von RA Jan Lennart Müller

Löschkonzept nach der DSGVO: Was Sie hierzu wissen müssen + Checkliste "Löschkonzept"

News vom 19.11.2020, 16:26 Uhr | Keine Kommentare

Die Erarbeitung von Löschkonzepten ist in der DSGVO zwar nicht explizit vorgeschrieben. Trotzdem tun Online-Händler gut daran, ein solches Löschkonzept aufzustellen. Die Vorteile liegen auf der Hand: Während es ohne Löschkonzept auch bei kleineren Datenmengen bereits schwierig sein kann, den Durchblick zu behalten und seinen gesetzlichen Löschpflichten nachzukommen, gibt ein durchdachtes Löschkonzept Online-Händlern ein effektives Instrument an die Hand. Was Sie rund um die Erstellung eines Löschkonzepts beachten müssen, haben wir für Sie in unserem Beitrag zusammengefasst.

1. Der Grundsatz der Speicherbegrenzung

Zunächst ist zu beachten, dass die Datenschutz-Grundverordnung in Art. 5 Abs. 1 lit. e DSGVO den Grundsatz der Speicherbegrenzung vorsieht. Dieser Grundsatz verbietet (als Konkretisierung des Grundsatzes der Datenminimierung) personenbezogene Daten länger zu speichern, als dies für die Zwecke ihrer Verarbeitung notwendig ist.

Konkretisiert und durchsetzbar wird der Anspruch auf die Begrenzung der Speicherdauer durch das Recht auf Löschung gemäß Art. 17 Abs. 1 Buchst. a DSGVO.

2. Das Recht auf Vergessenwerden (Recht auf Löschung) gemäß Art. 17 DSGVO

Nach Art. 17 Abs. 1 DSGVO müssen personenbezogene Daten unverzüglich gelöscht werden, sobald sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet worden sind, nicht mehr notwendig sind oder ein anderer Grund zur Löschung verpflichtet (z. B. Widerspruch des Betroffenen).

Nach Erwägungsgrund 39 sollten datenschutzrechtlich Verantwortliche (= Online-Händler) Löschregeln für personenbezogene Daten und eine regelmäßige Überprüfung vorsehen. Dieses Löschkonzept ist einschließlich Löschroutinen (Art. 25 Abs. 2 S. 2 DSGVO) auch entsprechend zu dokumentieren. Wie lange die Aufbewahrung von personenbezogenen Daten zulässig ist, hängt vom jeweiligen Zweck ab und variiert somit erheblich.

Hinweis: Wenn Sie mehr Informationen zum Thema Löschungsanspruch erfahren möchten, empfehlen wir Ihnen unseren Beitrag Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen zur Lektüre! Mandanten unserer Kanzlei erhalten zudem Zugriff auf Muster-Formulierungen für die Beantwortung kundenseitiger Löschungsanliegen.

Starterpaket

2. Ausnahmen von der Löschpflicht

Die beschriebenen Löschpflichten gelten jedoch nicht ausnahmslos, vielmehr sind Ausnahmen zu beachten.

In Art. 17 Abs. 3 DSGVO sind (erschöpfend und abschließend) die Ausnahmen normiert, welche die Löschpflicht für verschiedene Sachverhalte ausschließen.

Danach gilt die Löschpflicht nicht in den Fällen, soweit die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das in Art. 17 Abs. 1 DSGVO genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Die im Bereich des Online-Handels relevantesten Ausnahmen bilden dabei Art. 17 Abs. 3 lit. b) DSGVO "Erfüllung einer Rechtspflicht", sowie Art. 17 Abs. 3 lit. e) DSGVO "Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung".

a.) Ausnahme "Erfüllung einer Rechtspflicht"

Die Ausnahme zur „Erfüllung einer Rechtspflicht“ nach Art. 17 Abs. 3 lit. b) stellt eine Öffnungsklausel für die EU-Mitgliedstaaten dar. Nach diesem Ausnahmetatbestand besteht kein Löschungsanspruch, sofern eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, die die Verarbeitung nach dem Unionsrecht oder nach nationalen Recht erfordert. Diese Öffnungsklausel in der DSGVO ist zwingend notwendig, um vor allem die national geregelten Ausnahmetatbestände zur Geltung zu bringen.

Praktisches Beispiel:

Dieser Ausnahmetatbestand wird besonders relevant beim Thema Aufbewahrungspflichten.

