Datenschutz-Löschkonzept: So baust du es praxisnah auf

Die DSGVO sagt an mehreren Stellen ziemlich klar, was sie von dir will. Artikel 5 nennt unter den Grundsätzen die Datenminimierung und die Speicherbegrenzung: Daten sollen so gespeichert sein, dass eine Person nur so lange identifizierbar ist, wie es der Zweck verlangt. Erwägungsgrund 39 schiebt nach, dass es Fristen geben muss und dass diese regelmäßig überprüft werden. Das klingt schon nach mehr als nach einer einzeiligen „Wir löschen das halt"-Notiz im VVT.

Dazu kommt Artikel 30. Im Verzeichnis von Verarbeitungstätigkeiten sollen die vorgesehenen Löschfristen stehen, wenn möglich. „Wenn möglich" ist diese DSGVO-typische Klausel, die in der Praxis meistens heißt: doch, das musst du hinkriegen. Und dann ist da noch das Recht auf Löschung aus Artikel 17. Wer das ernst nimmt, kommt schnell zu der Frage, in welchen Systemen die Daten einer einzelnen Person eigentlich überall liegen. In den meisten Unternehmen ist die Antwort: in mehr Systemen, als der oder die Datenschutzbeauftragte auf dem Schirm hat.

Auf der anderen Seite stehen die Aufbewahrungspflichten. Buchhaltungsbelege, Personalakten, steuerlich relevante Unterlagen. Du kannst eben nicht alles wegwerfen, sobald der ursprüngliche Zweck wegfällt. Genau in diesem Spannungsfeld bewegt sich das Löschkonzept.

Wenn du in der DSGVO nach dem Wort „Löschkonzept" suchst, wirst du nichts finden. Eine Pflicht, ein Dokument mit diesem Namen zu erstellen, gibt es nicht. Was es gibt, ist eine Dokumentationspflicht. Du musst nachweisen können, dass du die Anforderungen erfüllst. Wie das Dokument heißt und wie es aussieht, bleibt dir überlassen.

Daraus entstehen zwei typische Fehler. Der erste: Unternehmen lassen sich ein 200-Seiten-Dokument schreiben, oft teuer eingekauft, das danach im Aktenordner verschwindet. Spätestens ab Seite 20 liest das ohnehin niemand mehr. Der zweite Fehler: Es passiert gar nichts, weil unklar ist, was eigentlich gemeint ist.

Aus meiner Sicht ist das eigentliche Problem aber nicht, dass das Thema fachlich kompliziert wäre. Es ist, dass die meisten ein Dokument erzeugen wollen, statt ein Werkzeug. Wenn das Löschkonzept den Arbeitsalltag des DSB nicht erleichtert und dem Unternehmen nicht hilft, tatsächlich zu löschen, dann hast du das Falsche gebaut. Egal wie schön es aussieht.

In meinem Webinar habe ich kürzlich mit Nicole Folchert gesprochen, einer Kollegin, die seit über 30 Jahren in der IT arbeitet und sich auf Löschkonzepte spezialisiert hat. Ihr Ansatz besteht aus drei zusammenhängenden Dokumenten, einem Dreigestirn.

Das erste ist das Verzeichnis von Verarbeitungstätigkeiten. Stefan Hansen-Öst hat das VVT mal das toteste Dokument der DSGVO genannt, weil es in vielen Unternehmen veraltet ist, kaum dass es einmal fertig war. Für ein funktionierendes Löschkonzept ist das VVT trotzdem zentral, nicht als formales Pflichtdokument, sondern als Ausgangspunkt: Welche Verarbeitungen passieren im Unternehmen, mit welchen Datenarten, in welchen Systemen. Wenn dieser Ausgangspunkt nichts taugt, taugt der Rest auch nichts.

Das zweite ist die IT-Landschaftsübersicht. Eine grafische oder tabellarische Aufstellung aller Systeme, in denen personenbezogene Daten liegen. Welche Systeme sind das, welche Schnittstellen gibt es zwischen ihnen, was läuft On-Prem, was in der Cloud, was unter Umständen in einem Drittland. Und ganz wichtig: auch Dev- und Test-Datenbanken, in denen sehr oft noch echte personenbezogene Daten herumliegen, obwohl das nicht sein sollte. Datenbank-Abbilder, die vor Jahren mal jemand für eine Auswertung erstellt hat und die seitdem irgendwo auf einem Server vergessen wurden, gehören in größeren Unternehmen leider eher zur Regel als zur Ausnahme.

Das dritte und eigentliche Arbeitsinstrument ist der Löschregelkatalog. Eine Excel-Liste oder ein vergleichbarer Bereich im Datenschutzmanagementsystem, in dem für jede Datenart steht: in welchem System sie liegt, wie die Aufbewahrungsfrist ist, wie die Löschfrist ist, was der Startzeitpunkt für die Frist ist, ob manuell oder automatisch gelöscht wird, wie die Löschung protokolliert wird, wer dafür verantwortlich ist und ob die betroffene Person informiert werden muss. Das klingt aufwendig. Ist es auch. Aber genau dieses Dokument macht im Audit-Fall den Unterschied zwischen „Wir haben da was" und „Wir wissen, was wir tun".

