In einer deutschen Sage aus dem Mittelalter gab es einmal eine kleine Blume, die sich so klein und unscheinbar vorkam, dass sie sich als das unwichtigste Geschöpf unter Gottes Himmel vorkam. Fachleute kennen sie heute unter dem Namen „Myosotis“. Immer war sie sich unsicher, ob sie von Menschen, Pflanzen und Tieren überhaupt wahrgenommen wurde. Eines Tages war sie so verzweifelt, dass sie den Herrgott anflehte, sie nicht zu vergessen. Und so gab er ihr den Namen „Vergissmeinnicht“.
Seit dem Mittelalter ist viel geschehen. Mit der modernen Informationstechnologie und dem allgegenwärtigen Internet gibt es riesige und immer weiter wachsende Datenspeicher. „Das Internet vergisst nie!“ ist ein geflügeltes Wort unter den Nutzern dieser Technologie. Unternehmen speichern immer mehr Daten – über alles Mögliche und natürlich auch über ihre Kunden, ihre potenziellen Kunden und diejenigen, die einmal ihre Kunden waren. Mit diesen Daten können sie wertvolle Informationen gewinnen. Je mehr Daten zur Verfügung stehen, desto besser und genauer sind die Informationen, die sich daraus ableiten lassen. Entsprechend gehört das Löschen von Daten – das Vergessen – nicht zu den primären Zielen von Unternehmen.
Das käme der kleinen Pflanze ganz gelegen, denn sie würde sich für immer in den endlosen Datenspeichern des Internets wiederfinden. Wie wir Menschen jedoch inzwischen lernen mussten, kann es manchmal auch schädlich sein, dass das Internet nicht vergisst und Unternehmen ihre Daten nicht löschen. Die Folgen des Nicht-Vergessens können für jeden einzelnen durchaus schädlich sein, müssen es jedoch nicht. Beispiele dafür gibt es genug; sie sollen an dieser Stelle nicht weiter vertieft werden.
Um uns Kunden und Nutzer des Internets vor den möglichen ungewollten Konsequenzen von ewig verfügbaren, teilweise personenbezogenen Daten zu schützen, hat der Gesetzgeber das Recht auf Vergessen geregelt. In Artikel 17 der Datenschutzgrundverordnung (DSGVO) ist festgelegt, dass eine Person von einem Datenverarbeiter die Löschung ihrer Daten verlangen kann. Darüber hinaus wird geregelt, dass Daten nur auf Basis eines vorliegenden, begründbaren Zwecks gespeichert werden dürfen. Durch das Prinzip der Datenminimierung soll zudem der Umfang der gespeicherten Daten auf das Mindestmaß begrenzt werden. Das bedeutet, dass nur die einem konkreten und begründbaren Zweck dienenden Daten gespeichert werden dürfen. Wer diesen Vorgaben zuwiderhandelt, muss mit empfindlichen Strafen rechnen – und bei entsprechender Fahrlässigkeit sieht das Gesetz für Datenschutzvergehen die persönliche Haftung der Unternehmensleitung vor. Die Verletzung der „Vergessenspflichten” ist ebenfalls kein Kavaliersdelikt.
Der Gesetzgeber macht es sich hier auf Kosten der Unternehmen und Datenverarbeiter jedoch zu einfach. In Absatz 3 von Artikel 17 schränkt er die Pflicht nämlich wieder ein, wenn beispielsweise eine rechtliche Verpflichtung zum Vorhalten von Daten besteht.
