Wissen Sie, ab wann Sie Personendaten nicht mehr benötigen? Kennen Sie die für Sie geltenden Aufbewahrungspflichten? Erfolgt die Löschung und Vernichtung von Personendaten in Ihrem Unternehmen nach klar geregelten Verfahren?

Mit Inkrafttreten des neuen Schweizer Datenschutzgesetzes erhalten die Vernichtung und die Anonymisierung von Personendaten einen eigenen Absatz in den Grundsätzen und damit noch mehr Relevanz. In diesem Beitrag zeigen wir Ihnen, welche Vorgaben in Bezug auf die Aufbewahrung und die Löschung von Personendaten Sie beachten müssen.

Das Ende des Lebenszyklus – Wenn Daten nicht mehr benötigt werden

In den ersten beiden Beiträgen dieser Blogreihe wurden die Beschaffung und die Bearbeitung von Personendaten im Alltag beleuchtet. Sind diese Phasen durchlaufen, steht das Ende des Lebenszyklus an. Dieses ist erreicht, wenn der Zweck erfüllt ist, für den die Personendaten ursprünglich erhoben und bearbeitet wurden.

Das neue Schweizer Datenschutzgesetz (nDSG) gibt in diesem Zusammenhang vor, dass Personendaten zu vernichten oder zu anonymisieren sind, «sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind» (Art. 6 Abs. 4 nDSG). Und auch die Datenschutz-Grundverordnung (DSGVO) der EU erlaubt die Speicherung von Personendaten, welche die Identifizierung einer betroffenen Person ermöglicht, nur so lange «wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist» (Art. 5 Ziff. 1 lit. e DSGVO). Erwägungsgrund 39 zur DSGVO spricht auch davon, dass «die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmass beschränkt» werden sollte. Das bedeutet grundsätzlich, dass sämtliche Personendaten, welche nicht mehr benötigt werden, gelöscht oder anonymisiert werden müssen – unabhängig davon, wo sie sich befinden oder wer Zugriff darauf hat.

Erwägungsgrund 26 zur DSGVO gibt zudem Aufschluss darüber, warum eine Anonymisierung von Personendaten anstelle einer Löschung der Daten durchgeführt werden kann. Konkret sieht dieser vor, dass die Grundsätze des Datenschutzes nur für Personendaten gelten sollen. Dabei ist insbesondere die Definition von Personendaten relevant, welche gemäss Schweizer Datenschutzgesetz (Art. 3 lit. a DSG und Art. 5 lit. a nDSG) und Art. 4. Ziff 1. DSGVO gleichgesetzt werden können. Als Personendaten werden demnach einerseits Daten verstanden, welche sich auf eine bestimmte bzw. identifizierte Person beziehen und andererseits Daten, mit denen eine Person bestimmt bzw. identifiziert werden kann. Eine korrekt durchgeführte Anonymisierung bei Personendaten führt dazu, dass der Bezug zu einer betroffenen Person nicht mehr hergestellt werden kann, sprich eine Person nicht mehr identifiziert ist bzw. nicht mehr identifiziert werden kann. Das bedeutet, dass die Vorgaben des Datenschutzes und damit der Grundsatz der Speicherbegrenzung auf anonymisierte Daten nicht mehr anwendbar sind.

Doch auch wenn Personendaten nicht anonymisiert werden, sollten diese nicht blindlings vernichtet werden – Warum, erfahren Sie im nächsten Abschnitt.

Aufbewahrung über die Bearbeitung hinaus – Das erlaubt das Gesetz

Ist der Zweck der eigentlichen Bearbeitung nicht mehr gegeben, bedeutet dies nicht zwingend, dass eine unrechtmässige Bearbeitung vorliegt, wenn die Personendaten dennoch aufbewahrt werden. Eine Bearbeitung und in diesem Fall die Aufbewahrung ist dann rechtmässig, wenn ein Rechtfertigungsgrund besteht (Art. 13 DSG und Art. 31 nDSG).

Ein Rechtfertigungsgrund kann etwa ein Gesetz sein, welches eine Bearbeitung vorschreibt oder zulässt. In diesem Zusammenhang ist zu berücksichtigen, dass gewisse Gesetze, wie beispielsweise die kantonalen Gesundheitsgesetze in der Schweiz, eine Pflicht zur Aufbewahrung von Daten vorsehen. Auch die Verordnung zum neuen Datenschutzgesetz (nDSG) sieht voraussichtlich Aufbewahrungsfristen vor, etwa für Protokolldaten, welche unter Umständen ebenfalls personenbezogene Daten enthalten können.

Einen weiteren Rechtfertigungsgrund stellt das überwiegende private Interesse dar. Hierzu zählen beispielsweise Bearbeitungen, die «in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages» stehen (Art. 13 Abs. 2 lit. a DSG sowie Art. 31 Abs. 2 lit. a nDSG). Im Rahmen dessen können beispielsweise gesetzlich definierte Verjährungsfristen als Rechtfertigungsgrund aufgeführt werden. Schliesslich hat ein Unternehmen ein Interesse daran, innerhalb dieser Verjährungsfristen Nachweise für einen Sachverhalt erbringen zu können.

