VORAB: Ich freue mich sehr, dass ich für diesen Blogartikel Volker Hammer, den „Vater“ der DIN 66398 (Leitlinie Löschkonzept), als Co-Autor gewinnen konnte.
In unseren Beratungen rund um das Löschkonzept kommt häufig die Frage auf, welche Informationen in der Dokumentation der regelmäßigen manuellen Löschläufe enthalten sein sollen. Denn in der Regel unterscheiden wir zwischen der Dokumentation für automatisierte Löschläufe in Anwendungssystemen und der für periodische manuelle Löschungen.
In diesem Artikel konzentrieren wir uns auf die Frage, wie solche manuellen Löschläufe dokumentiert werden sollten. Unter anderem wird die Frage beantwortet, ob in diesen Dokumentationen für Löschläufe personenbezogene Daten enthalten sein dürfen oder nicht.
Hinweis: Dieser Blogartikel behandelt nicht die Dokumentation der Löschung im Zuge von Betroffenenanfragen nach dem Recht auf Vergessenwerden. Diese wird anders gehandhabt.
Beispiel für eine manuelle Löschung
Bewerbungsunterlagen sind im Dateiverzeichnis der Personalabteilung abgelegt. Die Löschregel lautet: 6 Monate nach Entscheidung über die Ablehnung oder Einstellung des Bewerbers. Die operative Löschtätigkeit könnte dann sein, dass eine Mitarbeiterin der Personalabteilung monatlich im Dateisystem alle Bewerbungsunterlagen löscht, für die die Entscheidung vor mindestens 5 Monaten getroffen wurde.
1. Warum muss die Löschung von personenbezogenen Daten protokolliert werden?
In der DSGVO wird nicht direkt gefordert, dass Löschläufe dokumentiert werden. Die DSGVO gibt aber die sogenannte Rechenschaftspflicht vor. Diese besagt, dass der Verantwortliche nachweisen muss, dass er die Grundsätze der Verarbeitung von personenbezogenen Daten einhält. Und zu den Grundsätzen der Verarbeitung gehört auch die Löschung von personenbezogenen Daten: Der Verantwortliche muss die »Speicherbegrenzung« umsetzen. Daraus ergibt sich, dass er zeigen können muss, dass er regelmäßig löscht. Wie kann er dies zeigen? In dem er die Löschungen dokumentiert.
Die Durchführung einer Löschmaßnahme bezeichnen wir als (manuellen) Löschlauf. Die Nachweise dazu werden daher in der Dokumentation zu manuellen Löschläufen oder hier im Weiteren auch kurz »Dokumentation« geführt.
2. Welche Inhalte sollte die Dokumentation manueller Löschläufe enthalten?
Die Antwort auf diese Frage ergibt sich, wenn die Zwecke geklärt sind, die die Dokumentation erfüllen soll: Im Rahmen des manuellen Löschlaufes soll nachvollziehbar sein, ob die dafür verantwortliche Person den Löschlauf durchgeführt hat. Wenn beim Löschen Fehler gemacht wurden, will man den- oder diejenige ansprechen können, z.B. um besser zu qualifizieren. Für interne Audits und bei Prüfungen durch die Aufsichtsbehörde soll deutlich werden, dass die Löschung regelmäßig durchgeführt und die Löschregel eingehalten wurde. Da Löschläufe immer auf einem bestimmten Datenbestand ausgeführt werden, muss auch der Datenbestand erkennbar sein.
Um diese Ziele zu erfüllen, sollten in der Dokumentation folgende Informationen enthalten sein:
- der Datenbestand, in dem gelöscht wurde.
Der Datenbestand, auf den sich eine Löschmaßnahme bezieht, ist z.B. in einem Anwendungssystem gespeichert oder in Dateien in einem Verzeichnis im Dateisystem abgelegt. Aus der Angabe zum »Datenbestand« sollte sich immer – zumindest implizit – erschließen, worauf der Löschlauf ausgeführt wurde. - das Datum des Löschlaufs
- der/die Löschende, und ggf. weitere Beteiligte, wenn dies nach der Löschmaßnahme gefordert ist.
