Datenschutz
Löschkonzept erstellen und umsetzen
Text: Florian G. Padberg | Foto (Header): © freshidea – stock.adobe.com
Die Datenschutz-Community hat es lange erwartet, nun ist es da: Das erste Millionen-Bußgeld in Deutschland wurde Anfang November 2019 durch die Landesdatenschutzaufsicht Berlin ausgesprochen. Richtungsweisend daran ist nicht nur die Höhe von 14,5 Mio. Euro an sich, sondern auch der Verstoß, aufgrund dessen es letztendlich ausgesprochen wurde: Die betroffene Berliner Immobiliengesellschaft hat über Jahre personenbezogene Daten ihrer Kunden ohne rechtliche Grundlage aufbewahrt und nicht einer eigentlich nötigen Löschung zugeführt. Mangelnde Löschung ist also in den Aufsichts-Fokus geraten. Lesen Sie in diesem Artikel, wie Sie ein Löschkonzept erstellen und umsetzen.
Auszug aus:
Datenschutz für Praktiker
Ausgabe Dezember 2019 / Januar 2020
Jetzt Leser werden
Nach Angabe der Behörde gab es bereits seit zwei Jahren entsprechende Erkenntnisse und auch bereits Kontakte und eindeutige Aufforderungen zum Abstellen dieses Verstoßes an den Verantwortlichen. Da aber anscheinend nicht gehandelt wurde, ist davon auszugehen, dass eine konforme Löschung kein einfaches Unterfangen war, sonst hätte man sich dieses „Bußgeld mit Ansage“ sicher erspart. Und die tägliche Praxis des Datenschutzmanagements bestätigt das: DSGVO-konformes Löschen von personenbezogenen Daten, das sich letztendlich aus dem Umkehrschluss des Zweckerfordernisses des Art. 5 Abs. 1 lit b DSGVO und einer nicht mehr vorhandenen Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO gebietet, gehört zu den größten Herausforderungen für eine Organisation. Eine Vielzahl an übertragenden und empfangenden Verarbeitungssystemen, eine unkontrolliert ausufernde individuelle Datenverarbeitung und eine weiterhin mangelnde Sensibilisierung der Mitarbeiter stellen bei vielen Unternehmen weiterhin eine große Hürde für eine saubere Umsetzung dar.
Ein wirksames Löschkonzept muss daher detailliert geplant und stringent umgesetzt werden – diesen Aufwand sollte man sich nicht ersparen, wenn man künftig hohe Bußgelder vermeiden will.
Das Löschkonzept als Planungsmaßnahme
Die Erstellung des Löschkonzepts ist als Startpunkt eines klassischen Management-Kreislaufs zu verstehen. Die Weiterentwicklung des Unternehmens – sowohl auf organisatorischer als auch technischer Ebene – führt automatisch dazu, dass nötige Löschprozesse mit der Zeit anzupassen sind. Bemüht man der Einfachheit halber den bekannten Deming-Zyklus aus „Plan – Do – Check – Act“, so ist das Löschkonzept der initiale Plan.
Analyse und erste Strukturierung
Der beste Ausgangspunkt für die Ausplanung des Löschkonzepts ist nach Erfahrung aus unseren Kundenprojekten das Verzeichnis der Verarbeitungstätigkeiten. Hier findet sich – eine hohe Dokumentationsqualität vorausgesetzt – sämtliche Information, die benötigt wird: Die einzelnen Verarbeitungstätigkeiten geben Aufschluss über verarbeitete Datenkategorien, jeweils relevante Aufbewahrungs- und Löschfristen, etwaige Datenempfänger und eingesetzte Dienstleister und IT-Systeme.
