Daten DSGVO-konform löschen

Daten löschen – das klingt erst einmal einfach. In der Realität stellt die DSGVO-konforme Löschung von Daten jedoch viele Unternehmen vor Herausforderungen.

Die Arbeit mit Daten schließt auch deren Löschung mit ein. Dies mag eine triviale Aussage sein, die Löschung von Informationen bringt aber einige Herausforderungen mit sich, technischer wie rechtlicher Natur. Endet beispielsweise eine Kundenbeziehung mit einem Unternehmen, so ist dieses verpflichtet, alle personenbezogenen Daten zu löschen – im strengen Einklang mit der DSGVO. Gleichzeitig benötigt das Finanzamt Einsicht in alle steuerlich relevanten Daten, z. B. geschriebene Angebote, Rechnungen usw. 

Um alle Buchungen und Zahlungen nachvollziehen zu können, benötigen Finanzbehörden zudem die persönlichen Informationen der Urheber. Der Zeitraum, in dem Unternehmen diese Informationen für das Finanzamt vorhalten müssen, ist groß: Zehn Jahre nach Abschluss der letzten kaufmännischen Buchung müssen die Rechnungen vorliegen, erst zu Beginn des elften Jahres darf das Unternehmen die Daten löschen.

Hier entsteht scheinbar eine Zwickmühle: Wie können Organisationen dem Recht auf Löschung personenbezogener Daten und gleichzeitig ihren steuerrechtlichen Pflichten nachkommen?

Was sind eigentlich personenbezogene Daten?

Entgegen der weitläufigen Meinung, bei personenbezogenen Daten handele es sich nur um persönliche Informationen (Name, Adresse etc.), schließt der Begriff mehr ein. Vielmehr sind damit alle Daten gemeint, mit denen sich eine Verknüpfung zu einer bestimmten Person herstellen lässt. In der Praxis können das sehr viele sein: Von Vertragsvereinbarungen über Daten aus dem Nutzertracking, wie Kaufhistorien oder Surfverhalten, bis hin zu E-Mails kann alles als personenbezogen eingeordnet werden.

Dabei ist unerheblich, ob die Verbindung zwischen Daten und Person hergestellt wird, entscheidend ist nur die Möglichkeit, dies zu tun. Aus diesem Grund zählen auch in Logs gespeicherte IP-Adressen zu den personenbezogenen Daten: Es ist technisch zwar schwierig, von IP-Adressen auf Personen zurückzuschließen, aber die Möglichkeit besteht. Eine Verschlüsselung der Daten hilft indes auch nicht: Wer den Schlüssel kennt, kann auch die Daten entschlüsseln und sie mit den jeweiligen Personen in Verbindung bringen.

Was Unternehmen tun können

All dies erschwert die Arbeit für Unternehmen, DSGVO-konform zu handeln und gleichzeitig Daten für andere rechtliche Pflichten zu speichern. Das Steuerrecht ist nicht das einzige Recht, das lange Speicherzeiträume vorsieht, Handelsrecht sowie Energiewirtschafts- und Kreditwesengesetz brauchen auch Jahre nach dem Ende einer Geschäftsbeziehung Einsicht in entsprechende Dokumente.

Um Daten DSGVO-konform zu löschen, müssen Unternehmen bei Beendigung einer Geschäftsbeziehung – um mit den Worten der DSGVO zu sprechen – prüfen, ob andere gesetzliche Vorgaben gegen eine Löschung sprechen. Wenn ja, werden die Daten zunächst archiviert und müssen am Ende der z. B. steuerrechtlichen Aufbewahrungsfrist gelöscht werden. 

Unternehmen brauchen deshalb zwei Dinge: Zunächst ist eine Art Datenverarbeitungsverzeichnis sinnvoll, das alle Vorgänge erfasst und den verschiedenen Aufbewahrungspflichten zuordnet. Es enthält auch Informationen darüber, welche Daten im Unternehmen gespeichert und verarbeitet werden und welche davon personenbezogen sind. Ein Löschkonzept, das erfasst, welche davon gelöscht werden sollen, ergänzt das Verzeichnis im besten Fall. Die Folge ist zwar ein hoher organisatorischer und technischer Aufwand, dieser macht sich bei Prüfungen durch die Datenschutzbehörde jedoch bezahlt. 

Zudem brauchen Unternehmen technische Lösungen, die ihnen helfen, die richtigen Daten zum richtigen Zeitpunkt aus allen Systemen, inklusive Archiven und Backups, zu filtern. Backup-Systeme sind dafür oft nicht ausgelegt. Denn bis 2018 waren Datenbank-, Backup- und Cloud-Infrastrukturen häufig nicht zwingend vom Recht auf Datenlöschung betroffen.  

Software-Lösungen aus dem Bereich des Data Lifecycle Management (DLM) unterstützen darüber hinaus: basierend auf definierbaren Richtlinien helfen sie, den Lebenszyklus von Daten zu automatisieren. Eine strikte Trennung von Kundendaten und anderen Informationen kann solch ein System ergänzen, ist aber oft prozesstechnisch nicht umsetzbar.

Fazit

Die Löschung von Daten kann Unternehmen vor Herausforderungen stellen, vor allem, wenn sich DSGVO und andere rechtliche Vorgaben in die Quere kommen. Doch das Recht auf Löschung personenbezogener Daten und die Nachweispflicht bei Finanzamt und Co. stehen nur scheinbar im Konflikt.
Treffen Unternehmen bei der Speicherung von Daten die richtigen Vorkehrungen,  wie etwa ein Verarbeitungskonzept, und setzen dazu noch auf technische Lösungen, die sie bei der Datenpflege unterstützen, steht einer DSGVO-konformen Datenlöschung nichts mehr im Wege.