DSGVO, Strafen, Löschen und Archivierung

06.11.2019

Es ist wahrscheinlich niemandem entgangen, dass die Deutsche Wohnen 14,5 Millionen Euro für einen DSGVO-Verstoß zahlen soll: http://bit.ly/34EF6Mr. Natürlich erregt dies Aufmerksamkeit,da deutlich wird, dass die DSGVO umgesetzt wird und auch Strafen fällig werden. Dies ist die erste höhere Strafe in Deutschland (in anderen EU-Staaten ging es schon häufiger um mehr Geld). Die Pressemitteilung zum Bußgeldbescheid der Berliner Datenschützerin findet sich hier.

Quasi nebenbei tritt aber ein Sachverhalt auf, der nahezu alle Unternehmen, die ihre Daten und Belege elektronisch archivieren, betrifft. Heise schreibt hier lakonisch zu den Gründen der Strafe:

"Deutsche Wohnen habe für die Speicherung personenbezogener Daten von Mietern ein Archivsystem verwendet, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen, habe sich bei Prüfungen vor Ort im Juni 2017 und im März 2019 ergeben. Personenbezogene Daten seien gespeichert worden, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist."

Dies ist natürlich für eine elektronische Archivierung, die auf nur einmal beschreibbaren Medien beruht, sehr kritisch. Echte WORM-Speicher wie digital-optische Medien oder spezielle Hardware-Subsysteme mit Festplatten, sind zwar nicht mehr so häufig anzutreffen, aber die Unveränderbarkeit und damit Nichtlöschbarkeit ist ein Grundprinzip der elektronischen Archivierung. Aus gegebenem Anlass sollen hier vier Aspekte beleuchtet werden:

(1) Wissen um die Information 

Bevor überhaupt an Speicherung oder gar Löschung zu denken ist, sind Informationen in den Systemen zu klassifizieren und zu bewerten. Diese Dokumentation nennt man auch "Informationslandkarte", in der Identität, Zuständigkeit, Wert, Charakter, Speicherort, Lebenszyklus, Aufbewahrungsfrist, Geheimhaltung nach GeschGehG, Löschregeln, rechtliche Bedingungen, Zugriffsbedingungen etc. aufgezeichnet sind. Nur Information, die bekannt ist, kann auch genutzt und geschützt werden. Solche Informationslandkarten haben natürlich nicht nur die DSGVO sondern auch das HGB/AO, das GeschGehG und andere gesetzliche Anforderungen zu berücksichtigen. Eine solche Informationslandkarte ist auch die Grundlage für Verfahrensdokumentationen. Es kann also nur gelöscht werden, wenn die betreffende Information identifizierbar und auffindbar ist. 

(2) Was ist die schützenswerte personenbezogene Information?

Ein Unternehmen, dass für seine Geschäftstätigkeiten auf die Namen, Adressen und gegebenenfalls andere Merkmale angewiesen ist, stößt schnell auf die Widersprüche zwischen z.B. handelsrechtlichen Vorgaben und personenbezogenen Schutzanforderungen. So kann niemand verlangen, dass eine Rechnung mit seinem Namen, der Anschrift und gegebenenfalls echten sehr privaten Angaben vor Ablauf der Aufbewahrungsfrist gelöscht wird. Oder diese Angaben aus dem Dokument entfernt werden (was nur mit einem aufwändigen Redaction-Prozess ginge, der aber wiederum die Originalität des Beleges und der Daten beeinträchtigt). In Grauzonen gelangt man bei anderen Dokumenten wie Geschäftsbriefen und Handelsbriefen. Ein ausscheidender Mitarbeiter kann so auch nicht verlangen, dass alle seine personenbezogenen Informationen zu löschen sind - denn wohin sollte man den dann später seine Betriebsrente hin überweisen. Kritisch sind natürlich immer Adressdatenbanken, die für verschiedene Zwecke genutzt werden, so z.B. für Versand von Werbung aber auch für notwendige Mitteilungen, die Haftung, Gewährleistung, Vertragsänderungen oder Risiken betreffen. Es bedarf also klarer Regeln und Abwägung der Interessen. Dies ist begründet zu dokumentieren. All dies findet in einem Umfeld von Systemen statt, bei deren Design nicht an DSGVO-Anforderungen gedacht worden ist. Die vollständige Erfüllung aller rechtlichen Anforderungen, von DSGVO über HGB bis Sonstwohin, ist defacto gar nicht möglich.