Somit sollte schon einmal Klarheit herrschen, wann welche Daten überhaupt gelöscht werden müssen. Die Herausforderung besteht dann jedoch auf mehreren Ebenen:
In der Strukturierung des Konzepts muss man sich auf ein führendes Element für die Beschreibungslogik einlassen – die prozessorientierte Verarbeitungstätigkeit oder das eingesetzte IT-Tool. Je nachdem, welchen Betrachtungsausgangspunkt man wählt, wird man dort dann auf die zugehörigen anderen Elemente nach und nach eingehen.
Aufgrund des stark prozessualen Charakters des Datenschutzmanagements gemäß DSGVO und der besseren Abgrenzbarkeit von Datenkategorien empfiehlt sich u. E. klar der Fokus auf die Verarbeitungstätigkeit. Die jeweils eingesetzten Systeme werden dann durchdekliniert. Bei der Verarbeitung „Personalverwaltung“ beschreibt man dann bspw. die Löschung im HR-System, im Rekrutierungs-System und beim Reiseportal. Bei größeren Organisationen kann es angemessen sein, je Verarbeitungstätigkeit ein eigenes (standardisiertes) Löschkonzept zu erstellen, um die Übersichtlichkeit zu wahren.
Daneben fällt es nicht immer leicht, einen tatsächlich transparenten Einblick in die Verarbeitung der Daten in den einzelnen Systemen zu erhalten: Habe ich einen abschließenden Überblick, welche Datenkategorien im System verarbeitet werden, kann ich wichtige Informationen wie Löschfristen und Rechtsgrundlagen den Daten explizit zuordnen, und kenne ich die technischen Möglichkeiten zur Löschung dieser Daten überhaupt? Diese Fragen müssen je relevantem System unbedingt geklärt werden, denn sie bestimmen letztlich, wie die Löschung umgesetzt werden kann.
Das konkrete Löschvorgehen
Um das konkrete Löschvorgehen im Konzept je Verarbeitungstätigkeit zu beschreiben, eignet sich u. E. die Beantwortung einiger konkreter Fragen:
- Wie funktioniert die Massendatenlöschung je System? Welche Regeln werden eingesetzt, um die zu löschenden Objekte zu bestimmen? Erfolgt die Löschung vollautomatisiert oder über einen Vorschlagszwischenschritt? Muss man sich ggf. mit eigenen Abfragen behelfen, da passende Löschroutinen fehlen? In welcher Frequenz sollten die Löschungen passieren?
- Ist eine differenzierte Löschung nach Zweck bzw. Rechtsgrundlage möglich? Kann ich etwa in der digitalen Personalakte eines ausgeschiedenen Mitarbeiters Daten zu Abmahnungen automatisiert früher löschen als Daten zur Altersvorsorge?
- Sind (manuelle) Einzellöschungen möglich? Wird dies durch ein Rollen-/Rechtekonzept gesteuert?
- Können einzelne Datensätze von der automatisierten Massendatenlöschung ausgenommen werden? Wie ist dies konkret umgesetzt?
- Welche Auswertungsmöglichkeiten gibt es bezüglich automatisierter Löschungen (Protokolle, Logs etc.)?
Nicht minder wichtig im Vergleich zu den eingesetzten fachlichen IT-Systemen ist unserer Erfahrung nach im Löschkonzept die Berücksichtigung der sogenannten „individuellen Datenverarbeitung“ (IDV) beim Kunden, also die Nutzung von Netzwerkspeichersystemen (klassische Share-Laufwerke, Sharepoint-Dokumentensammlungen, Teams-Räume etc.) zur eigenstrukturierten Ablage von Dateien.
Hier helfen keine Datenbankfunktionalitäten, hier ist eine organisatorische Regelung gefragt.