Hierbei gilt es die national geregelten steuer- oder handelsrechtliche Aufbewahrungspflichten zu beachten, ein Löschungsanspruch besteht während der Aufbewahrungspflichten nicht. Die für Online-Händler relevanten Aufbewahrungsfristen sind in § 257 Abs. 4 HGB und § 147 AO geregelt:

  • 10 Jahre: Bücher, Eingangs- und Ausgangsrechnungen, Buchungsbelege, Inventare, Bilanzen, Lageberichte
  • 6 Jahre: Handelsbriefe (ohne Eingangs- und Ausgangsrechnungen), Geschäftsbriefe, E-Mails und andere digitale Dokumente

b) Ausnahme "Erforderlichkeit einer rechtlichen Verpflichtung"

Die Ausnahme der Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung nach Art. 17 Abs. 3 lit. e) DSGVO entbindet von der Löschung personenbezogener Daten, soweit die Verarbeitung zur Geltendmachung und Ausübung von Rechtsansprüchen sowie zur Verteidigung „von“ (sowie gegen) Rechtsansprüche(n) erforderlich ist.

Dieser Ausnahmetatbestand soll einem Beweismittelverlust wegen einer drohenden Löschung entgegenwirken. Die Ausnahme umfasst nicht nur die gerichtliche Verfolgung von Rechtsansprüchen, sondern auch außergerichtliche Verfahren und greift in zeitlicher Hinsicht jedenfalls dann, wenn die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen schon stattfindet oder sicher bevorsteht. Daraus folgt, dass die lediglich abstrakte Möglichkeit rechtlicher Auseinandersetzungen nicht ausreicht.

Praktisches Beispiel:

Dieser Ausnahmetatbestand wird besonders relevant beim Thema Verjährungsfristen. So können personenbezogene Daten weiterhin gespeichert bleiben, bis die jeweiligen zivilrechtlichen Ansprüche aus den geschlossenen Verträgen verjährt sind. Aber auch im Anschluss an eine zivilrechtliche Verjährung kann ein darüber hinausgehendes berechtigtes Interesse an der weiteren Datenspeicherung bestehen.

3. Was ist ein Löschkonzept und wer braucht es?

Ein Löschkonzept ist ein „Fahrplan“, der festlegt, wie und wann in einem Unternehmen vorhandene personenbezogene Daten wieder gelöscht werden. Die Löschung personenbezogener Daten gibt die DSGVO explizit vor.

Sobald der Zweck für die Verarbeitung (auch Speicherung!) personenbezogener Daten entfällt, sind Online-Händler in der Regel dazu verpflichtet, diese zu löschen. Ohne ein systematisches Löschkonzept verlieren Online-Händler schnell den Überblick über ihre (Lösch-)Pflichten. Diesem Kontrollverlust sollten Online-Händler unbedingt durch die Erstellung eines Löschkonzepts vorbeugen.

Ein Löschkonzept ist nicht verpflichtend durch die DSGVO vorgeschrieben. In Art. 30 Abs. 1 lit. f) DSGVO soll das verpflichtend zu erstellende Verarbeitungsverzeichnis allerdings

"wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien"

beinhalten. Eine Pflicht zur Erfassung der Löschfristen besteht jedoch wie die Formulierung „wenn möglich“ nicht einmal für das Verarbeitungsverzeichnis.

Doch egal wie groß das Unternehmen ist: Personenbezogene Daten lauern an jeder Ecke. Wenn der verantwortliche Unternehmer (Online-Händler) kein Löschkonzept in der Schublade hat, kann es mitunter sehr schwer sein, den Überblick über Löschpflichten zu behalten. Es sollte deshalb jedem Online-Händler geraten werden, ein Löschkonzept zu erarbeiten und somit auch seine Dokumentationspflichten ernst zu nehmen.

4. Erstellen eines Löschkonzepts gemäß DSGVO

Der erste Schritt bei der Erstellung eines Löschkonzepts setzt bei der Prüfung an, wo im Unternehmen personenbezogene Daten von Kunden verarbeitet werden. Ein erster Anhaltspunkt kann das bereits im Unternehmen (verpflichtende!) Verarbeitungsverzeichnis sein.

Nach einem ersten Überblick über die Quellen personenbezogener Daten im Unternehmen ist im zweiten Schritt eine Kategorisierung dieser personenbezogenen Daten angezeigt. Dabei sind auch Datenkategorien mit besonderer Schutzpflicht (bspw. Gesundheitsdaten) besonders zu berücksichtigen.

Sind die im Unternehmen verarbeiteten personenbezogenen Daten kategorisiert, ist das Löschkonzept auf Basis dieser Kategorien zu erarbeiten. Händler müssen für jede Daten-Kategorie gesondert die Löschregeln festlegen und definieren, wie diese konkret umgesetzt werden sollen. Weiter ist festzulegen, wie die Umsetzung der Maßnahmen dokumentiert werden soll.

5. Check-Liste für Mandanten der IT-Recht Kanzlei

Dieser Exklusiv-Inhalt ist Mandanten vorbehalten!
Ab
9,90€
Als Mandant weiterlesen? Ihre Vorteile:
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit

Noch kein Mandant und Interesse an unseren Mustern und Checklisten? Gerne, buchen Sie einfach eines der Schutzpakete der IT-Recht Kanzlei (bereits ab mtl. nur 5,90 € erhältlich).

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Jan Lennart Müller
Rechtsanwalt
© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5