Löschkonzept nach DSGVO – Regeln, Pflichten & Tipps für Vereine
Löschkonzept DSGVO – Das Wichtigste in Kürze
- Die Datenschutz-Grundverordnung (DSGVO) gibt Vorgaben zur Löschung personenbezogener Daten.
- Ergänzt und präzisiert werden diese Vorschriften durch das Bundesdatenschutzgesetz (BDSG).
- In der Konsequenz müssen Unternehmen die Daten von Betroffenen löschen.
- Je nach Kategorie der verschiedenen Daten müssen Löschfristen eingehalten werden.
- Ein Löschkonzept nach DSGVO kann dabei helfen, notwendige Löschungen systematisch vorzunehmen.
- Die Verpflichtung aufgrund steuerrechtlicher Bestimmungen, Daten länger aufzubewahren, kann einer Löschung entgegenstehen.
- Verstöße gegen das DSGVO durch das Unternehmen sind mit empfindlich hohen Bußgeldern bedroht.
Was ist ein Löschkonzept?
Ein Löschkonzept gemäß der Datenschutz-Grundverordnung (DSGVO) dient einem Unternehmen, die gesetzlich vorgeschriebene Löschung personenbezogener Daten umfassend und strukturiert vorzunehmen. Auch für einen Verein bedeutet dies, dass eine Reihe von datenschutzrechtlichen Vorschriften zu beachten sind, insbesondere wenn personenbezogene Daten der Vereinsmitglieder gespeichert und weiterverarbeitet werden.
Die DSGVO selbst macht hierzu klare Vorgaben, wer als Verantwortlicher welche Daten löschen muss. Das seit 1977 existierende Bundesdatenschutzgesetz (BDSG) ist als Ergänzung zur DSGVO anzusehen, da es deren Vorgaben präzisiert. Dabei dürfen personenbezogene Daten nur so lange aufbewahrt bzw. gespeichert werden, wie sie seitens des Unternehmens benötigt werden. Dies ist etwa dann nicht mehr der Fall, wenn sie ihren ursprünglichen Zweck nicht mehr erfüllen. Im Fall der Vereinszugehörigkeit ist der weggefallene Zweck unmittelbar mit dem Austritt des Vereinsmitglieds aus dem Verein gegeben.
Dieser Zweckbindungsgrundsatz wird von der eigentlich europäischen Verordnung so ausgelegt, dass die Speicherung der Daten nur dann aufrechterhalten werden darf, wenn auch die Verarbeitung der Daten eine zweckorientierte Berechtigung aufweist. Denn der Nutzer bzw. Berechtigte hat seine personenbezogenen Daten nur für bestimmte Zwecke preisgegeben.
Im Gesetz ist zudem das persönliche Recht auf Löschung („Recht auf Vergessenwerden“) verankert. Danach kann die betroffene Person von dem jeweiligen Verantwortlichen nach Art. 17 DSGVO verlangen, eigene personenbezogene Daten unverzüglich zu löschen. Anhand der Vorgaben eines Löschkonzeptes wird demzufolge festgelegt, nach welchem System die Daten zu erfassen sind und in welcher Form die Löschung selbst zu erfolgen hat, damit der Unternehmer seinen Datenschutzpflichten nachkommt.
Allerdings kann ein Mitglied nicht verlangen, dass grundsätzlich alle personenbezogenen Daten gelöscht werden, da ansonsten dadurch die Grundlage für eine Mitgliedschaft und eine korrekte Mitgliederverwaltung nicht mehr gegeben ist.
Warum ist ein Löschkonzept auch für Vereine wichtig?
Löschkonzepte gemäß der DSGVO sind auch für Vereine von immenser Bedeutung, da sich jeder Verein bei Nichteinhaltung der gesetzlichen Vorgaben der DSGVO hohen Bußgeldern gegenübersehen kann. Um dies zu vermeiden, sollte jeder Verein, völlig ungeachtet einer Eintragung im Vereinsregister, die rechtzeitige Löschung der Mitgliederdaten im Visier haben. Neben Bußgeldern drohen ansonsten zudem Entschädigungsansprüche seitens der (ehemaligen) Vereinsmitglieder.
Bei der Anwendung der DSGVO-Vorgaben steht u. U. der Interessenkonflikt beider Parteien im Fokus. Während das Vereinsmitglied mit der Löschung der personenbezogenen Daten sein Recht auf Vergessenwerden verfolgt, kann im Gegenzug der Verein ein berechtigtes Interesse daran haben, gespeicherte Daten seiner Mitglieder eben noch nicht zu löschen. Überwiegt jedoch das Interesse eines Mitglieds nach erfolgter Kündigung, die Löschung seiner Daten verlangen zu können, ist der Verein am Zug, diesen Rechtsanspruch auch zielgerichtet umzusetzen.