Den besten Griff erhält man auf die Thematik, indem man klare Verantwortlichkeiten für Speicherorte verteilt und durch eindeutige Regelungen umsetzbare Vorgaben für Löschaktivitäten ausgibt, etwa nach dem Muster „Jeder Mitarbeiter ist verpflichtet, einmal im Quartal seine ihm zugeordneten Laufwerke und Ordner dahingehend zu bereinigen, dass keine Datei mit personenbezogenen Daten mehr vorhanden ist, die älter als ein Jahr ist“. Stärker segmentierte Löschvorgaben sind u. E. realistisch nicht einhaltbar. Sie werden dementsprechend nicht konsequent gelebt und führen daher insgesamt nicht zu einer tatsächlich höheren Löschqualität. Besser ist es, die IDV insgesamt zu minimieren und die Verarbeitung von Daten auf die fachlichen IT-Systeme zu verlagern. Eine entsprechende Vorgabe, die daneben eine doppelte Datenhaltung (Speicherung im Fach-System und parallel in der IDV „zur Sicherheit“) explizit untersagt, wird mit der Zeit eine Verhaltensänderung herbeiführen.
Protokollierung und Kontrolle
Ein weiterer wichtiger Aspekt eines sauberen Löschprozesses ist die angemessene Protokollierung und regelmäßige Kontrolle der Löschungen, um einen adäquaten Nachweis führen und Fehler zeitnah aufspüren zu können.
Da die meisten datenbankgestützten Fachsysteme zumindest Basis-Protokollierungs- bzw. Log-Funktionalitäten bereitstellen, sind hier aus Prozesssicht primär die Auswahl der richtigen Auswertung sowie die regelmäßige Reportgenerierung zu definieren. Organisatorisch aufwendiger gestaltet sich meist die Protokollierung der Löschaktivitäten in der IDV, da diese aufgrund des ebenfalls manuellen Charakters der Löschungen an sich manuell erfolgen muss. Es ist jedoch mit Augenmaß vorzugehen, sodass es durchaus ausreichend sein kann, eine Übersichtsliste zu führen, in der jeder Mitarbeiter entsprechend der vorgegebenen Zyklen die Durchführung seiner Regel-Löschaktivitäten sowie Ausnahmelöschungen (etwa im Rahmen einer expliziten Löschanfrage eines Betroffenen) kurz und knapp bestätigt – natürlich ohne personenbezogene Daten aus den Löschungen konkret zu benennen.
Die Kontrolle der diversen Löschaktivitäten – (teil) automatisierte in Systemen sowie manuelle in der IDV – sollte ebenfalls regelmäßig erfolgen und protokolliert werden. Auch hierbei sollte das Angemessenheitsprinzip angewendet werden, der Fokus der Regelkontrollen wird auf Plausibilitäts-Checks und Stichproben liegen, nicht auf einer umfassenden Detailüberprüfung. Die Durchführung und Dokumentation obliegt der fachlich verantwortlichen Stelle für die jeweilige Verarbeitungstätigkeit und kann ebenfalls in einer relativ einfachen Übersichtsform erfolgen. Wichtig ist, dass diese Übersicht neben den Kontrollfeststellungen auch Maßnahmen zur Behebung sowie einen Termin enthält, bis zu dem die Abhilfe erfolgt ist. Dies muss von der kontrollierenden Stelle angemessen getrackt werden.
Rollen und Prozesskreislauf
Ein abschließendes Kapitel des Löschkonzepts sollte dem Management-Zyklus gewidmet sein: Der expliziten Rollenzuordnung und den Umsetzungs-, Kontroll- und Anpassungsprozessen.
Die Beschreibung der relevanten Rollen im Löschprozess ist deshalb wichtig, um die Verantwortlichkeit klar zu regeln und auch das Commitment der damit betrauten Funktionsträger zu festigen. Dabei sollte keine allzu theoretische Wunschstruktur, sondern eine konkrete Zuordnung existierender Funktionen zu den wichtigsten Rollen im Prozess dargestellt werden. Da Verarbeitungstätigkeiten oft bestimmten Abteilungen oder Fachbereichen zuordenbar sind, legt man die grundsätzliche Prozess- und fachliche Verantwortung in die Hände der Abteilungs-/Bereichsleitung, die sich natürlich in der Umsetzung bspw. durch die Teamassistenz unterstützen lassen kann. Daneben ist die Definition einer technischen Verantwortlichkeit notwendig, hier bieten sich Systemadministratoren aus dem Fachbereich oder aber Vertreter aus der IT-Abteilung an, denen die Systembetreuung untersteht. Diese Rollen sorgen miteinander dafür, dass der Löschprozess so gut wie möglich funktioniert und klären auftretende Probleme gemeinsam.
