DSGVO-Löschpflicht
Frühjahrsputz
Veröffentlicht in Ausgabe 12/2021 - SCHWERPUNKT
Der deutsche Mittelstand sowie Kleinunternehmen sind – daran konnte auch Corona nichts ändern – bis heute das Rückgrat der deutschen Wirtschaft. Und weil digitale Dienste alle Schichten der Gesellschaft durchziehen, sind auch viele mittelständische Betriebe zwischenzeitlich zu halben IT-Firmen mutiert. In Zeiten von Bonpflicht & Co kommt selbst ein Buchbinder ohne IT kaum mehr über die Runden, ohne den Computer geht vielerorts gar nichts mehr. Falls Sie als Administrator stattdessen in einem Konzern tätig sind: Auch kein Problem – denn das zentrale Problem, um das es in diesem Artikel geht, trifft Corporate-IT ebenso wie den Einzelcomputer, mit dem der Friseur seine Buchhaltung erledigt: Gammeldaten, die längst weg sein müssten.
Dahinter steckt natürlich die DSGVO. Deren Umsetzung wird nach einer langen Eingewöhnungsphase von den Datenschutzbehörden mittlerweile erzwungen und sorgt in vielen Firmen für unangenehme Überraschungen. Denn anders als viele glauben, legt die DSGVO nicht nur fest, welche Daten Unternehmen erheben dürfen und wie sie diese zu speichern haben, sondern auch, wann Daten zu löschen sind. Der Grundgedanke dabei ist das Prizip der "Datensparsamkeit". Daten, die ein Unternehmen nicht hat, kann es weder verlieren noch missbrauchen. Die eherne Regel, die die DSGVO daher festlegt, lautet: Nicht mehr benötigte Daten sind konsequent zu löschen.
Ausnahmen von der Regel
Für Administratoren tut sich an dieser Stelle ein riesiges Minenfeld auf – denn sie haben bei ihrer täglichen Arbeit zwar auch die DSGVO zu beachten, aber nicht nur. Folgerichtig definiert die Verordnung eine zentrale Ausnahme von der Löschpflicht, nämlich für die Fälle, in denen es eine "andere Rechtsgrundlage" für das Speichern der Daten gibt. Das klassische Beispiel sind Finanzunterlagen: Was das Finanzamt möglicherweise bei einer Prüfung auch Jahre später noch an Belegen sehen will, darf der Admin freilich nicht löschen.
Der deutsche Mittelstand sowie Kleinunternehmen sind – daran konnte auch Corona nichts ändern – bis heute das Rückgrat der deutschen Wirtschaft. Und weil digitale Dienste alle Schichten der Gesellschaft durchziehen, sind auch viele mittelständische Betriebe zwischenzeitlich zu halben IT-Firmen mutiert. In Zeiten von Bonpflicht & Co kommt selbst ein Buchbinder ohne IT kaum mehr über die Runden, ohne den Computer geht vielerorts gar nichts mehr. Falls Sie als Administrator stattdessen in einem Konzern tätig sind: Auch kein Problem – denn das zentrale Problem, um das es in diesem Artikel geht, trifft Corporate-IT ebenso wie den Einzelcomputer, mit dem der Friseur seine Buchhaltung erledigt: Gammeldaten, die längst weg sein müssten.
Dahinter steckt natürlich die DSGVO. Deren Umsetzung wird nach einer langen Eingewöhnungsphase von den Datenschutzbehörden mittlerweile erzwungen und sorgt in vielen Firmen für unangenehme Überraschungen. Denn anders als viele glauben, legt die DSGVO nicht nur fest, welche Daten Unternehmen erheben dürfen und wie sie diese zu speichern haben, sondern auch, wann Daten zu löschen sind. Der Grundgedanke dabei ist das Prizip der "Datensparsamkeit". Daten, die ein Unternehmen nicht hat, kann es weder verlieren noch missbrauchen. Die eherne Regel, die die DSGVO daher festlegt, lautet: Nicht mehr benötigte Daten sind konsequent zu löschen.