(3) Archivieren und Löschen

Bei der elektronischen Archivierung wurde das Löschen sträflich vernachlässigt. Dies lässt sich historisch schon daraus ableiten, dass digitale WORM-Medien und Subsysteme eingesetzt wurden, die physisch das Löschen verhindern. Dabei gab es die Anforderung, Information auch gezielt entsorgen zu können, wenn sie nicht mehr gebraucht wird, falsch oder ungültig geworden war, zu entfernen. Dies machte man dann häufig im Rahmen einer Migration durch Weglassen der betroffenen Objekte im neuen Zielsystem. In einem Archivsystem sind in Bezug auf personenbezogene Daten zwei Qualitäten zu berücksichtigen: einmal die Daten in der Datenbank, die die archivierten Informationsobjekte verwaltet. Zum Zweiten die Daten in den Informationsobjekten selbst. Die Daten in der Datenbank lassen sich verändern, die Daten am Objekt und das Objekt selbst auf dem Speicher jedoch nicht. Dies basiert auf der traditionellen Architektur der Verwaltung des Archivspeichers mit einer Referenzdatenbank für Zugriff und Verwaltung. Dies kann eine unabhängige Datenbank aber auch direkt die Datenverwaltung eines führenden ERP- oder anderen Systems sein. Hier war es möglich durch das "logische Löschen" an zwei Stellen das Problem des Löschens anzugehen: man kann die zu löschenden Daten in der Datenbank entfernen oder ersetzen. Weiterhin ist das Auffinden der Objekte nicht mehr möglich, wenn die Zugriffskriterien entfernt sind. Dies bedeutet, die Information am und im gespeicherten Objekt (Dokument, Datensatz, Liste, Video - wie auch immer) ist noch vorhanden, also gespeichert. Sie ist aber nicht mehr im Zugriff und dadurch durch Anwender und Anwendungen nicht mehr nutzbar. Das logische Löschen wurde aber vielfach nicht als ausreichend angesehen, obwohl es beim Einsatz nur einmal beschreibbarer Speichermedien die einzige wirtschaftliche und einfache Lösung ist. Was ist älteren Archivsystemen zu dem fehlt, ist die Klassifikation einer solchen schützenswerten Information, um sie überhaupt identifizieren zu können. Alle, die seit Jahren oder Jahrzehnten bereits elektronisch archivieren, können daher garnicht ohne weiteres nachträglich löschen wenn dies nicht bereits bei der Planung der Lösung berücksichtigt wurde oder im eingesetzten Produkt überhaupt nicht vorhanden ist.  Das Knowhow hierfür ist sowohl bei Anwendern aber leider auch bei Anbietern selten ausreichend vorhanden.

(4) Records Management und Revisionssichere Archivierung

Die revisionssichere Archivierung lehnt sich an das internationale Konzept des Records Management an. Daher lohnt sich ein Blick auf Records Management und Information Governance Prinzipien zu werfen. Im Records Management ist das Löschen eines der 8 Grundprinzipien. Records Management betrifft den Zeitraum, der den Aufbewahrungsfristen unterliegt (und nicht die ewige Langzeitarchivierung). Die Entsorgung nicht mehr benötigter, nicht mehr aktueller Information ist hier praktisch als Grundlage eingebaut. Spätestens nach Ablauf der Aufbewahrungsfrist wird entschieden, welche Information vernichtet und welche in eine Langzeitarchivierung überführt wird. Das Ändern und Löschen von Information während des Lebenszyklus ist eingeplant, da es auch der Realität in Geschäftsprozessen z.B. bei Fehlbuchungen, Falschzuordnungen, unkontrollierter Redundanz etc. auftritt. Auch die Prinzipien von HGB und GoBD, die der revisionssicheren Archivierung zu Grunde liegen,  fordern Ordnungsmäßigkeit - also auch eine ordentliche Behandlung von Änderungen und Löschungen. Im Records Management wird aber nicht einfach gelöscht sondern es wird über die Löschung in einem Prozess ein Protokoll erzeugt. Dies Protokoll beinhaltet Identität der zu löschenden Information, den Grund der Löschung, Datum, Regel und andere Informationen. Dieses Protokoll, der Audit-Trail,  unterliegt natürlich auch den Aufbewahrungsfristen und wird nach der erfolgreichen Löschung entsprechend auch im Archiv behalten. Dieser Audit-Trail ermöglicht auch den Nachweis nach GDPR/DSGVO, welche Information vorhanden war und dass sie ordnungsgemäß gelöscht wurde. Beim einfachen Weglöschen würde dieser notwendige Nachweis fehlen. Deshalb ist es sinnvoll, bei der Aufbewahrung sich auf das Records Management zu beziehen und beim Übergang in die Langzeitarchivierung darauf zu achten - möglichst automatisiert durch entsprechende Attribute - personenbezogene Information wegzulassen oder entsprechend DSGVO/IFG/usw zu behandeln.

 

Was tun?

Wer ältere Archivsysteme vor den Zeiten der DSGVO (ja, auch der Vorgänger BDSG hatte schon solche Anforderungen ...), wo die Identifizierung und Löschung solcher Daten im Konzept nicht berücksichtigt wurde, haben kaum eine Chance der DSGVO-Falle zu entgehen. Dies ist spätestens bei der nächsten Migration oder Systemumstellung zu ändern.