Die Beschreibung des Umsetzungsprozesses beinhaltet v. a. Informationen und Timelines, wann die zuvor beschriebenen Löschaktivitäten auf welche Weise implementiert werden und welche Charakteristika der Regelbetrieb aufweist (bspw. „Die nötigen Regel-Abfragen für die Massendatenlöschung werden bis Ende Q1-2020 erstellt und werden dann monatlich ausgeführt“).
In den Ausführungen zum Kontrollprozess wird dargestellt, wie die Ergebnisse der Regelkontrollen analysiert werden (Welche Dokumente? Durch wen?), und wie daraus Maßnahmen zur Behebung etwaiger Prozessschwachstellen definiert werden. Das Ergebnis des Kontrollprozesses muss immer ein Maßnahmenplan inkl. Umsetzungsfahrplan sein.
Beim Anpassungsprozess ist streng genommen nur darzulegen, dass es klare Verantwortlichkeiten für die Umsetzung des zuvor erstellten Maßnahmenplans gibt und dass die Prozessanpassungen ein klares zeitliches Umsetzungsziel haben.
Ist das Konzept erstellt und verabschiedet, kann der Managementkreislauf in die nächsten Phasen gehen – hier sind jeweils ein paar wichtige Aspekte zu beachten.
Das Weiterlaufen im Managementzyklus – darauf sollten Sie achten
Tipps für die Umsetzungsphase
- Stellen Sie konkrete Arbeitsmittel bereit: Als Anlage zum Löschkonzept sollte eine einfache Systemübersicht vorhanden sein, anhand derer man einen Überblick erhält, welche IT-Tools in diesem Löschkonzept behandelt werden, welche Datenkategorien diese verarbeiten und wer Ansprechpartner ist. Das hilft bei konkreten Nachfragen, die auch bei Löschbegehren einzelner Betroffener entstehen können. Zudem sollten Sie konkrete Vorlagen für Lösch- und Kontrollprotokolle vorgeben, um einen einheitlichen Qualitätsstandard sicherzustellen. Natürlich müssen diese Arbeitsmittel den Nutzern angemessen vorgestellt werden.
- Scheuen Sie organisatorische Lösungen nicht: Bei der Vielfalt an eingesetzten Systemen wird es nicht ausbleiben, dass bei manchen von diesen automatisierte oder auch nur teilautomatisierte Löschungen nicht möglich sind. Bevor Sie einer passenden technischen Lösung monatelang hinterherlaufen oder sogar extra Entwicklungsaufträge an den Softwareanbieter vergeben, prüfen Sie, ob Sie ein akzeptables Ergebnis nicht auch durch eine organisatorische Maßnahme erreichen können. Oft ergibt eine richtig formulierte Abfrage eine ausreichende Basis für eine Löschung.
- Pragmatisch ist nicht gleich „hemdsärmelig“: Gerade in der Einführungsphase eines Löschprozesses sind Zeit und Ressourcen für technisch ausgefeilte Tools und Hilfsmittel selten ausreichend vorhanden, wenn man endlich anfangen will. Ein einfaches Excel-basiertes Löschprotokoll zum Start ist besser als eine gut programmierte und nutzerfreundliche Datenbank, wenn Letztere noch mindestens sechs Monate zum Testen und zur Implementierung benötigt.