Beispiel für Inhalte eines manuellen Löschlaufes
Für die Bewerbungsunterlagen könnten die Dokumentationen für den Löschlauf mit elektronischer und Papier-Akte somit lauten:
Datenbestand Datum Löschende(r)
Bewerbungsunterlagen Dateisystem 03.10.2023 Petra Musterfrau
Bewerbungsunterlagen Papierakte 03.10.2023 Petra Musterfrau
In der Dokumentation sollen keine personenbezogenen Informationen aus den gelöschten Daten enthalten sein:
Beispiel für fehlerhafte Dokumentation eines manuellen Löschlaufes
Nehmen wir an, Fritz Kowalsky und Katrin Seyfert wären Bewerber gewesen, deren Daten im September löschfällig wurden. Dann wäre in der Dokumentation ein Eintrag wie »Bewerbungsunterlagen Dateisystem x: Unterlagen gelöscht von: Fritz Kowalsky, Katrin Seyfert am 03.10.2023 von Petra Musterfrau« kontraproduktiv.
Mit einem solchen Eintrag wäre immer noch nachvollziehbar, welche Kandidaten sich beworben hatten. Für diese Verarbeitung wäre dies allerdings nur zulässig, wenn es noch einen zulässigen Zweck gäbe – was nicht der Fall ist, wenn die Löschregel richtig bestimmt ist.
Personenbezogene Daten des Löschenden sollen aber durchaus enthalten sein, denn sonst kann nicht nachvollzogen werden, wer den Löschlauf durchgeführt hat. Für sehr sensible Daten, im Fall von komplizierten Löschmaßnahmen oder wenn sichergestellt werden soll, dass bei der Löschung keine Fehler unterlaufen, könnte auch ein Vier-Augen-Prinzip vorgesehen werden. Dann würden beide an der Löschung beteiligten Mitarbeiter den Eintrag in der Dokumentation gegenzeichnen.
3. Wie lange sollte die Dokumentation aufbewahrt werden
In der Dokumentation zu manuellen Löschläufen sind personenbezogene Daten der Löschenden enthalten. Daher dürfen auch diese Protokolle nur so lange gespeichert werden, wie sie für den vorgesehenen Zweck (Rechenschaftspflicht) benötigt werden. Bleibt man in der Systematik der DIN 66398, würde dazu eine Datenart im Regelkatalog definiert.
Gesetzliche Aufbewahrungsfristen für die Dokumentation des manuellen Löschlaufs sind uns keine bekannt. Ein fehlender Löschlauf könnte von der Aufsichtsbehörde aber als Ordnungswidrigkeit bewertet und geahndet werden. Will man eine solche Rüge ausschließen, müsste man Löschläufe bis zur Verjährung der Ordnungswidrigkeit nachweisen. Die längste Verjährungsfrist des § 31 des Gesetzes über Ordnungswidrigkeiten beträgt 3 Jahre.
Beispiel für die Regellöschfrist einer Datenart
Die Regellöschfrist für eine Datenart »Dokumentation zu Löschläufen« könnte lauten: 4 Jahre. Der Startzeitpunkt wäre der Tag der Erstellung eines Eintrags.[1]
[1] Die Löschregel wird aus der Vorhaltefrist und einem zeitlichen Spielraum für die Organisation des Löschlaufs gebildet (siehe dieser Link zur Bildung von Löschregeln). Im Beispiel ergibt sich die Vorhaltefrist aus der Verjährungsfrist für Ordnungswidrigkeiten (3 Jahre). Es wird angenommen, dass mindestens einmal pro Jahr gelöscht werden muss; damit beträgt die Regellöschfrist 4 Jahre.
4. Wie werden die manuellen Löschläufe dokumentiert?
Hier kommt es darauf an, welche Dokumentationsmittel Sie nutzen können oder wollen. Halten Sie den bürokratischen Aufwand niedrig, wichtig ist primär die Nachvollziehbarkeit. Folgende Kriterien können eine Rolle spielen:
- Nachweissicherheit: Genügt es, dass der Verantwortliche für den Löschlauf einen einfachen Eintrag macht oder muss sichergestellt werden, dass das Datum des Eintrags und alle weiteren Angaben unverfälscht aufbewahrt werden? Ist die Dokumentation ohne Probleme verfügbar, auch wenn beispielsweise ein Mitarbeiter krank oder ausgeschieden ist?
- Integration in Abläufe: Über welche Mittel wird die Erinnerung an Löschläufe gesteuert und soll dort auch direkt die Ausführung dokumentiert werden?
- Abdeckung der Löschläufe und Eskalation: Wie soll in der Organisationseinheit anhand der Dokumentation feststellen werden, ob alle Löschläufe einer Periode ausgeführt wurden und an wen werden die nicht ausgeführten Löschläufe eskaliert?
- Löschen der Dokumentation zu Löschläufen: Wenn die Dokumentation zu Löschläufen personenbezogen ist und beispielsweise nach der obigen Löschregel gelöscht werden soll: Können die löschfälligen Einträge leicht separiert und gelöscht werden?