Doch auch wenn Rechtfertigungsgründe bestehen, welche eine längere Aufbewahrungsfrist ermöglichen, ist sicherzustellen, dass nur jene Personendaten aufbewahrt werden, welche zwingend benötigt werden.

Unsere Empfehlungen – Nur was wirklich sein muss

Die Löschung von Daten stellt Unternehmen immer wieder vor Herausforderungen. In unseren Empfehlungen zeigen wir Ihnen Möglichkeiten, wie Sie die weiterhin vorhandenen Daten sicher aufbewahren und die nicht mehr benötigten Daten korrekt löschen.

1. Aufbewahrungspflichten und relevante Fristen ermitteln

Identifizieren Sie die für Ihr Unternehmen geltenden Aufbewahrungspflichten (z. B. das DSG, die DSGVO oder kantonale Gesetze). Beachten Sie dabei, dass nicht nur der Datenschutz Pflichten zur Aufbewahrung vorsieht. Weitere Gesetze beispielsweise in Ihrem Branchenumfeld oder für die Rechtsform Ihres Unternehmens können ebenfalls wichtige Vorgaben enthalten, wie zum Beispiel die kaufmännische Buchführung und Rechnungslegung (Art. 958f) im Obligationenrecht (OR).

Ermitteln und dokumentieren Sie auch die Verjährungsfristen, die für Sie in Bezug auf die Aufbewahrung von Daten relevant sein könnten. Hierbei sollten insbesondere Fälle, in denen Personen Anspruch auf Schadensersatz oder Genugtuung erheben können, beachtet werden (z. B. gemäss Art. 60 OR).

2. Zu löschende Daten festlegen

Prüfen Sie in Ihren Bearbeitungstätigkeiten, wo Sie Personendaten haben, die nicht mehr benötigt werden. Gleichen Sie diese mit den bereits ermittelten Aufbewahrungsfristen ab und legen Sie fest, welche Personendaten endgültig gelöscht werden können.

Denken Sie dabei auch an Daten, die sich nicht mehr in täglich genutzten Systemen befinden oder aus Ihrem Blickfeld verschwunden sind. Häufig stellt sich etwa die Frage, ob auch Daten von Backups zu löschen sind oder wie mit E-Mails und nicht bekannten Kopien umzugehen ist.

3. Verfahren definieren

Um die nicht mehr benötigten Daten gemäss Nr. 2 korrekt löschen oder vernichten zu können, lohnt es sich, wenn Sie hierfür einfache, aber klare Prozesse definieren. Stellen Sie sicher, dass die gewählten Verfahren sinnvoll und wirtschaftlich tragbar sind.

Insbesondere die Löschung von einzelnen Datensätzen aus Backups oder der Verzicht auf einzelne E-Mails oder Teilen daraus ist häufig aufwändig, ressourcenintensiv oder gar nicht erst möglich. Treffen Sie die Entscheidung, dass die Löschung der Daten nicht sinnvoll oder machbar ist, sollten Sie mindestens Massnahmen ergreifen, um die Daten weiterhin zu schützen. Verhindern Sie beispielsweise den Zugriff durch Unberechtigte und stellen Sie sicher, dass aus den produktiven Systemen gelöschte Daten nicht unkontrolliert mit Backups wiederhergestellt werden.

4. Bestehende Vorgaben und Verfahren optimieren

Insbesondere wenn Sie feststellen, dass die Themen Löschung und Aufbewahrung Ihnen immer wieder Bauchschmerzen bereiten, ist es sinnvoll, die Verfahren bereits im Alltag zu prüfen. Mit technischen und organisatorischen Massnahmen lassen sich zukünftige Herausforderungen reduzieren, beispielsweise indem Sie Vorgaben zur Verwaltung von Daten oder zur Ablage von Kopien erlassen. Auch die Prüfung der Systeme selbst lohnt sich, gerade im Hinblick auf die Prinzipien «Privacy by Design» und «Privacy by Default», welche in der Schweiz mit dem nDSG eingeführt werden (Art. 7 nDSG).

Wenn Ihnen der Überblick fehlt

Sie haben schon die ersten Beiträge zu dieser Datenschutz-Reihe gelesen und wissen schon gar nicht mehr, wo Sie ansetzen sollen? Unsere Spezialisten begleiten Sie gerne bei der schrittweisen und risikoorientierten Erarbeitung eines Gesamtbildes rund um den Datenschutz in Ihrem Unternehmen.

Vorschau

Teil vier unserer Datenschutz Blog-Reihe erscheint in einer Woche mit dem Thema “Datenschutz Managementsystem (DSMS)”.

Lesen Sie die gesamte Blogreihe

Datenschutz (1 / 4): Beschaffung von Personendaten
Datenschutz (2 / 4): Umgang mit Personendaten
Datenschutz (3 / 4): Aufbewahrung und Löschung
Datenschutz (4 / 4): Datenschutz-Managementsystem (DSMS)