Records Management: Löschungspflicht und Records Management
Carmen de la Cruz Böhringer
RA lic. iur., Notarin, eidg. dipl. Wirtschaftsinformatikerin, spezialisiert in IT-Recht und Partnerin bei LEXcellence AG.
Recht auf Vergessenwerden
Das Recht auf Vergessenwerden, d.h. das Recht auf Löschung i.S. von Art. 17 DSGVO, heisst, dass das Unternehmen die Pflicht hat, nicht mehr benötigte Personendaten zu löschen und zwar unwiderruflich.
Als Records Management wird die Verwaltung von «Records» bezeichnet: «Records sind sämtliche Aufzeichnungen strukturierter Art (Daten-Records) und unstrukturierter bzw. schwachstrukturierter Art (Unterlagen-Records, Dokumente etc. […]. Bereits aus dieser Definition wird ersichtlich, dass Datenschutz (Löschungspflicht) und Records Management einiges gemeinsam haben, womit man sich auseinandersetzen sollte.
Die Löschungspflicht gemäss revDSG und DSGVO trifft jedes Unternehmen und besagt, dass nicht mehr benötigte Personendaten gelöscht werden müssen. Dies wurde in verschiedenen Urteilen bestätigt, so beispielsweise im Entscheid Deutsche Wohnen der Berliner Datenschutzaufsichtsbehörde: Die Datenschutzbehörde des Bundeslandes Berlin hat in Bezug auf die Deutsche Wohnen in ihrem Entscheid vom 5. November 2019 entschieden, dass jene personenbezogenen Daten bezüglich der Immobilien, welche durch die Deutsche Wohnen verwaltet und vermietet werden, zu lange und zu umfassend aufbewahrt wurden. Nachdem die Gesellschaft die Daten auch zwei Jahre nach erfolgter Mahnung nicht gelöscht hatte, wurde eine Busse von 14.5 Millionen Euro verhängt.
Bezogen auf die Aufbewahrungspraxis einer privaten Unternehmung war und ist dieser Entscheid bis anhin einzigartig. Er zeigt auf, dass Aufbewahrungs- und Löschungspflichten von Unternehmen ernst genommen werden müssen, da die Folgen bei Widerhandlungen dramatisch sein können und die Durchsetzungsmechanismen der DSGVO durchaus im Stande sind, die materiellen Vorgaben der DSGVO umzusetzen.
Als erstes Urteil, in welchem das Recht auf Vergessenwerden in der Europäischen Union vor Gericht eingeklagt wurde, machte ein spanischer Fall Schlagzeilen. In diesem wollte ein spanischer Staatsbürger verschiedene Zeitungsartikel über eine Zwangsversteigerung, bei welcher seine Grundstücke versteigert wurden, aus dem Internet gelöscht haben. Google, bzw. dessen spanischer
Ableger Google Spain, wehrte sich dagegen.
Der Europäische Gerichtshof (EuGH) anerkannte in seinem Urteil vom Mai 2014 - also noch vor dem Inkrafttreten der DSGVO - ein Recht auf Vergessenwerden unter gewissen Vorbehalten.
In Bezug auf das Recht auf Vergessenwerden hielt die EU-Kommission selbst fest, dass jede Person ein Recht auf Vergessenwerden haben sollte, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für welche die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist.
Die Löschungsgründe können vielfältig sein, wobei die Pflicht zur Löschung zufolge fehlender gesetzlicher Grundlage oder Wegfall der Bearbeitungsnotwendigkeit im Vordergrund stehen: So kann beispielsweise sein, dass Personendaten nicht mehr aktuell oder nicht mehr relevant sind, die Erlaubnis des/der Betroffenen zur Bearbeitung von Personendaten entzogen wurde oder wenn kein anderer rechtlicher Grund zur Datenverarbeitung besteht. Ist einer dieser Gründe erfüllt, so müssen die Daten gelöscht werden. Dabei trifft den Datenverarbeiter von zwei Seiten eine Löschungspflicht: Erstens direkt aus der DSGVO, wenn einer der erwähnten Tatbestände erfüllt ist und zweitens das individuelle Recht des Einzelnen auf Löschung. Die individuelle Geltendmachung kann vom Einzelnen geltend gemacht werden und hat dabei kein bestimmtes Formerfordernis zu erfüllen.
Die Löschungspflicht gilt jedoch nicht ohne Schranken: So kann eine gesetzliche Vorgabe für die längere Aufbewahrung von Personendaten gegeben sein wie z.B. bei Patientenakten, Grundbuchdossiers etc.
Der resp. die Betroffene hat aber in jedem Fall das Recht, gegenüber Unternehmen das Recht auf Vergessenwerden geltend zu machen.
Tipp: Das Recht auf Vergessenwerden muss umgesetzt werden, wenn Betroffene dies von Unternehmen verlangen. Es empfiehlt sich deshalb, dies bereits in den Unternehmensprozessen mitberücksichtigen und, wenn vom/von der Betroffenen verlangt, auch umzusetzen.
