Löschung personenbezogener Daten: wie dokumentieren?
Geschrieben von Christina Webersohn, veröffentlicht am 31.01.2019Wie die Löschung personenbezogener Daten richtig dokumentiert wird, erfahren Sie in diesem Beitrag.
Die Dokumentationspflichten der DSGVO und das Recht auf Löschung, gemäß Art 17 DSGVO auch als „Recht auf Vergessenwerden“ bekannt, sind auf den ersten Blick wie Feuer und Wasser. Denn widerspricht die Dokumentation einer Löschung nicht dem Recht auf Löschung? Trotzdem müssen Sie beiden gerecht werden. Eine Empfehlung für den rechtskonformen Umgang mit diesem Dilemma möchten wir Ihnen mit dieser Datenschutz-Notiz geben.
Wird einer Löschanfrage entsprochen, z.B. durch die Entfernung aus dem Newsletter-Verteiler oder CRM eines Unternehmens, muss diese auch dokumentiert werden. Für diese Dokumentation nutzt man am besten eine entsprechende Vorlage, die festhält, was wann gelöscht oder gesperrt wurde (Ein guter Ausgangspunkt ist hier z.B. das von uns erstellte Muster, auf welches Ihr Datenschutz-Koordinator Zugriff hat.). Diese Dokumentation sollten Sie anschließend Ihrem Datenschutz-Koordinator zur Verfügung stellen, damit dieser die Dokumentation an einem, vom restlichen Geschäftsbetrieb gesonderten, Ort (z.B. auf der WS Datenschutz-Plattform) ablegen kann. Darüber hinaus sollten keine Kopien des Löschprotokolls aufbewahrt werden. Durch diese einfache Maßnahme wird die Vertraulichkeit der Datenverarbeitung gem. Art. 32 Abs. 1 lit. b DSGVO und damit die Trennungskontrolle gewahrt. Die Löschung bedeutet in diesem Zusammenhang also, dass die personenbezogenen Daten des Betroffenen zunächst nicht mehr weiter (z.B. im CRM oder Newsletter-Versand) verarbeitet werden und ohne Weiteres im normalen Geschäftsbetrieb erreichbar sind.
Aber wie lange muss wiederum das Löschprotokoll aufbewahrt werden? Dazu äußert sich die DSGVO leider an keiner Stelle und auch Urteile gibt es (noch) keine. Wir folgen für unsere Empfehlung deshalb unserem bewährten risiko-basierten Ansatz. Das Risiko ist in diesem Fall ein Bußgeld und es stellt sich somit die Frage: Wie lange nach der ursprünglichen Tat (also der Löschung und der dabei zu erfolgenden Dokumentation) ist mit einem Bußgeld zu rechnen? Nach § 41 Bundesdatenschutzgesetz (BDSG) gelten für Bußgelder nach Art. 83 DSGVO die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) und somit auch dessen die Verjährungsvorschriften. In Bußgeldangelegenheiten gegenüber Aufsichtsbehörden ist in § 31 OWiG die „Verfolgungsverjährung“ geregelt, aus der sich ergibt, dass ein Bußgeld wegen eines Verstoßes gegen die DSGVO (oder das BDSG) in drei Jahren verjährt ist – ab Begehung der Tat. Wir empfehlen deshalb eine Aufbewahrungsfrist von drei Jahren für Löschprotokolle. Eine Aufbewahrung über diesen Zeitraum hinaus ist nur dann notwendig, wenn es in der Zwischenzeit durch Tätigwerden einer Aufsichtsbehörde zu einer Unterbrechung der Verjährung gekommen ist.