Wer ein neues System einführen will, muss halt die Klassifikation der Daten, entsprechende Löschmechanismen (logisch oder physisch) berücksichtigen. Hierbei geht es auch um eine Risiko-Abwägung, z.B. DSGVO-Löschpflichten versus HGB-Aufbewahrungspflichten.

Es geht auch nicht um die klassischen reinen Archivsysteme. Auch andere Anwendungssoftware wird heute mit einer Archivierungskomponente ausgestattet, von HR (hier besonders kritisch unter DSGVO-Gesichtspunkten) über ERP und CRM bis zu Portalen und Webshops. Hier muss jeder Anwender prüfen, ob die Bedingungen durch die mitgelieferte oder integrierte Komponente erfüllt werden oder ob man zusätzlich ein übergreifendes Records-Management- und Archivsystem zusätzlich benötigt.

 

Fazit

Den Fall der Deutsche Wohnen nüchtern betrachten und nicht gleich in Panik verfallen. Bei der Deutsche Wohnen wurde das Problem offenbar schon vor zwei Jahren identifiziert und in einem "Finding" bemäkelt. Die zwei Jahre hätte man auch benutzen können, um eine passende Lösung einzuführen oder zumindest glaubhaft vorzubereiten.

Es bleibt zu hoffen, dass sich kurzfristig klare Empfehlungen erarbeiten lassen, wie mit Archiven dieser Art umzugehen ist - ohne dass gleich alles was sich im Felde befindet, abgelöst werden muss. Und schon gar nicht darf der Fall dazu benutzt werden, die Wichtigkeit und den Nutzen der elektronischen Archivierung in Frage zu stellen.

Kommentare

Die Deutsche Wohnen teilt die Rechtsauffassung der Berliner Datenschützerin nicht.
Sie hat gesagt, dass das System, dass der Datenschutz im Frühjahr inspiziert hat, längst nicht mehr im Einsatz sei. 6 Monate von Inspektion bis Bescheid ist eine stramme Verwaltungsleistung in rechtlich dünnem Eis wie oben gezeigt.
Interessant fand ich die Aufforderung des Datenschutzes, die Mieter sollen doch einfach alle Auskunft über Ihre Daten anfordern.
Offenabr wird hier versucht, dass der Datenschutz mit bürokratischem Exzess die Wirtschaft ohne jeden Nutzen lahm legen will. Einfach Macht ausüben zur Zerstörung. Eine ordentliche Risikoanalyse (Schadensausmaß * Eintrittswahrscheinlichkeit) wurde von den Extremlangsam-Arbeitern natürlich nicht eingelegt. Es wurde auch nicht gesagt, dass Daten missbraucht/gebraucht wurden, sondern nur dass sie da seien und nun (von den WORMS) gegen andere gesetzliche Vorschriften gelöscht werden sollen. Eine Amok laufende Behörde? Der deutsche Fakedatenschutz wird langsam unerträglich. Es werden neue Steuern eingetrieben ohne jeden Nutzen. Bei Facebook/Cambridge-Anal. Skadal hat der deutsche Caspar in Hamburg das von ihm nach DSGVO eröffnete Verfahren eingestellt, während wegen der gleichen Vorgänge Facebook in USA (die ja bekanntlich keinen Datenschutz haben (nach Ansicht der deutschen #Fakedatenschützer) 5 Mrd $ Bußgeld zahlen musste. Diese Volksverarschung mit der DSGVO sollte schnellstens beendet werden und durch echten Datenschutz, auch bei Behörden, beendet werde. Schilda war ein rationales Paradies gegen die Spinnereien, die wir Datenschutz nennen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Von Rechtsanwältin Nina Dierks gibt es heute ebenfalls einen interessanten Beitrag zum obigen Thema "Berliner Datenschutzbehörde (BlnBDI) erlässt Bußgeld nach DSGVO in Höhe von 14,5 Millionen EUR | Eine Einordnung – auch in Sachen Revisionssicherheit versus DSGVO" http://bit.ly/2NpfxcF 

Sie greift dabei auch das Thema Revisionssicherheit auf (nach Wikipedia zitiert, Quelle war PROJECT CONSULT) und kommt zu ähnlichen aber anders begründeten Aussagen zum Fall der Deutsche Wohnen. Sie bezieht sich ebenfalls auf die GoBD (deren aktuelle Version gerade in Überarbeitung ist) und kritisiert ebenfalls die fehlenden Funktionen zum Löschen - bei ihr mit Datensparsamkeit begründet, bei uns mit den Records Management Prinzipien. 