Soweit, so gut. Allerdings sind die Gesetze der Bundesrepublik Deutschland inzwischen so umfassend und komplex, dass sie sich teilweise widersprechen. Das gilt auch für den Bereich des Datenschutzes einerseits und die Verpflichtung zum Vorhalten von Daten aus steuerrechtlichen Gründen andererseits. Das macht es Unternehmen – und damit auch der Unternehmensleitung, die teilweise in der persönlichen Haftung steht – schwer, die richtigen Entscheidungen über das Abwägen von Löschung und Vorhaltung von Daten zu treffen. Für Unternehmen relevante gesetzliche Vorgaben sind nicht nur das Handelsgesetzbuch, die DSGVO und das Bundesdatenschutzgesetz, sondern daneben eine Vielzahl weiterer Gesetze wie das Sozialgesetzbuch, die Abgabenordnung, die GoBD, das Arbeitsschutzgesetz und das Bundesurlaubsgesetz. Es gibt noch eine Reihe weiterer zu beachtender gesetzlicher Regelungen, die teilweise bezüglich der Löschung und Vorhaltung eines konkreten Datenobjekts viel Auslegungsspielraum lassen, sodass unklar ist, was aufbewahrungspflichtig ist und was nicht. Bezogen auf ein konkretes Datenobjekt kommt der Buchhalter mit den GoBD in der Hand zu dem Ergebnis, dass die Daten im Zweifel aufbewahrungspflichtig sind, während der Datenschützer sie als löschfähig betrachtet. Weder Berufsverbände noch die aktuelle Rechtsprechung bieten zur Lösung solcher Konflikte wirklich Abhilfe. Die Pflicht zum Vorhalten von Daten kann zudem durch die Verpflichtung zum Vorhalten von Daten im Rahmen von (Ermittlungs-)Verfahren erweitert werden. Die Unternehmen sind bei ihren Abwägungen, Entscheidungen und Begründungen auf sich allein gestellt.
Zu dem Wirrwarr der Gesetze kommt hinzu, dass in modernen Unternehmen Daten inzwischen in verschiedenen, miteinander verbundenen Systemen vorgehalten werden. Diese Daten beziehen sich in großen Unternehmen vielfach nicht nur aufeinander. Das Löschen von Daten in einem System kann zu unbrauchbaren Daten in einem anderen System führen oder aufgrund sogenannter „Foreign Key Constraints“ in den Datenbanken zunächst nicht möglich sein. Dies wird insbesondere dann problematisch, wenn sich unter diesen aufeinander bezogenen Daten solche befinden, die nach gesetzlichen Vorgaben zu unterschiedlichen Zeitpunkten gelöscht werden müssen.
All dies führt zu einer komplexen Aufgabenstellung für Unternehmen, den verschiedenen Wünschen sowie Verpflichtungen zum Vorhalten und Löschen von Daten gerecht zu werden. Am Ende können eine Fehlentscheidung an dieser Stelle sowie eine Aufsichtsbeschwerde und ein empfindliches Bußgeld die Folge sein.
NOVEDAS empfiehlt daher die Erstellung eines umfassenden Datenlöschkonzepts (z. B. nach DIN 66398), in dem die verschiedenen Aspekte im Unternehmen abgestimmt, geordnet und bewertet werden. Diese müssen dann in konkrete Handlungsanweisungen bzw. Löschroutinen umgesetzt werden, die von der IT-Abteilung ausgeführt werden können.
Aus unserer Sicht ist dabei das Hinzuziehen externer Experten empfehlenswert, da umfassende Kenntnis der Gesetzeslage und deren konkrete Anwendung auf den spezifischen Unternehmenskontext, gepaart mit dem Verständnis der technischen Randbedingungen, Voraussetzung für ein regelkonformes, aber auch pragmatisches Löschen von personenbezogenen Daten ist.
NOVEDAS hat bereits für mehrere Unternehmen Datenlöschkonzepte entwickelt und sie bei der Umsetzung unterstützt. Sprechen Sie unsere Experten gerne dazu an.
Doch wie die Sage aus dem Mittelalter berichtet, ist das Löschen und Vergessen nicht unbedingt im Interesse des kleinen Blümchens „Vergissmeinnicht”. Das Leben war zumindest an dieser Stelle einfacher damals …