Passende Produkt-Empfehlungen
Datenlöschung
Nicht nur das Recht auf Vergessenwerden, sondern auch die Löschungspflicht ist umzusetzen. Wer Personendaten bearbeitet – dies ist in jedem Unternehmen der Fall – hat diese nach Ende des entsprechenden Zwecks auch wieder zu löschen. Doch was heisst das? Welche Voraussetzungen müssen erfüllt sein, damit Personendaten überhaupt gelöscht werden können? Folgende Punkte sind dabei wichtig und umzusetzen:
- Einführung, Implementierung und Management der Datenklassifizierung,
- Die zu löschenden Daten sind überschrieben,
- Keine Auffindbarkeit im Suchindex, aber Vorhandsein der Daten auf dem Server,
- Löschung der Daten von Log-Files und Backups,
- Datenlöschung aus allen internen Systemen.
Das Ziel der Vorschrift in der DSGVO ist, dass die Personendaten nicht nur schwer auffindbar resp. pseudonymisiert werden, sondern vollständig von den Systemen des Unternehmens gelöscht werden.
Löschung von Personendaten und Records Management
Records Management beinhaltet wie oben erwähnt das Management von «Daten-Records». Records sind ergo so zu managen, dass sie gepflegt und – nach internen und gesetzlichen Vorgaben – gelöscht werden, sobald sie nicht mehr gebraucht werden resp. nicht mehr gebraucht werden dürfen.
Um ein Daten-Record managen zu können, muss man es – genau wie Personendaten – klassifizieren und kategorisieren. Dies ist eine Arbeit, die auch im Rahmen der datenschutzrechtlichen Vorgaben vorzunehmen ist. Ohne eine klare Struktur, welche Personendaten in welche Klasse gehören und in welche Kategorien diese zu fassen sind, können diese nicht ohne weiteres gelöscht werden.
Gleiches gilt für «Records»: Nur, wenn Records klassifiziert und kategorisiert worden sind, können sie weiterverarbeitet und gemanagt werden bis hin zur Löschung. Als Beispiel seien Geschäftsbücher-Records genannt, welche während 10 Jahren aufzubewahren sind, danach jedoch vernichtet resp. gelöscht werden können.
Häufig (aber nicht immer) entspricht ein Record bzw. ein Datensatz eben auch der Definition eines Personendatums. Damit haben die oben genannten Punkte – Datenklassifizierung, Datenkategorisierung etc. – eine erweiterte Gültigkeit. Und last but not least stellt sich die Frage, ob für die Löschung von Records und / oder Personendaten ähnliche Vorgehensweise gewählt werden können.
Anonymisierung, Pseudonymisierung und Records Management
Die Diskussionen der knapp vergangenen drei Jahre seit Inkrafttreten der DSGVO haben gezeigt, dass Löschung von Personendaten ein sehr weites und anspruchsvolles Feld ist. Die Tatsache, dass Personendaten nicht nur in einem Verfahrensverzeichnis (i.S. der DSGVO) resp. Verarbeitungsverzeichnis (i.S. des revDSG) aufzunehmen, sondern eben auch zu klassifizieren und zu kategorisieren sind, wurde vielerorts weder angedacht noch umgesetzt. Gemessen an der Vielfalt und am Umfang von Personendaten ist dies ein sehr allumfassendes Unterfangen, welches jedoch in jedem Fall anzupacken und umzusetzen ist.
Unternehmen, die bereits über entsprechende Records Management Policy resp. über ein Data Management Strategy und Data Management Policy verfügen, tun gut daran, die gemeinsamen Records, die Gemeinsamkeiten der Struktur und der Vorgehensweise herauszuschälen und allenfalls weiter zu vertiefen. Damit können Doppelspurigkeiten vermieden werden und es kann implementiert werden, dass Löschungen in einer abgestimmten Vorgehensweise erfolgen. Dies gilt nota bene nicht nur für Grossfirmen, sondern auch für KMUs: Jedes Unternehmen sollte sich Gedanken machen, wie es insbesondere den Vorgaben der Geschäftsbücherverordnung (GeBüV), aber auch den datenschutzrechtlichen Vorgaben nachkommt und diese kombinieren kann.
Aus datenschutzrechtlicher Sicht haben sich für die stufenweise Löschung von Personendaten folgende Vorgehensweisen ergeben:
Pseudonymisierung
Als erste Stufe zur Umsetzung der Löschungsvorschrift von personenbezogenen Daten präsentiert sich für betroffene Unternehmen zumindest kurzfristig die Option der Pseudonymisierung bzw. Anonymisierung von Daten, die jedoch die Pflicht zur vollständigen Löschung nicht aufhebt.
Datenmerkmale, welche Rückschlüsse auf Personendaten geben, werden in einem ersten Schritt nicht gelöscht oder unkenntlich gemacht, sondern durch «Pseudoinformation» ersetzt oder mittels Methoden ergänzt, was unmittelbare Rückschlüsse zwar verhindert, Rückschlüsse mit Hilfe weiterer Datensätze jedoch möglich machen. Eine Anonymisierung liegt noch nicht vor – Personendaten sind nach wie vor als Personendaten zuordenbar. Aus datenschutzrechtlicher Sicht sind damit sämtliche Datenschutzvorschriften nach wie vor anwendbar.
