Der mit der DSGVO eingeführte Grundsatz auf Speicherbegrenzung besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist3. Die erlaubte Speicherfrist ist dabei auf das unbedingt erforderliche Mindestmaß zu beschränken. Neben der fehlenden Erforderlichkeit, verpflichten etwa auch der Widerruf der erteilten Einwilligung, das Wegfallen eines anderen Rechtfertigungsgrundes (bspw der gesetzlichen Grundlage) oder der Widerspruch gegen die Verarbeitung den Verantwortlichen zur Löschung. Die Löschpflicht kann somit insgesamt durch diverse Löschgründe begründet werden.

Die Logik ist daher klar: Sobald ein Löschgrund vorliegt, muss das betroffene Datum gelöscht werden. Aber wie und vor allem wer stellt das Vorliegen eines solchen Löschgrundes fest? Muss der Verantwortliche eigeninitiativ handeln und das Vorliegen eines Löschgrundes prüfen oder ist er nur bei Aufforderung durch den Betroffenen aufgrund von Art 17 DSGVO („Recht auf Vergessenwerden“) dazu verpflichtet?

Die Antwort lautet: Beides! Der Verantwortliche muss während seiner Verarbeitungstätigkeit selbständig prüfen, ob ein Löschgrund vorliegt. Darüber hinaus muss er auch bei Löschbegehren entsprechend tätig werden.

Damit Unternehmen ihre eigene Prüfpflicht wahren und eine angemessene Reaktion auf Löschbegehren sicherstellen können, müssen sie ein internes Löschkonzept implementieren. Darin sollte der Verantwortliche insbesondere die Fristen für die Löschung verschiedener Kategorien verarbeiteter personenbezogener Daten und die regelmäßige Überprüfung in Bezug auf die Löschgründe vorsehen. Der Verantwortliche muss schließlich auch die von ihm identifizierten Löschfristen hinsichtlich einzelner Daten- und Betroffenenkategorien in seinem Verzeichnis der Verarbeitungstätigkeiten dokumentieren.

Der Verantwortliche darf sich aber beim Umgang mit Löschpflichten nicht nur auf sein Löschkonzept und sein Verzeichnis der Verarbeitungstätigkeiten verlassen. Diese zwei Tools zeigen einem nämlich nur die abstrakte Marschroute zur Löschung. Die darin erarbeiteten Löschziele müssen dann auch in der Praxis umgesetzt werden. Dazu gilt es die passende technische Umsetzungsvariante zu wählen.

Zur Umsetzung eines Löschkonzepts braucht es das passende technische Datenmanagement. Zunächst muss sich das Unternehmen bewusstwerden, welche Systeme welche Daten verarbeiten, um die internen Datenströme einschätzen zu können. Die Analyse der eigenen Datenströme reicht allerdings noch nicht aus, um die zu löschenden Daten tatsächlich aus den jeweiligen Systemen zu bekommen. Dazu müssen die Systeme erst an einen zentralen Datenmanagement-Service zur Datenlöschung angebunden werden. Ein solcher Datenmanagement-Service kann dann auch für die Umsetzung anderer Betroffenenrechte (insbesondere zur Beantwortung von Auskunfts- oder Löschbegehren) genutzt werden.

Es gibt aus heutiger Sicht zwei praktikable Varianten zur Ausgestaltung eines solchen zentralen Services:

1. Entweder der Service holt sich die Daten live aus den einzelnen Systemen oder

2. sämtliche Daten (zumindest einer Kategorie) werden vom Service in einer einheitlichen Datensammlung konsolidiert und dort aktuell gehalten.

Die zweite Alternative hat den Vorteil, dass die konsolidierten Daten auch für weitergehende Analysezwecke verwenden werden können (wie etwa der automatisierte Hinweis zum Ablauf einzelner Löschfristen). Dabei kann die Anbindung des internen Services zur Datenlöschung an die einzelnen Systeme eine große Herausforderung darstellen. Das gilt insbesondere für exotische Systeme und Eigenentwicklungen von Unternehmen.

Zur Wahrung der datenschutzrechtlichen Löschpflichten bedarf es daher sowohl eines abstrakten Plans (d.h. Löschkonzept und Verarbeitungsverzeichnis) als auch der praktischen Umsetzung mittels eines geeigneten Datenmanagement-Services.

Neben der aktiven datenschutzrechtlichen Verpflichtung zur Löschung, normiert Art 5 Abs 2 DSGVO auch eine all-gemeine Rechenschaftspflicht des Verantwortlichen. Der Verantwortliche muss gegenüber den Aufsichtsbehörden nachweisen können, dass er seine datenschutzrechtlichen Pflichten zur Löschung eingehalten hat. Es sollte daher jede Maßnahme zur Datenminimierung revisionssicher dokumentiert werden, um sie objektivier- und nachweisbar zu machen.

Bei der Vielzahl von datenschutzrechtlichen Pflichten kann es oft schwierig sein, den Überblick zu behalten und nicht zu viele Ressourcen vom Kerngeschäft abzuziehen und in datenschutzrechtliche Aufgaben zu investieren.

Aus diesem Grund haben wir unsere Compliance Cloud entwickelt. Das Datenschutz-Modul der Compliance Cloud verschafft Ihnen den Überblick, den Sie über Ihre Datenbewegungen brauchen, erstellt Berichte und Dokumentation für interne und externe Audits innerhalb weniger Sekunden, unterstützt Sie bei der Erstellung von Löschkonzepten und Verzeichnissen der Verarbeitungstätigkeiten sowie bei der Behandlung von Auskunfts- und Löschbegehren.

Während Sie unsere Compliance Cloud bei den abstrakten Aufgaben in Bezug auf Ihre Löschpflichten von A bis Z unterstützt, spielt unser Trust Layer bei der technischen Umsetzung Ihres Löschkonzepts seine Stärken zu Ihren Gunsten aus. Der Trust Layer fungiert als konsolidierte Datensammlung. Er kann durch geeignete Schnittstellen an Ihre internen Systeme oder andere Datenmanagement Services angebunden werden. So ist es möglich, die dort vorhanden personenbezogenen Daten hinsichtlich ihrer Löschfristen, ihrer Systemherkunft und ihres Verarbeitungszustands zu analysieren. Die Compliance Cloud unterstützt Sie also aktiv bei der Einhaltung Ihrer datenschutzrechtlichen Pflichten.

Darüber hinaus der Trust Layer mit einer Blockchain-basierten Notarisierungsfunktion erweitert werden, womit die gesamte Historie der verarbeiteten Daten sowie die Lösch- oder Auskunftshinweise, die von unserem System übermittelt wurden, revisionssicher abgelegt wird. Die tatsächliche Löschung oder die erteilte Auskunft wird dadurch unveränderbar gespeichert. Damit kann zu jederzeit und gegenüber jedermann die Vornahme einzelner Löschschritte objektivierbar nachgewiesen werden, und dass bei 100% DSGVO-Compliance.