Ausnahmen von der Regel
Für Administratoren tut sich an dieser Stelle ein riesiges Minenfeld auf – denn sie haben bei ihrer täglichen Arbeit zwar auch die DSGVO zu beachten, aber nicht nur. Folgerichtig definiert die Verordnung eine zentrale Ausnahme von der Löschpflicht, nämlich für die Fälle, in denen es eine "andere Rechtsgrundlage" für das Speichern der Daten gibt. Das klassische Beispiel sind Finanzunterlagen: Was das Finanzamt möglicherweise bei einer Prüfung auch Jahre später noch an Belegen sehen will, darf der Admin freilich nicht löschen.
Die Krux liegt dabei allerdings im Detail: Das Finanzamt wird sich mit Rechnungen und Kontounterlagen regelmäßig zufrieden geben, doch erstellte PDF-Dateien beispielsweise sind unabhängig von dem Programm speicherbar, das diese Informationen usrprünglich erstellt hat. Ob es nötig ist, in der Datenbank des eigenen Webshops die persönlichen Daten eines Kunden zu speichern, der dort seit fünf Jahren nichts bestellt hat, ist schon wieder deutlich umstrittener.
Und auch interne Daten betrifft die Löschregel der DSGVO. Unterlagen mit Infos über ehemalige Kolleginnen oder Kollegen dürften fünf Jahre nach dem Ausscheiden der Person aus dem Unternehmen eher nicht mehr benötigt werden. In den Archiven mancher Firmen schlummern nichtsdestotrotz auch heute noch die Gehaltsabrechnungen von Personen, die längst ihren Ruhestand genießen. Schaut dann der oder die Datenschutzbeauftragte des Landes vorbei, ist guter Rat im wahrsten Sinne des Wortes teuer – denn DSGVO-Strafen können empfindliche Höhen ereichen.
Zu warten und hoffen ist für Unternehmen insofern keine valide Option. Doch wie lassen sich solche versteckten Daten im Unternehmen auffinden, auflösen und so die Gefahr bannen? In diesem Beitrag beleuchten wir zuerst ein paar Beispiele aus der Praxis. Dann beschäftigen wir uns mit der DIN-Norm 66398. Diese vermittelt verbindliche Regeln für das Erstellen von umfassenden Löschkonzepten, damit IT-Verantwortliche den Besuch der Datenschützer nicht fürchten brauchen.
Offensichtliche Verstecke
Daten im Unternehmen haben die unangenehme Eigenschaft, dass sie sich an beinahe jeder beliebigen Stelle befinden können. Das geht schon bei den Zugängen von Kollegen zu ihren eigenen Rechnern sowie zu den Systemen los, die diese warten und betreiben. Dass der persönliche Laptop personenbezogene Daten enthält – und aller Voraussicht nach nicht nur die eigenen, denken wir an lokal gespeicherte E-Mails, Dokumente et cetera, liegt auf der Hand. In den allermeisten Firmen werden diese Geräte allerdings nach dem Ausscheiden einer Person eingezogen, sicher gelöscht und gegebenenfalls einer anderen Person erneut zugeteilt.
Weniger offensichtlich wird es bereits bei Systemen, auf die die Kollegen zwar Zugriff haben, die aber nicht ihre Arbeitsgeräte sind. Server sind hierfür ein klassisches Beispiel. Die allermeisten Compliance-Regelwerke schreiben vor, dass es möglich sein muss, Änderungen und ihre Urheber nachzuverfolgen. Deshalb hat es sich eingebürgert, dass Systemverwalter auf den ihnen unterstellten Systemen eigene Benutzerzugänge besitzen, die mittels Werkzeugen wie sudo zu Root-Rechten führen (für Windows gelten analoge Voraussetzungen).
Verlässt nun eine Person das Unternehmen und gibt es zwischen den Vertragsparteien keine gegenseitigen Ansprüche mehr, sieht die DSGVO eine Löschpflicht etwaiger Daten nach sechs Monaten vor. Spätestens dann müssen die Zugänge also nicht nur deaktiviert sein, sondern die damit verbundenen Daten auch gelöscht. Das betrifft zum Beispiel die Logdateien von Kommandozeilen (Bash History), die zweifelsohne als personenbezogene Information nach DSGVO durchgehen.