Wenn du gleich am Anfang in die Fachbereiche reinläufst und fragst: „Welche personenbezogenen Daten verarbeitet ihr?", wirst du selten brauchbare Antworten bekommen. Die Frage ist zu abstrakt, und die meisten haben darauf keine wirkliche Antwort, weil sie ihre Arbeit eben in Prozessen denken, nicht in Datenkategorien.

Anders sieht es aus, wenn du fragst: „In welchen Systemen arbeitet ihr? Wie sieht ein normaler Tagesablauf aus?" Dann hörst du Dinge wie: „Wir speichern das in SAP, manchmal kommt was per E-Mail rein, manchmal landet was auf einem Laufwerk." Daraus lässt sich ableiten, welche Datenarten verarbeitet werden, in welchen Systemen sie liegen und wie sie zwischen den Systemen fließen.

Diese Reihenfolge ist auch deshalb sinnvoll, weil sich die IT-Landschaft beim ersten Durchgehen meistens als gröbste Lücke entpuppt. Schatten-IT taucht auf, vergessene Datenbanken kommen ans Licht, alte Fileserver werden wieder bewusst. Das hat einen Nebeneffekt, den ich für nicht zu unterschätzen halte: Die IT-Kollegen merken plötzlich, wofür dieses Datenschutzthema auch jenseits ihrer Schmerzpunkte gut sein kann. Wenn sie am Ende des Projekts vor einer Übersicht stehen, die ihre eigene Systemlandschaft sauber abbildet, ist die Akzeptanz auf einmal eine ganz andere.

In der Praxis sehe ich übrigens immer wieder, dass dem klassischen ITler eher ein Finger abfällt, bevor er auf die Löschen-Taste drückt. Das ist nicht böse gemeint, das hat strukturelle Gründe. Soft-Delete ist im IT-Alltag der Standard, Hard-Delete fühlt sich riskant an. Genau hier reibt sich der Datenschutz mit der IT, und genau deshalb gehört die IT von Anfang an mit an den Tisch. Wer sie hinterher informiert, kann das Projekt im Grunde gleich noch einmal beginnen.

„Sechs Monate für Bewerbungsdaten, zehn Jahre für Buchhaltung." Hast du das auch schon so häufiger gehört? Das stimmt so pauschal jedoch nicht.

Buchhaltungsdaten dürfen nach zehn Jahren noch nicht zwangsläufig gelöscht werden. Die Frist läuft erst zum Ende des jeweiligen Geschäftsjahres. Dazu kommt unter Umständen der Wirtschaftsprüfer, der die Unterlagen länger braucht. Realistisch landest du bei Buchhaltungsdaten eher bei zwölf bis vierzehn Jahren effektiver Aufbewahrung. Das ist die Aufbewahrungsfrist. Die Löschfrist ist davon zu unterscheiden, das ist die Frist, in der nach Wegfall des Zwecks und nach Ablauf einer eventuellen Aufbewahrungspflicht tatsächlich gelöscht wird. Im Löschregelkatalog hat es sich bewährt, beides nebeneinanderzustellen: Aufbewahrungsfrist links, Löschfrist rechts. Dann sieht jeder sofort, dass da ein Unterschied ist und welcher.

Eine Wahrheit, die in vielen Schulungen unter den Tisch fällt: Für den größten Teil aller Datenarten in einem normalen Unternehmen gibt es überhaupt keine konkrete gesetzliche Aufbewahrungsfrist. Personalstammdaten, CRM-Einträge, Korrespondenz, große Teile der Marketingunterlagen, Videoaufzeichnungen aus der Zutrittskontrolle. Da steht in keinem Gesetz eine Zahl.

Was es gibt, sind Empfehlungen der Aufsichtsbehörden, einschlägige Rechtsprechung, das BGB mit seinen drei oder zehn Jahren als Anhalt, und ein bisschen gesunder Menschenverstand. Wenn ein Fachbereich gefragt wird, welche Aufbewahrungsfrist für seine Datenart gilt, ist die häufigste Antwort: „Weiß ich nicht." Manchmal: „Wir löschen gar nicht." Und manchmal: „Dreißig Jahre, die brauchen wir alle." Alle drei Antworten sind ein Problem.

Genau hier wird der Löschregelkatalog wertvoll. Wenn du dort gut begründete Fristen hinterlegst, idealerweise mit Quelle und einer kurzen Erklärung, warum diese Frist gewählt wurde, hast du im Streitfall etwas in der Hand. Beispiel Videoaufzeichnung: 72 Stunden sind Standard. Aber wenn du einen sensiblen Sicherheitsbereich hast, in dem freitags niemand anwesend ist und ein Einbruch erst am Montag bemerkt würde, ist eine Verlängerung auf fünf oder sieben Tage gut begründbar. Wir haben das in Abstimmung mit der zuständigen Aufsichtsbehörde so umgesetzt. Wichtig ist nur, dass diese Begründung sauber dokumentiert ist und nicht erst beim Audit aus dem Kopf rekonstruiert werden muss.

