Löschfristen: Ein Präzedenzfall aus Hamburg zeigt, wie teuer unzureichende Datenlöschung werden kann

Mit der anlaufenden Weihnachtszeit fangen nicht nur die Glocken an zu klingeln, sondern auch die Kassen des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Ein Dienstleister wurde mit einem Bußgeld von 900.000 Euro belegt, weil personenbezogene Daten jahrelang ohne Rechtsgrundlage gespeichert wurden.

Eines der unbeliebtesten Themen bei vielen Unternehmen sind die fehlenden oder fehlerhaften Fristen zur Löschung von Daten. Der Fall zeigt nun jedoch, dass Löschfristen nicht nur dokumentiert, sondern auch praktisch umgesetzt werden müssen.

Hintergrund: Löschpflichten und DSGVO

Die DSGVO normiert die Grundsätze der Datenminimierung, Speicherbegrenzung sowie das „Recht auf Vergessenwerden“. Das führt dazu, dass Unternehmen personenbezogene Daten nur solange speichern dürfen, wie dies unter Berücksichtigung gesetzlicher Aufbewahrungsfristen oder sonstiger Nachweispflichten notwendig und zulässig ist.

So soll sichergestellt werden, dass Informationen nicht unnötig lange vorgehalten werden, wodurch das Risiko für Betroffene minimiert wird.

Im aktuellen Fall hatte der betroffene Hamburger Dienstleister jedoch zahlreiche Datensätze noch bis zu fünf Jahre nach Ablauf der gesetzlichen Fristen aufbewahrt – ohne jegliche Rechtsgrundlage. Dies stellte einen klaren Verstoß gegen die DSGVO dar.

Während einer Vor-Ort-Prüfung bei dem Unternehmen deckte der HmbBfDI gravierende Verstöße auf: Eine sechsstellige Zahl personenbezogener Datensätze wurde trotz abgelaufener Fristen weiterhin gespeichert. Obwohl die Daten nicht an Dritte weitergegeben wurden, war die jahrelange rechtswidrige Speicherung ein schwerwiegender Verstoß gegen die DSGVO.

Die Konsequenz: Ein Bußgeld in Höhe von 900.000 Euro, welches das Unternehmen akzeptierte.

Was Unternehmen daraus lernen sollten

Das heißt für Unternehmen, dass klare interne Regeln für das Aufbewahren und das Löschen oder auch Anonymisieren von Daten etabliert werden sollten.

Unternehmen sind verpflichtet, Daten zu löschen, sobald diese für die ursprünglich festgelegten Verarbeitungszwecke nicht mehr benötigt werden. Diese Verpflichtung zur Datenlöschung gilt unabhängig davon, ob die Daten intern genutzt oder an Dritte weitergegeben wurden.

Je nach Branche oder auch Unternehmensbereich können unterschiedliche Löschfristen gelten. Während in einem Handelsunternehmen primär steuerliche oder auch arbeitsrechtliche Aufbewahrungsfristen gelten, sind Unternehmen aus dem Gesundheitssektor zusätzlich mit strengen berufsrechtlichen Dokumentationspflichten und -fristen konfrontiert.

Die größte Herausforderung ist jedoch die Definition von Löschfristen für Dokumente oder Daten, für die es eben keine „gesetzlichen“ Fristen gibt (z. B. Dienstpläne, Urlaubsanträge, Einwilligungserklärungen, etc.). Insbesondere hier sind unternehmenseinheitliche Regelungen zu Löschfristen wichtig.

Auch wenn der originäre Zweck möglicherweise bereits erfüllt ist, kann das Unternehmen durchaus ein berechtigtes Interesse an einer übergangsweise längeren Archivierung zur Abwehr möglicher Haftungsansprüche haben. Häufig sind diese jedoch spätestens nach 3 Jahren – zum Ende des Kalenderjahres in dem der Anspruch entstanden ist – verjährt (§195 BGB).  Und dann muss auch gelöscht werden.

Unternehmen sollten daher von Beginn an klar definieren, welche Daten in welcher Form und für welchen Zeitraum gespeichert werden müssen. Diese internen Regelungen sollten dokumentiert und festgelegt sein (beispielsweise in einem Löschkonzept). Um zu verhindern, dass Daten unnötig lange aufbewahrt werden und es dadurch zu Verstößen kommt, sollten in den Löschkonzepten auch klare Zuständigkeiten und Prozesse für die tatsächlich durchzuführende Löschung aufgenommen werden.

Was bedeutet Löschen?

Im Datenschutz und in der Datensicherheit ist es wichtig, Daten vollumfänglich und dauerhaft zu löschen, so dass diese nicht mehr verwendet werden können. Daten dürfen nach dem Löschen nicht wiederhergestellt und in keiner Weise mehr verarbeitet werden können – sie müssen also dauerhaft und technisch unwiderruflich gelöscht werden. Auch Sicherungskopien sind zu löschen.

Alte Akten und Papierdokumente entsorgen Sie bestenfalls mit Hilfe eines professionellen Aktenvernichters; keinesfalls sollten diese über den Papiermüll entsorgt werden.

Da personenbezogene Daten typischerweise im ganzen Unternehmen verteilt sind, ist das Löschkonzept ein Projekt, das der Unterstützung der ganzen Firma bedarf.

Fazit

Der Hamburger Fall zeigt, wie ernst die Datenschutzbehörden Verstöße gegen Löschpflichten nehmen. Unternehmen sollten nicht darauf hoffen, dass unzureichende Löschpraktiken unbemerkt bleiben. Wir empfehlen Ihnen daher die Etablierung eines durchdachten Löschkonzeptes, um den gesetzlichen Anforderungen gerecht zu werden.  Die Einhaltung der Löschpflichten schützt nicht nur vor Sanktionen, sondern auch vor Imageschäden und finanziellen Einbußen, die im Zuge eines Datenschutzvorfalls entstehen können.