Falls Sie an verantwortlicher Stelle in der IT tätig sind, schadet es schon jetzt nicht, sich einmal die Frage zu stellen: Gibt es auf Ihren Systemen an der einen oder anderen Stelle noch Überbleibsel von Kollegen, die die Firma längst verlassen haben? Im Grunde handelt es sich bei diesen Arten von Daten ja noch um recht offensichtliche Datenschätze – und doch muss man in den meisten Firmen gar nicht lange suchen, um Daten dieser Art zu finden, die eigentlich nicht mehr vorhanden sein dürften.
Versteckt in der Peripherie
Je weiter wir uns in die IT-Peripherie von Unternehmen vorarbeiten, desto gruseliger werden die versteckten Datensilos. Verwenden Sie in Unternehmen Drucker? Dann ist Ihnen vermutlich bekannt, dass viele Drucker bis heute über einen Cache verfügen, der nur bei Bedarf zum Teil geleert wird. Bleibt der Drucker längere Zeit ungenutzt, finden sich im Cache zum Teil Dokumente von vor Wochen oder Monaten. Weil diese ja zumindest nochmal auf dem Computer existieren, der den Druckauftrag ursprünglich verschickt hat, besteht auf dem Drucker nicht die Notwendigkeit, diese Daten vorzuhalten. Bei den meisten Modellen ist ein Haken bei der entsprechenden Option im Konfigurationsmenü alles, was zu ein bisschen mehr Sicherheit im DSGVO-Kontext fehlt. Es scheitert in aller Regel aber am Bewusstsein des administrativen Personals, dass es überhaupt ein Problem gibt.
Ähnliches gilt für Datenbanken mit Kundendaten. Diese finden sich in beinahe jedem Unternehmen – ohne EDV-gestützte Verwaltung wären viele Unternehmen ansonsten auch gar nicht in der Lage, überhaupt zu funktionieren. Allerdings geht das mit einer Herausforderung einher: Welche Daten müssen Unternehmen wie lange aufbewahren, und wichtiger noch: Welche Daten müssen zeitnah weg? Hier ist die Krux, dass die genutzte Software oft noch aus einer Zeit weit vor der DSGVO stammt und gar keine Funktionen bietet, um Datensätze überhaupt nach verschiedenen Kriterien aufzutrennen. Shop-Softwares etwa haben dieses Problem regelmäßig. Löschbar ist stets nur der gesamte Zugang eines Kunden ohne die Option, einzelne Dateien oder Teile zu behalten – zum Beispiel die ausgestellten Rechnungen.
Unternehmen, die solche Software einsetzen, tun gut daran, rechtzeitig Druck auf die Autoren der jeweiligen Programme auszuüben. Denn letztlich erreichen Sie nur dann einen DSGVO-konformen Zustand, wenn sich die genutzte Software entsprechend weiterentwickelt. Handelt es sich um Applikationen aus dem eigenen Haus, ist das von Vorteil, denn dann kann ein Unternehmen die nötigen Anpassungen zeitnah forcieren. Bei externer Software gestaltet sich dies komplizierter und langwieriger.
Doch nicht nur auf Festplatten und SSDs lauern im Unternehmen Gefahren bezüglich der Löschpflichten der DSGVO. Auch papierhafte Belege können für Unternehmen ein Problem darstellen. Denn die Löschpflichten der DSGVO sorgen dafür, dass aus der früheren "Kann"-Bestimmung, wonach diverse Unterlagen für das Finanzamt nach zehn Jahren vernichtet werden dürfen, eine "Muss"-Bestimmung wird. Aus alten Kontoauszügen, die im Sinne des Finanzamts zehn Jahre lang als Beleg aufzubewahren waren, lassen sich etwa Geschäftsbeziehungen zu Ihren Kunden und Lieferanten rekonstruieren. Es dürfte allerdings nur wenige Fälle geben, wo das nach zehn Jahren noch gerechtfertigt ist. Auch hier gilt daher: Weg damit! Und zwar sowohl auf Papier als auch digital.