Wir meinen, dass sich hier auch wieder die Unsicherheiten zeigen, die sich durch den allgemeinen Sprachgebrauch ergeben. In HGB, AO und GoBD wird von Aufbewahrung gesprochen. Dies ist der Zeitraum während der Aufbewahrungsfrist (und nicht Archivierungsfrist, das gibt es nicht). Erst danach geht es in die "richtige" Archivierung, d.h. dauerhafte Vorhaltung von Daten und Informationsobjekten. Im Anglo-Amerikanischen und internationalen Sprachgebrauch ist der Zeitraum der Aufbewahrung derjenige Abschnitt im Lebenszyklus von Informationen, wo sie dem Records Management unterliegen. D.h. ab dem Zeitraum, wo eine Information zum Record wird bis zum Ende der Aufbewahrungsfrist des Records oder des "virtuellen Containers" (z.B. eine E-Akte), in dem sich das Record befindet (Aufbewahrungsfristen sind nicht einfach - schon gar nicht, wenn es um Regel- oder Ereignis-basierte oder gar um konkurrierende Fristen geht). 

Nun sind in den Records auch personenbezogene "persönliche" Daten enthalten. Denken wir nur daran, dass jede E-Mail einen Absender hat, einen Empfänger hat und meisten darin auch noch über Personen was gesagt wird (ja, es gibt auch andere E-Mails - dies ist nur ein Beispiel). Das Entscheidende ist die Bewertung dieser personenbezogenen Daten und darauf bezieht sich auch der Datenschutz in Berlin, wenn er sagt, man habe sich nicht um die Klassifizierung und ordnungsgemäße Speicherung gekümmert. 

Des weiteren möchten wir in Bezug auf die Archivierung anregen, hier einen Unterschied zu machen zwischen "Speicherung" und "Nutzung". Die Speicherung ist unkritisch, wenn die Informationen nicht genutzt werden können oder genutzt werden. Hier spielt neben den Index.-Daten zum Wiederauffinden auch das Berechtigungskonzept eine Rolle. Diesen Unterschied zu machen scheint die einzige Möglichkeit zu sein, das Problem mit nur einmal beschreibbaren Archivspeichern sauber in den Griff zu bekommen. Die Information ist noch da, sie wird oder kann nicht genutzt werden. Dies ist in der Verfahrensdokumentation für die Umsetzung der DSGVO natürlich zu beschreiben und über geeignete Protokolle nachzuhalten, dass niemand zugegriffen hat, bzw. wenn jemand zugegriffen hat, wer, wann und warum.

Auch wenn die Deutsche Wohnen das Bußgeld nicht zahlen muss, ist das grundsätzliche Problem "Löschen vs. Revisionssicherheit" dadurch nicht gelöst. Es bleibt spannend, ob es einen Widerspruch der Deutsche Wohnen vor Gericht gibt und wie dieser begründet wird.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Deutsche Wohnen geht gegen Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vor
Siehe http://www.anleihencheck.de/news/Artikel-Deutsche_Wohnen_geht_gegen_Bus…
Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Inzwischen gab es Kommentare in öffentlichen Foren anderen Ortes und es erreichten mich private Nachrichten zum Thema:

(1) DSGVO: Bürokratischer Excess

Wolfgang Ksoll meint oben im Thread: "Offenbar wird hier versucht, dass der Datenschutz mit bürokratischem Exzess die Wirtschaft ohne jeden Nutzen lahm legen will. Einfach Macht ausüben zur Zerstörung. Eine ordentliche Risikoanalyse (Schadensausmaß * Eintrittswahrscheinlichkeit) wurde von den Extrem-langsam-Arbeitern natürlich nicht eingelegt. Es wurde auch nicht gesagt, dass Daten missbraucht/gebraucht wurden, sondern nur dass sie da seien und nun (von den WORMS) gegen andere gesetzliche Vorschriften gelöscht werden sollen. Eine Amok laufende Behörde? Der deutsche Fakedatenschutz wird langsam unerträglich."
Wer von den Leser*innen teilt noch die Meinung, dass der Datenschutz in Deutschland überzogen gehandhabt wird?

(2) Vehementer Widerspruch [auf Heise.de]

Ein User fokussiert eher darauf "Ich sehe da vielmehr, dass viele Unternehmen ihre Daten einfach nicht löschen oder anonymisieren wollen.....". Das Problem sei nicht vorhanden "Ich kenne kein Archivsystem, das nicht die Möglichkeit gibt den Verweis zur Datei zu löschen. Das ist erstmal für die DSGVO ausreichend - solange auch sichergestellt wird, dass auf die Ursprüngliche Datei einfach so zugegriffen werden kann. Beim nächsten Media-Refresh oder bei Soft-WORMs wird die Datei dann ohnehin restlos entfernt.
Mir ist leider kein offizielles Zitat eines Datenschützers bekannt, der bestätigt hätte, dass logisches Löschen im Index ausreichend bei elektronischer Archivierung ist.
Vielleicht hat eine*r der Leser*innen eine Quelle dass logisches Löschen ausreichend ist.