Hierzu bietet sich gerade auch für Vereine das systematisch erstellte Löschkonzept an.
Wie geht man bei einem Löschkonzept vor?
Bei der Anwendung eines firmeninternen bzw. vereinsinternen Löschkonzepts kommt es in erster Linie darauf an, den Ort oder die Orte der Datenspeicherung genau festzulegen bzw. zur Löschung zu ermitteln. Ähnlich wichtig ist die Benennung eines Verantwortlichen, der die aufwändige und mitunter mühselige Aufgabe übernimmt, das gesamte Unternehmen auf personenbezogene Daten seiner Mitarbeiter, Kunden oder Vereinsmitglieder hin zu untersuchen. Die Ermittlung der Daten, die für ein Löschkonzept gemäß DSGVO von Belang sind, stellt dabei die größte Herausforderung dar. Dazu kann sich das Unternehmen einer hierfür geeigneten Software bedienen oder verschiedene Datenbanklösungen einsetzen.
Schwieriger wird es, wenn personenbezogene Daten auch außerhalb des Unternehmens gespeichert wurden, durch sogenannte Auftragsverarbeiter. Gleichzeitig sichern einige Unternehmen ihre Datensätze als Back-Ups, wozu sie gemäß der DSGVO verpflichtet sind. Wie bei diesen Back-Ups sind auch sämtliche Datensätze so abzuspeichern, dass sie gleichermaßen gesichert, aber auch selektiv zu löschen sind.
Wie sollte ein Löschkonzept inhaltlich aufgebaut sein?
Grob zusammengefasst könnten die einzelnen Schritte eines Löschkonzepts nach DSGVO folgendermaßen aussehen:
- Die im Verein oder in einem Unternehmen vorhandenen personenbezogenen Daten müssen durch einen Verantwortlichen ermittelt und lokalisiert werden. Darunter fallen u. a. Datenarten wie Mitarbeiter-, Kunden- oder Mitgliederdaten an.
- Sämtliche Daten lassen sich am besten in verschiedene Kategorien unterteilen. Daten über die eigenen Mitarbeiter dürfen sich ausschließlich auf das bestehende Arbeitsverhältnis beziehen. Daneben können aber auch andere Datenkategorien wie religiöse Ansichten, Gesundheitszustand, politische Haltung etc. erhoben worden sein.
- Nimmt man eine Klassifizierung einzelner Speichersysteme vor, lassen sich Quellen wie Exceltabellen, Mailinglisten, Back-Ups etc. strukturierter erfassen. So lässt sich auch ermitteln, ob Daten an Dritte weitergegeben wurden.
- Das Löschkonzept nach DSVGO sollte Löschregeln vorsehen, wie man bestimmte Daten aus unterschiedlichen Kategorien löschen kann.
- Das Unternehmen sollte einen Verantwortlichen bestimmen, der das Löschkonzept überwacht und letztendlich auch die Löschungen vornimmt.
Wie sollte in einem Verein die Löschung von Mitgliederdaten erfolgen?
Ein Verein muss etwa im Falle von Vereinsaustritten seiner Pflicht nachkommen, personenbezogene Mitgliederdaten umfassend und zeitgerecht löschen zu können. Damit dieses gesetzlich vorgegebene Ziel erreicht werden kann, werden die Daten am besten anhand eines Löschkonzepts gemäß DSGVO beseitigt bzw. unkenntlich gemacht. Jedes Vereinsmitglieds hat das Recht auf Löschung seiner personenbezogenen Daten, wenn
- die Zweckgebundenheit entfällt
- das Vereinsmitglied seine anfangs erteilte Zustimmung widerruft
- eine unrechtmäßige Verarbeitung der Daten festgestellt werden konnte
- die Löschung dann erforderlich ist, um rechtliche Verpflichtungen erfüllen zu können
Werden hiernach sämtliche Daten des ehemaligen Vereinsmitgliedes aus dem Datenspeicher des Vereins gelöscht, müssen in einem nächsten Schritt auch die Daten bei einem Auftragsverarbeiter, einem Dachverband und sonstigen Dritten bzw. Stellen gelöscht werden. Die Einwilligungen der Vereinsmitglieder sollten bereits in den Mitgliederverträgen eingeholt bzw. schriftlich fixiert und im Anschluss sicher verwahrt werden. Weitere Maßnahmen wie z. B. die Regelung zu Speicherfristen, die Löschung der Daten oder die Bestimmung von Funktionsträgern und Verantwortlichen können in der Vereinssatzung oder in einer gesonderten Datenschutzordnung festgelegt werden.
Wann müssen personenbezogene Daten gelöscht werden?