Gefährliches Internet der Dinge
Schöne neue Welt denkt sich mancher Administrator, wenn es um das Internet der Dinge geht. Doch viele sehr praktische IoT-Anwendungen produzieren Daten mit Personenbezug im Überfluss, was im Kontext der Löschpflichten ebenso eine Herausforderung ist wie im Kontext des Verbots der Weitergabe an Dritte außerhalb des DSGVO-Geltungsbereiches. Ein entsprechendes Verbot ist in Art. 44 der DSGVO kodiert und hat im Alltag mehr praktische Konsequenzen, als es Unternehmen oft klar ist.
Ein schönes Beispiel dafür sind digitale Assistenten wie Siri und das smarte Beleuchtungssystem Hue von Philips. Die stylischen Lampen finden sich längst nicht mehr nur in Wohnzimmern, sondern haben auch Büros vielerorts erobert. Was im ersten Augenblick Sinn ergibt: Aus der Ferne lassen sich die Lampen etwa auch dann ausschalten, wenn der letzte Kollege bei Verlassen des Büros das mal wieder vergessen hat. Und ist es nicht praktisch, dass die Mitarbeiter das Licht an ihrem Schreibtisch einfach durch "Siri, schalte das Licht ein" aktivieren, statt dafür extra zum Lichtschalter zu laufen? Die Belegschaft freut sich über solche Gimmicks, aber dem Administrator droht Ungemach.
Denn zunächst lassen sich zwischen smarten Leuchten und einzelnen Personen eindeutige Verbindungen herstellen. Eine smart Leuchte oder Lampe hat wie jedes andere netzwerkfähige Geräte eine MAC-Adresse. Aus dem Umstand, dass die Lampe mit der MAC-Adresse XYZ am Donnerstag um 07:30 Uhr angegangen ist, ist also – vor allem bei gewisser Regelmäßigkeit – herzuleiten, dass die Person im Büro ihre Tätigkeit um diese Uhrzeit aufgenommen hat. Das Problem: Diese Info hat auch Philips – und wenn die Lampe via Siri & Co aktiviert wird, haben diese Info zudem Apple oder Amazon. Und spätestens in diesem Augenblick hat der Admin gar keine Kontrolle mehr darüber, was mit den Daten passiert.
Ein Export von Daten mit Personenbezug in die USA ist jedenfalls grundsätzlich heikel, weil das ehemalige Datenschutzabkommen Safe Harbor mittlerweile durch den EuGH für ungültig erklärt worden ist und in Amerika zudem der CLOUD-Act gilt. Dieser verpflichtet Cloudanbieter, Daten von Servern auf Anfrage von US-Behörden ohne Wenn und Aber herauszurücken, was Artikel 44 der DSGVO klar widerspricht. Anders formuliert: Schlaue Lampen mögen angenehm und bequem sein, im Hinblick auf die DSGVO sind sie aber problematisch.
Und die Liste der Geräte mit potenziell gefährlichen Daten im DSGVO-Kontext ist noch lange nicht zu Ende. Gerade Start-ups ködern Mitarbeiter oft mit Angeboten wie gutem, kostenlosem Kaffee aus professionellen Maschinen. Ein ordentlicher Vollautomat, der pro Tag 100 und mehr Kaffee ausgibt, kostet gerne mal so viel wie ein Kleinwagen. Und auch vor diesen Geräten hat das Internet of Things nicht Halt gemacht. Zugegeben: Die Vorstellung, schon aus der U-Bahn heraus einen Kaffee per App zu bestellen, der dann fertig auf einen wartet, hat freilich seinen Reiz. Die Belegschaft verfällt in Euphorie, der Beauftragte für Datenschutz eher in Panik.
Denn wenn es auf der Kaffeemaschine nötig ist, für die Steuerung per App einen Benutzerzugang anzulegen, so ist freilich auch dieser eine personenbezogene Information im Sinne der DSGVO. Und selbst wenn das jeweilige Gerät keine Accounts bedingt, schreibt es beim Aufnehmen einer Bestellung vermutlich doch die MAC-Adresse des Gerätes auf, das die Bestellung ausgelöst hat. Und die wiederum ist eindeutig einer Person zuzuordnen, weil MAC-Adressen (zumindest in der Theorie) global einmalig sind.