(3) Backup vs. Archivierung

Privat erhielt ich die Nachricht "Ich glaube mich zu erinnern, dass selbst eine der nationalen Datenschutzbehörden dokumentiert hat, dass z.B. persönliche Daten aus Backups nicht gelöscht und auch nicht anonymisiert werden müssen, sondern dass die Backups unverändert bleiben dürfen." Backup ist nicht Archivierung und hat einen anderen Zweck. Selbst wenn diese Annahme stimmt, sind die betroffenen Daten nach einem Recovery mit Zurückspielen der Sicherung wieder im System sind - und dann natürlich auch wieder bereinigt werden müssen. Leider habe ich zur der Annahme, dass Datenschützer (davon haben wir ja auf Bundesebene einen und noch 18 weitere in den Bundesländern) hierzu etwas Verbindliches publiziert hat. 
Vielleicht hat eine*r der Leser*innen eine Quelle dazu.

(4) Perfektionistischer Ansatz in Deutschland [auf Heise.de]

Ein weiterer Kommentar: "Bei der Diskussion in Deutschland habe ich aber oft das Gefühl, dass ein perfektionistischer Ansatz verfolgt wird und man aus den Augen verliert, worum es bei der DSGVO eigentlich geht: nämlich, Personen vor Schaden zu schützen, der durch unberechtigte Nutzung ihrer Daten entstehen kann. Dazu ist es wichtig, die Daten aus dem Verkehr zu ziehen. Ob sie physisch gelöscht sind, gut anonymisiert, oder so abgelegt, dass man einen Kollegen aus Timbuktu und einen aus Wellington braucht, um dranzukommen, und vielleicht auch der Zugriff automatisch dokumentiert wird (auf einem System in Alaska) dürfte von der Auswirkung her gleich sein: die Daten werden voraussichtlich nicht mehr mißbraucht werden."
Vielleicht hat eine*r der Leser*innen eine Meinung dazu.

(5) Löschen nach DSGVO ist nachrangig

Eine Nachricht wies darauf hin, dass HGB und andere Vorgaben Vorrang vor der DSGVO hätten: "Das Problem ist nicht, dass die Daten nicht gelöscht worden sind, sondern das die Daten für alle zugänglich waren! Auch wurde nicht geprüft, ob die Aufbewahrung der Daten durch eine andere Gesetzgebung gefordert werden - die DSGVO ist ja nachrangig. Löschen verträgt sich nicht wirklich mit der Pflicht zur Dokumentation der Löschung und schon gar nicht mit einer "revisionssicheren" Archivierung." Das Verhältnis der DSGVO zu anderen Gesetzen ist nicht überall nachgezogen. 
Vielleicht hat eine*r der Leser*innen eine Quelle zum Thema Nachranggkeit der DSGVO.

(6) Höhe des Bußgeldes

"Das Bußgeld in Millionenhöhe wird sicher vor Gericht landen". Hierzu möchte ich einer möglichen Klage und deren Ergebnis nicht vorgreifen. Jedoch sind andere Urteile und Bußgelder zur Nichteinhaltung der DSGVO in Deutschland eher viel niedriger ausgefallen - auch wenn es bisher nur wenige dokumentierte Fälle gibt. 
Vielleicht kann eine*r der Leser*innen Beispiele dazu bringen.

(7) Klarstellung auf europäischer Ebene

In einer Antwort wurde darauf verwiesen "Es wird wohl auf die Gerichtsprozesse in den kommenden Jahren und weitere Auslegungspapiere der europäischen Datenschutzbehörde ankommen, um hier über die Zeit ein wenig mehr Klarheit zu schaffen." Die Umsetzung der GDPR/DSGVO in deutsches Recht, im BDSG, ist gerade eine zweite Überarbeitung unterwegs. Hier konnte ich zum Thema aber nichts Brauchbares finden. 
Vielleicht hat eine*r der Leser*innen eine Quelle, ob dies auch auf europäischer Ebene ein Thema ist und wie dies in anderen Ländern gehandhabt wird.

(8) Einschränkung des Zugriffs

Es gibt auch die Meinung, dass "Es wäre hier sicherlich einfach gewesen, die Zugriffsrechte ausschließlich dem Datenschutzbeauftragten einzuräumen und den Prozess zu dokumentieren." Hierzu müsste man mehr über die Archivinstallation bei der Deutsche Wohnen und deren Nutzungsmodelle wissen. Sofern Datenbestände nicht sauber getrennt sind zwischen "normal von jedem Berechtigten nutzbar" und "DSGVO-relevant nur von wenigen, benannten Berechtigten für definierte Zwecke nutzbar" sind die personenbezogenen Daten nach DSGVO kaum von den anderen zu trennen. Zumal wenn im Datensatz oder Dokument im Archiv diese enthalten und zum Verständnis des Kontext auch weiterhin notwendig sind. Informationsarchitektur und Dokumentation spielen hier natürlich eine wichtige Rolle. 
Vielleicht hat eine*r der Leser*innen eine Quelle, ob eine solche "Begrenzung des Zugriffes nach Auffassung des Datenschutzes ausreichend ist.