Grundsätzlich gilt, dass personenbezogene Daten dann im Verein oder Unternehmen gelöscht werden müssen, wenn entweder der Zweck der Speicherung aufgehoben wurde oder wenn der Betroffene bzw. das Vereinsmitglied die unverzügliche Löschung verlangt. Der fehlende Zweck für die Speicherung von Daten kann sich so beispielsweise aufgrund der Beendigung einer Vereinszugehörigkeit ergeben. Liegt ein Vereinsaustritt vor, so muss der Verantwortliche unmittelbar danach die Löschung der Mitgliedsdaten vornehmen. Ähnliches gilt für personenbezogene Daten eines Mitarbeiters, der eine neue Arbeitsstelle gefunden hat, oder dem von Unternehmensseite her gekündigt wurde.
In derartigen Fällen bietet es sich an, ein Löschdatum zu bestimmen, an dem die entsprechenden Daten aus dem Unternehmen entfernt werden. Dabei kann es zu Widersprüchen zwischen dem Recht des Betroffenen auf Vergessenwerden und der unternehmerischen Verpflichtung, Daten zu speichern bzw. aufzubewahren, kommen. Vorrang haben aber immer die gesetzlichen Vorschriften für die Aufbewahrungsfristen.
Für jeden einzelnen Datensatz ein eigenes Löschdatum festzulegen, wäre sicherlich recht aufwändig. Daher ist anzuraten, derartige Vorgänge zu kategorisieren und zu standardisieren. Ein Löschkonzept gemäß DSGVO sollte demzufolge folgende „Meilensteine“ vorsehen, um zeitliche Vorgaben rechtzeitig berücksichtigen zu können:
Löschklassen
Unter Löschklassen versteht man gleichartige Datenarten, bei denen sich über den gemeinsamen Startzeitpunkt die gleiche Löschfrist ergibt.
Löschfristen
Die Löschfrist bestimmt, zu welchem Zeitpunkt personenbezogene Daten gelöscht werden müssen. Dies kann sich z. B. aufgrund gesetzlicher Bestimmungen ergeben. Fehlen Anhaltspunkte, um eine Frist genauer bestimmen zu können, können Standardfristen für die Löschung eingerichtet werden. So wird vermieden, dass Löschungen übersehen werden.
Löschregeln
Löschregeln benötigt man für die jeweilige Aufbewahrungsfristen der einzelnen Datenkategorien. Auf diese Weise lassen sich über die Faktoren Start und Aufbewahrungsdauer einheitliche Löschregeln festlegen.
Gibt es für ein Löschkonzept Tools oder Vorlagen?
Das Internet bietet für Löschkonzepte eine Vielzahl an kostenpflichtigen wie auch kostenlosen Tools und Muster. Diese erweisen sich als hilfreich und praktisch, da die Auflistung der unzähligen Daten mitsamt Aufbewahrungsfristen anhand einer Excel-Tabelle kaum den Ansprüchen der DSGVO genügt. Die gesetzlichen Vorgaben der Verordnung erfordern vielmehr eine systematische Erfassung aller (digitalen) Daten. Daher sollte man stattdessen auf moderne Vorlagen zurückgreifen. Diese besitzen zudem die Möglichkeit, der Löschpflicht eines Vereins oder Unternehmens nachzukommen und etwa Löschregeln zu implementieren.
Allerdings gibt es bei den zahlreichen Online-Tools für Löschkonzepte gemäß der DSGVO erhebliche Qualitätsunterschiede. Solche können sich z. B. dann bemerkbar machen, wenn es darum geht, die gesamte digitale Speicherung in einem Unternehmen zu erfassen.
Welche datenschutzrechtlichen Vorgaben für ein Löschkonzept müssen ein Verein bzw. ein Unternehmen beachten?
Das Löschkonzept eines Vereins bzw. Unternehmens muss in erster Linie den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) genügen. Daneben spielen jedoch auch die Vorgaben des Bundesdatenschutzgesetzes (BDSG) eine gewichtige Rolle, da diese das DSGVO partiell ergänzen. Diese gesetzlichen Bestimmungen sind deswegen von großer Bedeutung, da sie in puncto Datenschutz den Grundrechtsschutz des Betroffenen bzw. des Vereinsmitglieds wahren. Dessen Recht auf Vergessenwerden ist somit zentrales Anliegen der gesetzlichen Bestimmungen von BDSG und DSGVO.
Folgende gesetzlichen Vorgaben bzw. Forderungen werden an ein Löschkonzept gestellt:
- Art. 7 DSGVO: Wenn der Betroffene eine Einwilligung zur Speicherung der personenbezogenen Daten erteilt hat, so kann er seine Einwilligung nach Absatz 3 jederzeit widerrufen. Umgekehrt ist zu beachten, dass die erfolgte Einwilligung eines Vereinsmitglieds den Verein berechtigen kann, z. B. Mitgliederlisten an andere Mitglieder auszuhändigen.