Doch welches Unternehmen durchkämmt schon alle Kaffeemaschinen im Haus nach personenbezogenen Daten, wenn ein Mitarbeiter die Firma verlässt? Für die meisten Betriebe dürfte das schon wegen der nötigen Zeit völlig unpraktikabel sein. So bitter es auch ist: Der smarte Teil der Kaffeemaschine bleibt aus gesagten Gründen besser aus und der Kaffee findet erst nach einem Knopfdruck vor Ort den Weg in die Tasse.
Logdateien sind problematisch
Etwas offensichtlicher hingegen ist die Problematik uralter Logdateien, die in vielen Unternehmen über Monate und Jahre hinweg gespeichert werden. Aus den Daten, die in Webserver-Logs schlummern, lässt sich das gesamte Verhalten eines Clients auf der eigenen Website rekonstruieren – vom ersten Hit bis hin zur abgeschlossenen Bestellung. Es gibt verschiedene Gründe, diese Daten nicht direkt zu löschen.
Zum Teil sind diese rechtlicher Natur: Stellt sich ein getätigter Einkauf als Betrug heraus, möchte der Unternehmer zumindest die IP-Adresse kennen, um den Ganoven ausfindig zu machen. Dann ist aber darauf zu achten, dass die Daten nach dem Verstreichen eines angemessenen Zeitraums turnusgemäß gelöscht werden – was dank zentraler Logging-Systeme heute auch nicht mehr so schwierig rechtssicher durchzuführen ist wie früher.
Löschen mit System: DIN-Norm 66398
Bei der Lektüre dieses Artikels mag manchen Systemverwalter das eher ungute Gefühl überkommen haben, dass auch im eigenen Unternehmen versteckte Daten mit DSGVO-Relevanz an verschiedenen Stellen schlummern. Wichtig ist es in solchen Fällen, die Ruhe zu bewahren und nicht in Aktionismus zu verfallen. Es gibt dokumentierte Prozesse, um versteckte Daten im eigenen Unternehmen zu lokalisieren – und die DIN-Norm 66398 [1] springt dem Administrator mit Rat und Tat zur Seite. Auf gerade einmal 49 Seiten nimmt das DIN-Institut den Admin an die Hand und begleitet ihn durch den Prozess der Erstellung eines passenden Löschkonzepts.Dabei geht die Norm mehrstufig vor. Zunächst sieht sie vor, die Daten und die Art der Daten, die ein Unternehmen empfängt, verarbeitet, versendet und speichert, zu kategorisieren. Zweck und Typ der Information sind die dabei genutzten Kategorien, anhand derer sich schnell eine Struktur der eigenen Datenhaltung anlegen lässt. Dieser Teil ist zweifelsfrei der mit dem größten Nervfaktor, weil er die enge Zusammenarbeit aller Abteilungen im Unternehmen bedingt – wer weiß, wo Daten liegen, oder sie zumindest an einer bestimmten Stelle vermutet, ist zur Mitarbeit aufgerufen.Dann geht es darum, den einzelnen Datenarten die passenden Löschfristen zuzuweisen. Wie beschrieben greift hier nicht exklusiv die DSGVO, sondern es kommen auch andere Rechtsgrundlagen für das Speichern in Frage. Anhand der zuvor angelegten Matrix von Datentypen und Speicherzweck entsteht so eine weitere Tabelle mit den so genannten "Löschklassen". Und anhand dieser lässt sich klar ablesen, welche Daten wann wo wie zu löschen sind.Zusätzlich legt die DIN-Norm auch noch technische Vorgaben für den Vorgang des Löschens fest und beschreibt, welches Personal im DSGVO-Kontext mit welchen Aufgaben formal zu benennen ist, etwa im Rahmen eines Verfahrens zur Freigabe von einzelnen Löschprozessen.