Tipps für die Überprüfungsphase
- Erkennen und beseitigen Sie Systemfehler frühzeitig: Warten Sie mit der ersten Prozessüberprüfung nicht bis sich eventuell suboptimale Teilprozesse bereits eingeschliffen haben, sondern terminieren Sie diese eher auf die Mitte des ersten Zyklus statt auf das Ende. Gehen Sie bei diesem ersten Check bewusst ins Detail. Nur so klären Sie nachhaltig, ob Ihre erste Planung wirklich angemessen oder vielleicht doch zu oberflächlich war – oder sogar zu anspruchsvoll, sodass Ihr Löschprozess gar nicht erst richtig in Schwung kommt.
- Monitoren Sie den Aufwand: Manche Systeme neigen dazu, sich selbst zu verkomplizieren, wenn sie nicht regelmäßig entschlackt werden. Gehen Sie gezielt auf die Suche nach Hemmschuhen, die den eigentlichen Sinn des Löschprozesses unterminieren. Benötigen wir für die Abstimmung der finalen Abfrage für die Massendatenlöschung zu viele Schleifen? Fehlen dem Kontrollierenden Berechtigungen zur Kontrolle einzelner Systemprotokolle, sodass immer umständlich der System-Admin eingeschaltet werden muss? Für viele solcher Bremsen gibt es kreative Lösungen. Das Ziel muss es sein, dass der Prozess möglichst reibungsfrei durchläuft, damit er effektiv und zugleich effizient ist.
Tipps für die Anpassungsphase
- Ziehen Sie es durch: In der Kontrolle des Prozesses ist ein Problem identifiziert worden, eine Lösungsmaßnahme wurde formuliert? Dann sollte die Umsetzung Priorität haben, denn jeden Tag, den Ihr Löschprozess suboptimal weiterläuft, bauen sich Daten-Altlasten auf, die ein zunehmendes Risiko darstellen. Eine Aufsichtsbehörde wird nur wenig Verständnis haben, wenn es an der Umsetzung eines Prozess-Fixes hapert.
- Köcheln Sie nicht im eigenen Saft: Sollte sich die Umsetzung einer Optimierungsmaßnahme als schwieriger herausstellen als zunächst eingeschätzt, holen Sie Lösungskompetenz dazu. Auch in anderen Bereichen des Datenschutzes – etwa bei der Datenschutzfolgenabschätzung oder bei Datenpannen – sind interdisziplinäre Teams als hilfreich empfohlen, warum nicht auch bei einem Thema zur Datenlöschung?
- Tue Gutes – und rede darüber: Anpassungsmaßnahmen sind nicht nur Fehlerbehebungen, sie machen ein System besser. Sie werden das Verständnis für die Löschaktivitäten und für den Datenschutz in Ihrem Unternehmen insgesamt erhöhen, wenn Sie die gleiche Ausrichtung wie im Kerngeschäft an den Tag legen – kontinuierliche Verbesserung bringt Sie voran, auch im Datenschutz. Und das sollten Ihre Kollegen als Message aus Ihrem Tun mitnehmen.
Der Kreislaufprozess hat sich in vielen Managementbereichen durchgesetzt – zu Recht, wie wir finden. Auch Ihre Löschaktivitäten sollten diesem „proven concept“ folgen, dann werden Sie über die Zeit auch hier ein gutes Ergebnis erzielen und Bußgelder wie das der Immobiliengesellschaft vermeiden. Sehen Sie das Löschkonzept als „lebendes“ Element an, das immer weiter verfeinert werden sollte.
Das Wichtigste im Zusammenhang mit dem Löschen und generell mit den Grundsätzen des Datenschutzes und deren Operationalisierung ist aber: Fangen Sie an!
Zur Person
Florian G. Padberg ist zertifizierter Datenschutzbeauftragter und -Auditor. Er ist Geschäftsführer der ituso GmbH, eines Beratungsunternehmens für Datenschutz- und IT-Sicherheitsmanagement.