Anonymisierung
Unter dem Vorgang der Anonymisierung wird eine Art der Bearbeitung von personenbezogenen Daten verstanden, bei welcher die ins Auge gefassten Daten zu einem solchen Grade unkenntlich gemacht werden, dass sie nicht mehr als personenbezogen gelten; jeglicher Bezug zu Personen ist (absolut) unmöglich, auch durch die Nutzung von weiteren Transaktionen (Big Data oder künstliche Intelligenz). Die hinter anonymisierten Daten stehende Person kann also weder aus den Daten selbst, noch aus einer Kombination mehrerer Datensätze unter dem Aufwand herkömmlicher Mittel eruiert werden. Auch Verschlüsselung gilt in den meisten Fällen nicht als genügende Anonymisierung, sondern Pseudonymisierung von Personendaten und damit nicht als absolut taugliches Mittel zur Anonymisierung oder Vermeidung von Datenschutzvorschriften.
Ob und mit welchen Mitteln anonymisierte Daten (ursprüngliche Personendaten) doch wieder zurückgesetzt werden können, ist eine offene Frage. Die Anforderungen an die Anonymisierung sind jedoch sehr hoch, sodass auch die Frage, ob überhaupt Daten in Personendaten zurückgesetzt werden können, meist negativ beantwortet werden muss. Wenn die Hürden gemäss den regulatorischen Vorgaben umgesetzt wurden und anonyme Daten vorliegen, dann ist eine «Rückabwicklung» nicht mehr möglich – neue Technologien und Weiterentwicklungen bleiben vorbehalten.
In Bezug auf Records Management besteht keine so explizite und hohe Hürde wie im Datenschutz. Nichtsdestotrotz bedeutet gelöschte Daten auch hier, dass die Daten nicht mehr zugänglich sind. Im Normallfall stehen jedoch Fragen der Pseudonymisierung oder Anonymisierung kaum im Vordergrund.
Damit zeigt sich hier ein wesentliches Merkmal, welches über die Zeit u.U. an Bedeutung verlieren wird: Personendaten sind nach regulatorischen Anforderungen unwiderruflich zu löschen. Ein solcher so hoher Massstab wird im Bereich des Records Managements nicht angesetzt. Trotzdem: Es ist davon auszugehen, dass in Zukunft die Hürde höher und die Anstrengungen intensiver ausfallen müssen, um den gesetzlichen Anforderungen zu genügen.
Datenklassifizierung und –kategorisierung als Basis von Löschungspflicht und Records Management
Um Records oder Personendaten löschen zu können und insbesondere automatisiert löschen zu können, ist eine Datenklassifizierung und –kategorisierung vorzunehmen bspw. mittels Weisung oder Policy etc. Diese Richtlinien sind die Basis, um danach diese Kategorisierung und –klassifizierung auf der Ebene der Metadaten von Systemen zu erfassen, zu implementieren und anzuwenden.
Ist dieser Vorgang implementiert, können Records oder Personendaten diesem Raster jeweils zugewiesen werden. Mittels der Zuweisung können diese Daten dann auch einfacher gesteuert und damit auch gelöscht werden.
Natürlich ist die konkrete Umsetzung pro Applikation, pro Service, pro Prozess etc. nicht einfach. Nichtsdestotrotz muss diese Arbeit angegangen werden, wenn man die steigende Anzahl von Records und Personendaten automatisiert managen und löschen können will.
Fazit
Die Voraussetzungen für Datenschutzanforderungen und Records Management sind ähnlich: Sie bedürfen für die automatisierte Umsetzung gewisse Instrumente wie die Datenklassifizierung und –kategorisierung.
Liegt diese vor, so kann geprüft werden, ob Klassen und Klassifizierungen nicht vereinfacht und damit effizienter umgesetzt werden können.
Weiter sind Löschfristen gemeinsam steuerbar, wenn man davon ausgeht, dass ein Grossteil der Records auch Personendaten sind. In beiden Fällen müssen Löschfristen definiert und entsprechend umgesetzt werden.
Es empfiehlt sich, in Zukunft diese Anforderungen und Bereiche nicht losgelöst zu behandeln, sondern Gemeinsamkeiten herauszukristallisieren und zu bauen, um Doppelspurigkeiten zu vermeiden.
Tipp: Unternehmen müssen Personendaten, die nicht mehr benötigt werden und für deren Aufbewahrung es keine gesetzliche Aufbewahrungsfrist gibt, löschen. Dies ist auch das Ziel von Records Management: Die gesetzeskonforme Aufbewahrung, aber auch die Löschung von Records. Es empfiehlt sich deshalb, eine gemeinsame strategische Basis für diese Bereiche zu entwickeln und diese dann auch entsprechend umzusetzen.