(9) Sperren statt Löschen

"Es muss doch ausreichend sein, die Daten einfach zu sperren statt sie löschen zu wollen. Das geht doch im Einzelfall garnicht." Sperren wäre auch wieder eine Möglichkeit über die Verwaltungsdatenbank des Archivsystems (oder der Anwendung, an die ein Archivspeicher angehängt wurde) den Zugriff zu verhindern und andererseits nachzuweisen, dass ordnungsgemäß mit den Daten umgegangen wurde. Der zweite Punkt betrifft die Verhältnismäßigkeit. Kann vom archivierenden Unternehmen verlangt werden, einzelne Daten und Datensätze aus einem Archiv zu entfernen, das auf nur einmal beschreibbaren Medien aufsetzt (true WORM). Im ursprünglichen BDSG gab es hierfür eine Möglichkeit  als zeitlich und sachlich begrenzte Alternative zum Löschen bei unklarem Fortfall des Zweckes der Verarbeitung und unzumutbar hohem Aufwand kleinteiligem Löschen. Dies dürfte aber auf die Deutsche Wohnen nicht zutreffen, da es sich nicht um einen Einzelfall einer Löschung entsprechend Datenschutzrecht beantragenden Person handelt sondern um die generelle Zugriffsmöglichkeit für eine große Zahl Mitarbeiter.
Vielleicht hat eine*r der Leser*innen eine Quelle, ob Sperren anstelle Löschen ausreichend ist. 

(10) Art des Löschens

Eine Nachricht erreichte mich, die verlangt "Es muss doch erst mal geklärt sein, um welche Art des Löschens es hier geht. Logisches Löschen, physisches Vernichten, Sperren, Zugriff Verhindern usw. Dazu sagt weder die Beschreibung zur DW noch die Gesetzeslage etwas verbindliches."
Vielleicht kann eine*r der Leser*innen hier Klarheit schaffen, was bei der Deutsche Wohnen wirklich im Detail 2017 und 2019 beanstandet wurde und wie die gesetzliche Lage zur Behandlung dieses Falles ist.

(11) Kein Einzelfall

"Ist wohl kein Einzelfall bei der DW. Da kam jeder wohl an Daten ehemaliger Mieter ran."
Vielleicht kann eine*r der Leser*innen hier Klarheit schaffen, was bei der Deutsche Wohnen wirklich im Detail 2017 und 2019 beanstandet wurde.

(12) Migration

Das Weglassen von nicht mehr benötigten Daten und Dokumenten ist ein klassisches Verfahren bei einer Migration. Dazu gab es die Frage "Reicht das Weglassen der Index-Daten und der Dokumente oder sind auch die Audit-Trails betroffen?". Eine Migration ist zu dokumentieren - dies sagen schon die GoBD. D.h. alle Veränderungen, also auch Weglassungen, sind in der Verfahrensdokumentation der Migration zu dokumentieren. Die Frage ist hier eher - wie findet man die betroffenen personenbezogenen Daten. In der Index-Datenbank geht dies noch, die Auswertung von Protokollen und Audit-Trails ist ein Graus, und in den Dokumenten selbst nachzugucken ... kaum eine Chance. 
Aber vielleicht kann eine*r der Leser*innen hier eine bessere Antwort oder gar eine Quelle?

(13) Elektronische Signatur

Ja, man kann es auch noch komplizierter machen: "Elektronische Signaturen sind doch auch persönliche Daten. Müssen die auch nebst Zertifikaten usw. entfernt werden, wenn das jemand verlangt?
Mir fällt dazu echt nichts mehr ein. Aber vielleicht kann eine*r der Leser*innen hier antworten und eine Quelle verlinken. 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Ich denke das Thema gewinnt jetzt wieder Fahrt. Am Anfang war der Hype und dann passierte nichts ... also wurden die Aktivitäten in den Unternehmen runter gefahren. Was viele übersehen haben war, dass die Datenschützer sich erstmal in Stellung bringen mussten und jetzt geht es los. Da kommt noch so einiges! Auch die Annahme das "alles" neu um den Datenschutz ist, stimmt so nicht. Ein Datenschützer mit dem ich arbeitete sagte: "Stellen Sie sich eine Strasse vor mit einer Geschwindigkeitsbegrenzung von 100km/h ... die ist schon immer da, aber jetzt wird ein Blitzer montiert!".

Generell gibt es hier eine Vielzahl an Problemen:
Zum einen ist es m.E. für normale Unternehmen sehr schwer "mal schnell" eine Maßnahmen zu treffen. DSGVO Compliance ist halt mehr als nur "digitalisieren". Es geht um strukturierte Ablage, Löschregeln etc. und da muss man sich organisatorisch Gedanken machen. Technisch sind diese Herausforderungen lange gelöst, aber sie wurden eben organisatorisch nicht umgesetzt (weil u.U. ziemlich aufwendig). Ich würde auch eine Wette abschließen, dass viele Nutzer von DMS, ECM o.ä. Lösungen auch alte Systeme im Einsatz haben - die laufen ja. Dummerweise hat man bei der Installation des WORM Speichers in 2003 nicht an löschen oder ausblenden gedacht und jetzt müsste man eine komplette Migration des Storage inkl. ECM machen.

