Teil 1 beschäftigt sich mit der Frage, warum besonders die Auskunftsbegehren und die Datenlöschung so viele Verantwortliche vor Probleme stellen. Teil 2 erklärt die Chancen und die prinzipielle Funktionsweise eines solchen automatisierten Managements und zeigt auf, welche Kriterien eine für diese Zwecke eingesetzte Lösung erfüllen sollte.

Laut einer aktuellen bevölkerungsrepräsentativen Umfrage des Eco – Verbands der Internetwirtschaft e. V. hat es jeder fünfte Deutsche (21,2 Prozent) bereits getan: ein Auskunftsbegehren nach DSGVO eingereicht.

Artikel 15 der Datenschutzgrundverordnung berechtigt jeden Betroffenen zu erfahren, ob ein Verantwortlicher Daten betreffend seine Person verarbeitet. Ist das der Fall, muss dem Betroffenen innerhalb eines Monats nach Eingang des Antrags (Art. 12 Absatz 3 DSGVO) nicht nur Auskunft über diese personenbezogene Daten erteilt werden, ihm sind auch viele weitere Informationen, unter anderem zu Verarbeitungszwecken, Empfängern der personenbezogenen Daten, geplanter Speicherungsdauer, etc. zu übermitteln.

Doch mit der Antwort auf sein Auskunftsbegehren war laut der Studie nur jeder dritte Antragsteller (35 Prozent) zufrieden. Unmut gab es beispielsweise, weil die Verantwortlichen die Auskünfte zu spät (28,3 Prozent), unverständlich (15,6 Prozent), unvollständig (17 Prozent) oder gar nicht übermittelten (8,8 Prozent). Für den Verantwortlichen kann das neben verärgerten Kunden und Geschäftspartnern auch rechtliche Konsequenzen in Form von Buß- und Zwangsgeldern nach sich ziehen.

Während die Problematik Auskunftsbegehren immer mehr in das Bewusstsein der Verantwortlichen rückt, wird das mindestens ebenso wichtige Thema der Löschung von personenbezogenen Daten noch immer eher stiefmütterlich behandelt.

Dabei spielt die Löschung von personenbezogenen Daten gleich an mehreren Stellen der DSGVO eine wichtige Rolle. Neben dem ausdrücklichen Recht des Betroffenen auf Löschung seiner personenbezogenen Daten unter den Voraussetzungen des Art. 17 Absatz 1 DSGVO, verlangen auch die Grundsätze der Datenminimierung und Speicherbegrenzung (Art. 5 Absatz 1 lit. c) und lit. e) DSGVO) und nicht zuletzt auch die Anforderungen an Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) vom Verantwortlichen die Etablierung eines funktionierenden Löschkonzepts.

So verwundert es auch nicht, dass das bisher höchste in Deutschland verhängte DSGVO-Bußgeld, eben wegen eines mangelhaften Löschkonzepts verhängt wurde. Konkret hatte die Datenschutzbehörde hier bei einer Vor-Ort-Prüfung festgestellt, dass das Unternehmen “Deutsche Wohnen” für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.

Was bleibt ist die Frage: Warum scheinen besonders die Auskunftsbegehren und die Datenlöschung so viele Verantwortliche vor Probleme zu stellen?

Grundproblem vieler Verantwortlichen im Hinblick auf die Auskunftserteilung und die Datenlöschung ist die Vielzahl der zur Datenverarbeitung eingesetzten Informationssysteme. CRM, ERP, HR, etc. – für jedes Spezialgebiet existieren eigene Insel-Lösungen. Mitunter variiert das zu einem bestimmten Zweck eingesetzte System sogar noch von Abteilung zu Abteilung, was ab einer gewissen Unternehmensgröße und Struktur leicht zum Einsatz von hunderten Informationssystemen führen kann.

Ganz offensichtlich macht es diese Tatsache schwer, sich ein übergreifendes Bild über den Fluss personenbezogener Daten im Unternehmen oder auch nur über deren Speicherorte zu machen. Auch die Datenqualität leidet, wo immer Duplikate von Datensätzen in verschiedenen Systemen bestehen und nicht einheitlich aktualisiert werden. Auskunftsbegehren vollständig und innerhalb der gesetzlichen Frist von einem Monat zu beantworten, kann daher, wie auch das bloße Auffinden von zu löschenden Daten zu einer großen Herausforderung werden.

Sind dann von einem Löschbegehren betroffene Datensätze endlich ausfindig gemacht, stehen Verantwortliche oft vor dem nächsten Problem, nämlich der Entscheidung, ob die betroffenen Daten tatsächlich unwiederbringlich vernichtet oder eventuell doch aufbewahrt werden können oder sogar müssen. Schließlich können der Löschung, je nach Art des Datums, zwingende Aufbewahrungsfristen, beispielsweise aus dem Abgaben- oder Sozialversicherungsrecht entgegenstehen, die einem Löschbegehren des Betroffenen vorgehen. Mitunter kann sogar das berechtigte Interesse des Verantwortlichen die Pflicht zur Erfüllung eines Löschbegehrens aushebeln, wenn dieses die Rechtmäßigkeit der weiteren Speicherung oder sonstigen Verarbeitung der betroffenen Daten begründet.

Aber auch ganz ohne Löschbegehren eines Betroffenen stellt sich die Frage, wann Datensätze tatsächlich zu löschen sind. Die DSGVO schreibt in Art. 5 Absatz 1 lit. e) DSGVO vor, dass personenbezogene Daten zu anonymisieren oder ganz zu löschen sind, sobald sie nicht mehr notwendigerweise verarbeitet werden müssen. Scheidet nun beispielsweise ein Arbeitnehmer aus dem Betrieb aus, ist die Datenverarbeitung nicht mehr für die Durchführung des Arbeitsverhältnisses erforderlich. Die Daten sollten also auch ohne Löschbegehren des Betroffenen unverzüglich gelöscht werden. Allerdings kann die weitere Speicherung und Verarbeitung der Daten mitunter durch ein berechtigtes Interesse des Arbeitgebers begründet werden, wenn beispielsweise arbeitsrechtliche Streitigkeiten drohen. Die Speicherung kann auch, beispielsweise im Hinblick auf die Aufbewahrung von Gehaltsabrechnungen oder Arbeitszeitaufzeichnungen, gesetzlich vorgeschrieben sein.

Solch komplexe Entscheidungsbäume machen es den Verantwortlichen in der Praxis schwer, Löschpflichten überhaupt zu identifizieren und ordnungsgemäß einzuhalten.

Nicht zuletzt das bereits thematisierte Bußgeld gegen die Deutsche Wohnen zeigt: auch die Aufsichtsbehörden haben diese Probleme erkannt und legen ihren Fokus mehr und mehr auf die Kontrolle des Bestehens von Löschkonzepten bei den Verantwortlichen. So kündigt das Bayrische Landesamt für Datenschutzaufsicht auf seiner Webseite bereits an, künftig speziell die Umsetzung von Löschvorgaben innerhalb von ERP-Systemen kontrollieren zu wollen. Zielgruppe seien vor allem größere Unternehmen, die SAP einsetzen.

Der Einsatz vieler unterschiedlicher Softwaresysteme und komplexe Entscheidungsbäume bei der Abwägung zwischen Löschpflichten und Aufbewahrungsfristen machen es den Verantwortlichen schwer Auskunftsbegehren und Datenlöschung effizient zu managen. Wie eine Lösung des Problems aussehen kann, erfahren Sie in Teil 2 der Blogserie.