Verzwickte WORM-Archive
Den technischen Abschluss unseres Artikels bilden WORM-Archive, die den Admin vor dem Hintergrund der DSGVO vor eine schier unlösbare Aufgabe stellen: Auf der einen Seite sind WORM-Geräte (Write Once, Read Many) ja gerade darauf ausgelegt, Daten rechtssicher und dauerhaft zu speichern. In manchen Anwendungsfällen ist die Nutzung von WORM-Archiven behördlich sogar klar und ganz eindeutig vorgeschrieben, etwa wieder im Kontext des Steuer- und Finanzrechts.
Das hat dazu geführt, dass Unternehmen in den vergangenen Jahrzehnten Daten aus den eigenen Hauptanwendungen flächendeckend in WORM-Speichern abgelegt haben. Frei nach dem Motto "viel hilft viel" fanden sich in Archivspeichern der Deutsche Wohnen etwa detaillierte personenbezogene Daten zu ehemaligen Mietern und Mietverhältnissen, die längst gekündigt worden waren.
"Geht nicht" stellte die Berliner Datenschützerin fest und verhängte unter anderem, weil die Deutsche Wohnen SCHUFA-Auskünfte und Gehaltsnachweise aus den 1990er-Jahren aufbewahrte, ein heftiges Bußgeld in Höhe von 14,5 Millionen Euro. Über dieses wird vor diversen Gerichten seither freilich verbittert gestritten, doch der Tenor ist deutlich: Einfach mal alles speichern, weil das im Sinne anderer Gesetze nötig erscheint, funktioniert so nicht mehr.
Stattdessen müssen Unternehmen in ihren schon existierenden Datenbeständen sorgfältig prüfen, welche Daten gesetzlich vorgeschrieben noch aufzubewahren sind und welche weg können. Bei solchen Daten, die unstrittig zu verwahren sind, ist zumindest zu prüfen, ob einzelne Teile des Datensatzes vorab gelöscht werden können. Den Betreibern von WORM-Geräten hilft das natürlich nicht, denn die sind ja explizit darauf ausgelegt, nach dem ersten Schreiben nicht modifizierbar zu sein.
Der unbotmäßige technische Aufwand
Doch eilt Systmeverwaltern bei allen Unwegbarkeiten eine andere Bestimmung der DSGVO zu Hilfe, die möglicherweise einen Rettungsanker bietet. Die Verordnung sagt nämlich zumindest im Augenblick auch, dass Unternehmen Daten dann nicht löschen müssen, wenn das für sie einen unbotmäßig hohen technischen Aufwand bedeutet. Das ist allerdings sorgfältig zu begründen. Obendrein muss ein Unternehmen, das sich auf diesen Absatz beruft, dokumentieren, dass es seine internen Prozesse so gestaltet hat, dass die eigentlich nicht mehr benötigten Daten nicht ihren Weg in die alltägliche Nutzung zurückfinden. Im Klartext: Daten, die eigentlich zu löschen wären, müssen durch Prozesse so geschützt sein, dass sie zielsicher unter Verschluss bleiben.
Darauf verlassen, dass dieser Paragraph in der DSGVO ewig erhalten bleibt, sollten sich Unternehmen allerdings nicht. Deshalb ist es wichtig, wie schon beschrieben, auf die Hersteller externer Software einzuwirken, damit durch deren Programme verarbeitete Informationen besser aufteilbar und damit im Sinne der DSGVO handhabbar bleiben oder werden.
Fazit
So lästig die Löschpflichten der DSGVO im Alltag des Admins auch sein mögen: sie zu ignorieren, hilft nicht. Viele Unternehmen müssen sich zudem ankreiden lassen, dass sie in den vergangenen Jahren, in denen die DSGVO zwar bereits ausformuliert war, aber durch die Behörden noch nicht erzwungen worden ist, viel zu wenig proaktiv unternommen haben.
Gerade in diesen Firmen ist der Aufschrei heute groß. So oder so: Unternehmen tun gut daran, sich im Sinne der DIN-Norm 66398 zeitnah ein umfassendes Löschkonzept zu erstellen und umzusetzen. Denn wenn die Datenschutzbehörden vor der Tür stehen und mit dem Strafbescheid winken, ist es dafür definitiv zu spät.
(dr)
Link-Codes
[1] DIN-Norm 66398: https://www.din.de/de/wdc-beuth:din21:249218525/