In der Praxis funktioniert für ein kleines oder mittleres Unternehmen meistens folgendes Vorgehen: Du nimmst eine gut gemachte VVT-Vorlage, die Speicherort, Aufbewahrungsfrist und Löschfrist bereits als Spalten enthält. Dann gehst du die Verarbeitungstätigkeiten Stück für Stück durch und füllst aus, was du schon weißt. Lücken markierst du erstmal rot. Danach führst du kurze Gespräche mit den Fachbereichen, um die roten Stellen zu klären. Die IT-Landschaft kannst du als einfache Übersicht abbilden, notfalls in PowerPoint, notfalls auf Papier. Einen separaten Löschregelkatalog brauchst du erst, wenn das VVT zu eng wird.

Wichtig ist die Haltung dabei: Du wirst beim ersten Durchgang nicht 100 Prozent erreichen. 70 oder 80 Prozent sind ein guter Start. Wichtiger als Perfektion ist, dass du anfängst und dass das Dokument lebt. Ein Löschkonzept, das einmal im Jahr überprüft und angepasst wird, ist deutlich mehr wert als eines, das vor sechs Jahren perfekt war und seitdem im SharePoint vergilbt.

Es gibt ein paar Fragen, die in jedem Webinar zu diesem Thema kommen. Drei davon kurz angerissen.

Erstens Backups. Niemand erwartet von dir, dass du einzelne Bewerberdaten aus einem Backup ziehst. Die Aufsichtsbehörden wissen, dass das technisch nicht praktikabel ist. Wichtig ist, dass du dokumentierst, welche Daten in welchen Backups liegen, wie lange diese Backups gehalten werden und wer Zugriff hat. Sollte ein Backup zurückgespielt werden und damit eine bereits gelöschte Werbeeinwilligung wieder lebendig werden, ist das in der Regel begründbar, solange du den Prozess danach anpasst, damit der gleiche Fehler nicht wieder passiert. Beim ersten Mal kann man das erklären, beim zweiten Mal wird es ungemütlich.

Zweitens Fileserver. Das sind die Bermuda-Dreiecke des Datenschutzes. Niemand weiß genau, was da liegt, niemand fühlt sich richtig verantwortlich, und mit jeder Reorganisation kommen neue Ordnerstrukturen dazu. Hier hilft ein pragmatischer Inventurtag: einmal im Jahr nehmen sich die Projektverantwortlichen ihre Bereiche vor und entscheiden, was bleibt und was geht. Automatische Löschregeln nach Inaktivitätsdauer können das ergänzen. Sich der Tatsache zu stellen, dass auf dem Fileserver Datenbank-Abbilder aus 2015 schlummern, ist meist schon der schwierigste Teil. Der Rest ist Disziplin.

Drittens inaktive Kunden. Die häufige Annahme, Kundendaten müssten „nach drei Jahren ohne Aktivität" gelöscht werden, ist so pauschal nicht richtig. Wenn du einen Aufzugswartungsbetrieb berätst, dessen Kunden alle fünfzehn Jahre eine Wartung beauftragen, dann sind zehn Jahre Aufbewahrung kein Datenschutzverstoß, sondern fachliche Notwendigkeit. Im Automobilhandel sind die durchschnittlichen Wiederkaufintervalle ähnlich lang. Entscheidend ist, dass du den Branchen- und Unternehmenskontext sauber beschreiben kannst: Wer ist Kunde, wann erwartest du Wiederkontakt, woraus leitest du die Frist ab. Wenn das im Konzept steht, kannst du das auch im Audit erklären, ohne ins Schwimmen zu kommen.

Ein Löschkonzept ist im Gesetz nicht definiert, in der Praxis aber notwendig. Was die DSGVO verlangt, ist die Fähigkeit, Daten kontrolliert zu löschen, Fristen zu kennen, sie regelmäßig zu prüfen und zu dokumentieren. Wie du das organisierst, bleibt weitgehend dir überlassen.

Was sich bewährt hat, ist das Zusammenspiel aus drei Dokumenten: einem VVT, das tatsächlich gepflegt wird, einer IT-Landschaftsübersicht, die du als Karte deiner Datenwelt verstehst, und einem Löschregelkatalog als Arbeitsinstrument für den Alltag. Du fängst mit den Systemen an, nicht mit den Prozessen. Du trennst Aufbewahrungsfrist und Löschfrist. Du akzeptierst, dass du nicht perfekt anfängst. Und du beziehst die IT von Anfang an mit ein, sonst entsteht ein Dokument, das niemand lebt.

Wenn das gelingt, hast du am Ende kein Schubladenpapier, sondern ein Werkzeug. Eines, mit dem sich auch das Recht auf Löschung umsetzen lässt, ohne dass es jedes Mal zur Krisensitzung wird.