Die re-Attributierung ist auch ein wichtiges Thema! Auch wenn die Daten im System sind muss für eine DSGVO konforme Ablage erstmal definiert werden, was man wie und wo löscht (oder aus dem Index entfernt). Es ist nun mal nicht damit getan, alles mit dem Namen Thomas Müller zu löschen ... denn den gibt es mehrmals in verschiedenen Städten und manche Dokumente darf ich aus steuerlicher Sicht nicht anfassen. Hier müssen sinnvolle Attribute gesetzt werden und das rückwirkend. Die Arbeit wollte bisher bestimmt keiner machen.

Ein weiterer (neben bestimmt noch vielen weiteren) Punkten ist auch die Vereinfachung der IT. Heute nimmt man schnell man einen Sharepoint, OneDrive, BOX etc. und los gehts ... wir sind ja jetzt digital. Zwar hat man jetzt schnell eine technische Lösung gezaubert und meist geht die Einführung auch schnell und all die Feinheiten wie Löschregeln, Orte wo Daten liegen usw. werden übersehen oder schlicht ignoriert. Gartner macht es sich hier auch stellenweise ein bisschen Einfach - KI, Web und Mobile lösen nun mal nicht alle Probleme.

Am Ende sehe ich das Thema als eine Steilvorlage für EIM Systeme - das ist genau das wofür man sie braucht. Managen von Informationen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Herr Lueckel,

vielen Dank für Ihren Kommentar.

Zwei Anmerkungen meinerseits: 

(a) Nicht jeder Leser wird wissen was mit "EIM" gemeint ist. Es soll sich wohl um Enterprise Information Management handeln. Unsere Beschreibung dazu.

(b) Was teilen nun Anbieter von Archivierungslösungen oder Systemen mit einem angebundenen oder integrierten revisionssicheren Archiv ihren Kunden und Interessenten mit, wenn diese nachfragen, wie es denn um Datenschutz, Löschen und Revisionssicherheit bestellt ist. Auf welche gesetzlichen Grundlagen beziehen Sie sich dann in Ihrer Stellungnahme (die 13 Statements/Fragen oben sind ja noch nicht mit Quellen versehen).

Schöne Grüße,

Dr. Ulrich Kampffmeyer

 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Hallo Herr Kampffmeyer,
es wäre jetzt super cool wenn ich an dieser Stelle jetzt eine Armada an Paragraphen und rechtlichen Grundlagen liefern könnte, aber am Ende ist das nicht wirklich der Job eines Softwareherstellers. Klar könnte man argumentieren, dass wir als Hersteller hierzu aussagefähig sein sollten, aber das sind wir real betrachtet nur zum Teil.
Wir als Hersteller müssen unsere Produkte im Kontext einer DSGVO und vieler anderer Richtlinien kennen und wenn es international wird, im Kontext der technischen und nicht der gesetzlichen Vorgaben. Wir würden hier ein Beratungshaus empfehlen das den Kunden fachlich beraten kann. Am Ende müssen wir die technische Basis für diese Beratung liefern und das können wir.

Die größere Frage ist, ob Kunden aktuell schon das umsetzen wollen was wir verschlagen, wie z.B. den Datenbestand neu zu indizieren und mit relevanten Indexdaten im Kontext der DSGVO oder anderen Themen zu versehen oder mal flott das teure Storage System zu ersetzen? Das kostet eine Menge Zeit und am Ende Geld und da wird es komplex ...

Wie sagte ein Kollege von mir einmal: Das richtige tun und etwas richtig zu tun sind zwei paar Schuhe.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Herr Lueckel,

ja, einfach ist es wahrlich nicht, weil verschiedene Gesetze und Regeln hier sich widersprechen oder in Konkurrenz treten. 

Natürlich muss ein Anbieter eines Systems sicherstellen, dass sein Produkt den gesetzlichen Vorgaben entspricht. Man kann kein Auto verkaufen, das nicht den Vorgaben StVo entspricht, auch wenn der Fahrer selbst für das ordnungsgemäße Bedienen und Fahren verantwortlich ist. Ebenso kann man keine Archivsystemsoftware verkaufen, wenn diese nicht geeignet ist, die rechtlichen Vorgaben für die Aufbewahrung im Kontext aktueller Gesetze (wie DSGVO, GeschGehG, HGB/AO/GoBD, ITSiG u.a.) zu erfüllen, auch wenn die Anwenderorganisation selbst für ordnungsmäßigen Betrieb und Nutzung verantwortlich ist.