- Art. 17 DSGVO: In Art. 17 DSGVO ist das Recht der „betroffenen Person“ verankert, sie selbst betreffende personenbezogene Daten löschen zu lassen.
- Art. 25 DSGVO: Dieser Artikel beschreibt u. a. die Aufgabe des (für das Löschkonzept) Verantwortlichen, nur solche Daten sicherzustellen, die auch dem ursprünglichen Verwendungszweck dienen.
- Weitere für ein Löschkonzept maßgebliche Vorgaben finden sich in den Erwägungsgründen, insbesondere in Erwägungsgrund 39 („Grundsätze der Datenverarbeitung“): Die Sätze 8 und 10 bestimmen, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben und dass personenbezogene Daten nicht länger als nötig gespeichert werden sollen.
Was muss gemäß Art. 30 DSGVO in das Verzeichnis von Verarbeitungstätigkeiten?
Jeder Verantwortliche und seine Vertreter sind gemäß Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten, zu führen. In einem solchen Verzeichnis sind folgenden inhaltliche Angaben zu dokumentieren:
- Name und Kontaktdaten des Verantwortlichen, wenn vorhanden, zusätzlich die Daten seines Vertreters
- der Zweck der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
- alle vorgesehenen Fristen für die Löschung der eigens festgelegten Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. Hierunter fallen die verwendete Software bzw. die eingesetzten Programme.
Welche gesetzlichen Regelungen mit Aufbewahrungsfristen gibt es?
Aufbewahrungspflichten gibt es nicht nur in der DSGVO. Auch das Steuerrecht und das Handelsrecht verpflichten zur Buchführung und Aufzeichnung – und folglich zur Aufbewahrung. Die steuerrechtlichen Aufbewahrungspflichten sind vornehmlich in § 147 AO (Abgabenordnung) geregelt. § 140 AO wiederum bestimmt, dass diese Pflichten zusätzlich durch andere Steuergesetze oder das Umsatzsteuergesetz begründet sein können. Darunter fällt beispielsweise auch das Handelsgesetzbuch (HGB). Grundsätzlich gilt: Wer zur Buchführung verpflichtet ist, muss auch für eine ordnungsgemäße Aufbewahrung seiner Unterlagen sorgen.
Die gesetzlichen Aufbewahrungsfristen betragen etwa für Vereine 6 bzw. 10 Jahre. Dabei beginnt die Ablauffrist erst nach dem Kalenderjahr an zu laufen, in dem die entsprechende Eintragung gemacht worden ist.
Daneben existieren weitere gesetzliche Regelungen über Aufbewahrungsfristen z. B. im Geldwäschegesetz (GwG) für Kanzleien oder Banken bzw. im Wertpapierhandelsgesetz (WpHG).
Widerspricht das Löschkonzept gemäß DSVGO den gesetzlichen Aufbewahrungsfristen?
Nein. Auch wenn nur solche personenbezogenen Daten aufbewahrt werden dürfen, für die es eine rechtliche bzw. vertragliche Grundlage oder die weiterhin aufrechterhaltene Zustimmung des Betroffenen gibt, so liegt in der parallelen Anwendung bzw. Umsetzung eines Löschkonzeptes kein Widerspruch zu den Aufbewahrungsfristen. Klar ist: Ein Verein oder Unternehmen kann sich gleichzeitig mit der Verpflichtung zur Datenlöschung sowie zur Sicherung von Daten konfrontiert sehen.
Zum einen geht es für den Verantwortlichen eines Löschkonzeptes nach DSGVO zunächst darum, den Zweck möglichst genau zu umschreiben. Sowohl bei einem Mitarbeiterverhältnis wie etwa einer Vereinsmitgliedschaft kommt es auf die genaue Differenzierung der Datenspeicherung an. Wenn der Zweck der Speicherung sachgerecht definiert wurde, sind sowohl die Löschung gemäß des Löschkonzepts als auch eine Datenspeicherung über die vertragliche Beziehung hinaus möglich.
Ungeachtet der Vorgaben durch die DSGVO wie z. B. das „Recht auf Vergessenwerden“, sind von Gesetzes wegen Unterlagen, die für ein Unternehmen aus steuerrechtlichen Gründen von Belang sind, zehn Jahre lang aufzubewahren. Somit darf ein Verein personenbezogene Daten aufbewahren, selbst wenn der ursprüngliche Zweck durch eine Kündigung aufgehoben wurde. Denn der Verein ist sogar dazu verpflichtet, Daten aufzubewahren, die zur Erfüllung seiner rechtlichen Verpflichtungen erforderlich sind.