Im Folgenden skizzieren wir drei Möglichkeiten:
Variante Papier-Liste:
Die Löschläufe werden in einer Liste aufgeführt. Die Ausführenden tragen das Datum des Löschlaufs ein und unterschreiben.
Beispiel für die Variante Papier-Liste
Die Liste der auszuführenden Löschläufe könnte in der Organisationseinheit in einer (elektronischen) Tabelle gepflegt werden und wird einmal im Jahr ausgedruckt.
Wenn im Personalbereich monatlich ein Löschlauf für Bewerbungsunterlagen durchzuführen ist, enthält die Liste 12 Einträge für 1 Jahr.
Die zuständige Mitarbeiterin arbeitet die Liste ab, unterschreibt die einzelnen Einträge und legt sie am Ende des Jahres in einem Ordner »Lösch-Dokumentationen« ab.
Zu Begin eines Jahres vernichtet sie die Dokumentation (Papier-Liste), die älter als 3 Jahre ist.
Diese Vorgehensweise könnte sich für ein kleines Unternehmen mit wenigen Beständen an personenbezogenen Daten eignen. Die Variante hat eine hohe Nachweissicherheit.
Variante elektronische Liste:
In einer elektronischen Liste werden alle Datenbestände mit den jeweiligen Löschvorgängen für ein Jahr eingetragen. Wenn im laufenden Jahr neue Datenbestände identifiziert werden, kann die Liste einfach ergänzt werden. Für das Folgejahr wird eine neue, leere Liste erzeugt.
Beispiel für die Variante elektronische Liste
Die Liste der jährlichen Löschläufe wird in einer Tabellenkalkulation geführt und an einer zentralen Stelle in der Dateiablage der Abteilung abgelegt.
Im März jeden Jahres erhalten alle Mitarbeiter eine Erinnerungs-Mail durch das Abteilungssekretariat, dass die Löschaufgaben abgearbeitet werden sollen. Jeder Verantwortliche trägt ein, wann er seine Aufgaben erledigt hat.
Das Sekretariat prüft nach drei Monaten, ob alle Aufgaben erledigt sind: Dazu kann ein Filter auf der Tabelle verwendet werden. Gegebenenfalls wird nach-erinnert.
Wenn alle Löschläufe durchgeführt wurden, wird die Liste (mit anderen Dokumenten) in einer Jahresscheibe mit 4-jähriger Regellöschfrist abgelegt.
Die Nachweissicherheit dieser Variante ist vergleichsweise niedrig. Allerdings bietet sie eine einfache, gemeinsame Dokumentationsmöglichkeit, wenn mehrere Mitarbeiter unterschiedliche Datenbestände löschen, aber an einer Stelle dokumentieren sollen. Die Variante kann sich beispielsweise für die Dokumentation in einem Team oder einer Abteilung eignen.
Variante Datenbank:
In einer Datenbank werden alle Datenbestände geführt, die der Regellöschung unterliegen. Dazu ist jeweils die Löschperiode und die E-Mail-Adresse des Löschverantwortlichen hinterlegt. Dadurch wird eine zentrale Erinnerungsfunktion und Dokumentation möglich.
Beispiel für die Variante Datenbank
In einem elektronischen Verzeichnis von Verarbeitungstätigkeiten (VVT) können auch Datenbestände, die Periode ihrer Löschläufe und die E-Mail-Adressen der für die Ausführung verantwortlichen Mitarbeiter hinterlegt werden.
Das System schickt Erinnerungen per E-Mail. Nach der Erledigung kann der Löschlauf im VVT dokumentiert werden.
Mittels eines Berichts kann ein Mitarbeiter des Datenschutz-Teams die überfälligen Löschläufe identifizieren. Zu diesen wird dann eine Eskalation über die Abteilungsleiter angestoßen.
In unserem Beispiel ist das VVT gut auf das Löschkonzept vorbereitet: Für die Dokumentation der Löschläufe kann eine Löschfrist konfiguriert werden.
Die Nachweissicherheit dieser Variante ist hoch, wenn Einträge zu Löschläufen nachträglich durch die Löschverantwortlichen nicht mehr verändert werden können. Gleichzeitig muss aber die Pflege der Datenbestände und der E-Mail-Adressen in der Datenbank sichergestellt werden.
Weitere Varianten für die Dokumentation sind möglich. Auch könnten für unterschiedliche Datenbestände verschiedene Varianten gewählt werden. Die jeweilige Organisation muss festlegen, welche Anforderungen sie an die Dokumentation stellt und dann daraus dann eine geeignete Dokumentation realisieren.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!