automatisieren lässt. Speziell für mittelständische Unternehmen mit kleineren IT-Abteilungen kann das ein Problem darstellen.

Löschkonzept ist ein "Muss"

Allerdings wäre es nach Praxiserfahrungen von Bechtle fahrlässig, das Thema "Datenlöschen" außen vor zu lassen. Denn es ist absehbar, dass in Kürze im Rahmen von Prüfungen und Audits auch die Vorkehrungen für normgerechte Löschen personenbezogener Daten auf den Prüfstand kommen. Daher ist es ratsam, schnellstmöglich mit den Arbeiten an einem Datenlöschkonzept zu beginnen.

Der Ausgangspunkt sind die Prozesse, in deren Rahmen personenbezogene Daten verarbeitet werden. Dies schließt das Speichern und Archivieren mit ein. Hilfreich ist, wenn anhand von Beispielen durchgespielt wird, welche personenbezogenen Informationen für welchen Zweck gespeichert werden. Ein solcher Zweck ist das Geltendmachen von Ansprüchen, die sich aus einem Arbeitsverhältnis ergeben. Solange ein Mitarbeiter in einem Unternehmen tätig ist, müssen beispielsweise der Arbeitsvertrag und Daten zur Sozialversicherung gespeichert werden.

Anschließend sollten die Daten in Gruppen zusammengefasst werden, etwa auf Basis der Aufbewahrungsfristen. Daraus ergeben sich mehrere Lösch-Kategorien sowie Regeln, etwa wann bestimmte Daten gelöscht werden müssen. Bei der Definition dieser Kategorien und "Policies" ist besondere Sorgfalt angesagt. Denn weder dürfen Informationen vorzeitig gelöscht werden, noch ist es akzeptabel, dass Datensätze widerrechtlich zu lange aufbewahrt werden.

Löschen protokollieren

Im Idealfall lassen sich Löschvorgänge automatisieren. Dies reduziert den Aufwand für die IT-Abteilung. Wichtig ist zudem, dass Löschaktionen protokolliert werden. Dadurch wird transparent, dass Datensätze entfernt wurden und wann das erfolgte. Dies ist als "Beweismittel" wichtig, etwa dann, wenn eine Behörde eine Prüfung durchführt oder eine Person den Nachweis verlangt, dass ihre Daten tatsächlich gelöscht wurden.

Fazit: Jetzt starten!

In jedem Fall sollten Unternehmen bereits jetzt damit beginnen, sich mit dem Thema "richtiges Löschen" von sensiblen Daten zu beschäftigen. Derzeit sind solche Konzepte vor allem bei mittelständischen Unternehmen nur selten vorhanden. Die DSGVO jedoch verlangt entsprechende Konzepte.

Unternehmen, die nicht über die erforderlichen personellen Ressourcen verfügen, können sich an ihre Systemlieferanten und Beratungshäuser wenden. Systemhäuser wie Bechtle verfügen beispielsweise über IT-Experten, die eine Zertifizierung als Datenschutzbeauftragte besitzen. Solche Fachleute können Unternehmen wie auch öffentliche Auftraggeber tatkräftig dabei unterstützten, tragfähige Datenlösch-Konzepte zu erstellen.