Löschung personenbezogener Daten bei den Unternehmen unter Kritik
von T. Mielke
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat am 24. April 2013 seinen 24. Tätigkeitsbericht für die Jahre 2011 und 2012 vorgestellt. Darin kritisiert er unter anderem fehlende Festlegungen und Regelungen zur Löschung personenbezogener Daten bei den Unternehmen und stellt eine Leitlinie für ein Löschkonzept vor.
In dem Tätigkeitsbericht stellt der Bundesbeauftragte für den Datenschutz unter anderem eine Leitlinie zur Datenlöschung vor. In dieser Leitlinie wird verdeutlicht, dass sich viele Unternehmen mit der Löschung digitaler Daten noch schwer tun. Viele Unternehmen sähen auch keinen Sinn darin nicht mehr benötigte Daten zu löschen.
Die Datengrundsätze zur Erforderlichkeit, Datenvermeidung und Datensparsamkeit verpflichten dazu, nicht mehr benötigte Daten zu löschen. Artikel 6 der EU-Datenschutzrichtlinie enthält eine Lösch- und Anonymisierungsvorgabe. Im deutschen Bundesdatenschutzgesetz (BDSG) ist in § 35 Absatz 2 BDSG die Löschung für diejenigen personenbezogenen Daten vorgesehen, die für die rechtlich zulässigen Zwecke nicht mehr erforderlich sind.
Zur Sicherstellung einer rechtskonformen, geordneten Löschung von personenbezogenen Daten schlagen die Autoren der Leitlinie eine Entwicklung eines Regelwerks zur Löschung, ein sogenanntes Löschkonzept, vor. Die Leitlinie empfiehlt unter anderem die Verwendung standardisierter Löschfristen und sogenannter Löschklassen. Diese Löschklassen sollen die Komplexität der unterschiedlichen Löschanforderungen reduzieren. Die Löschklassen werden für die Zuordnung von Beständen personenbezogener Daten zu Löschregeln verwendet.
Die Erstellung eines komplexen Löschkonzeptes in Unternehmen hätte folgende Vorteile:
- Prozesse zur Löschung sind klar festgelegt – dies bezieht sich insbesondere auf die Löschfrist
- Durch die Bereinigung von Datenbeständen und das Auflösen möglicher Redundanzen werden Kosten im IT-Bereich gesenkt
- Die verantwortliche Stelle erfüllt ihre Rechtspflichten und dokumentiert ihre Datenschutz-Compliance
- Der Schutz des Betroffenen wird gestärkt
Die Leitlinie bietet für Datenschutzbeauftragte und IT-Sicherheitsbeauftragte eine gute Grundlage zur Erstellung eines Löschkonzeptes, die es den Unternehmen jedoch nicht abnimmt, ein eigenes Konzept zu erarbeiten, dass die im Unternehmen verwendeten Daten, die Struktur des Unternehmens und die individuellen Risiken im Unternehmen mit einbezieht.
Bild: Wikipedia / Tobias Klenze / CC-BY-SA 4.0 (creativecommons.org/licenses/by/3.0) unter de.wikipedia.org/wiki/Peter_Schaar#/media/Datei:2013-12-30_30C3_-_Peter_Schaar_3533.JPG