Deshalb erwarte ich als Berater im Markt für Informationsmanagement, dass es entsprechende Aussagen der Anbieter gibt (auch wenn ich ein Gegner von Zertifizierungen bin, die rechtlich und praktisch gesehen nur Augenwischerei sind). D.h. eine solche Aussage muss nicht sein, dass man die und die Paragraphen erfüllt, sondern wie und welche Funktionalität eingesetzt wird, um solche Anforderungen wie das "Löschen" (logisch, physisch, über Berechtigung, mittels Metadaten, über Sperren, durch Migration - wie auch immer) zu erfüllen. Diese Aussage zu den Produkten erwarte ich vom Hersteller, auch im Einklang mit Produkthaftungsgesetzen.

Mit freundlichen Grüßen,

Dr. Ulrich Kampffmeyer

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Hallo Herr Kampffmeyer,
die Erwartungshaltung das ein Produkt technisch die Anforderungen umsetzt ist berechtigt und bisher habe ich noch auf jeden Anforderungspunkt bei uns noch nichts gefunden was eine technische Limitation darstellt. Wie ich schon vorher sagte, ist das "Problem" technisch in vermutlich allen Produkten gelöst. Wie diese technischen Lösung im Einklang mit den Verfahren und deren Dokumentation gebracht werden ist dann eine andere Baustelle. Viele dieser Punkte auf technischer Seite werden ja auch bei Ausschreibungen und/oder Pflichtenheften abgeklopft und festgezerrt.

Wäre ihre Erwartung das wir als Hersteller eine Liste mit Verweisen bereitstellen - Beispielsweise: Löschen im Sinne der DSGVO wird erfüllt von Funktion/Programmteil XYZ? Ich glaube nicht, dass dies hilfreich ist, da alle Hersteller Programmteile/Funktionen unterschiedlich benennen und damit vermutlich nicht wesentlich mehr Klarheit entsteht. Wir haben z.B. diverse dieser Funktionen in einem eigenen Modul für DSGVO Compliance bereitgestellt, welches den Anwender hier unterstützt.

Wichtig wäre m.E. der Wille beim Kunden hier zu investieren und hier rede ich, zu meinem vertrieblichen Leidwesen, nicht zwangläufig in Lizenzen und/oder Modulen, sondern a) Dienstleistung/Aufwände die eigenen Prozesse zu analysieren und b) das Ergebnis umzusetzen. Beim Umsetzen geht es sehr tief in die Organisation der Daten und das ist u.U. recht umfangreiche Arbeit und damit mit internen und externen Kosten verbunden.

Gerne können wir uns dazu auch einmal direkt austauschen.

Viele Grüße

Enno Lückel

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Die Diskussion um das Bußgeld für die Nichteinhaltung der DSGVO seitens der Deutsche Wohnen hat sich in verschiedene Richtungen entwickelt. Es geht um die Berechtigung der Strafe, deren Höhe usw. Aussagen wie "es ist doch niemand geschädigt worden" sollen die Relevanz der DSGVO in diesem Fall untergraben. Die Deutsche Wohnen geht gegen das Bußgeld vor und schreibt: <ZitatDie Deutsche Wohnen bestätigt, dass ihr ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit zugestellt wurde. Die Darstellung der Berliner Datenschutzbeauftragten ist der Deutsche Wohnen bekannt. Die Vorwürfe beziehen sich auf die bereits abgelöste Datenarchivierungslösung des Unternehmens. Die Deutsche Wohnen betont ausdrücklich, dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden. Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen. </Zitat

Leider gab es zu unseren 13 offenen Fragen oben keine direkten Posts in unserem Blog ... 

Das ist sehr schade. Gern hätten wir gewußt, wie die Anbieter von Archivierungslösungen auf Fragen nach dem Datenschutz, der Revisionssicherheit und dem Löschen ihrer Kunden und Interessenten antworten. Man hält sich bedeckt und zieht offenbar den Kopf ein. Zumindest ein Mitarbeiter eines Anbieters hat oben gepostet und drei andere haben uns privat geantwortet - oder sind ihrerseits Fragen losgeworden.

Aber es gibt Informationen anderen Ortes zum Thema die lesenswert sind:

  • RA Prof. Niko Härting: "Dünnes Eis: Berliner Datenschützer verhängen Millionenbußgeld" http://bit.ly/2Nupyo
  • RA Jens Bücking: "Backups und Archive – wie weit geht die Löschpflicht für personenbezogene Daten?"  http://bit.ly/32y4y5b
  • RA Nina Dierks: "Berliner Datenschutzbehörde (BlnBDI) erlässt Bußgeld nach DSGVO in Höhe von 14,5 Millionen EUR | Eine Einordnung – auch in Sachen Revisionssicherheit versus DSGVO" http://bit.ly/2NpfxcF 
  • RA Jens Buecking "Haftungsvermeidende Datenschutzorganisation im Konzern – DSGVO-Konzernhaftung"  http://bit.ly/32yVMUw

Auf Heise.de in deren Forum gab es allerdings ein paar Antworten - ob nun passend oder nicht: "Die DSGVO ist ein grundsätzliches Problem für die revisionssichere elektronische Archivierung" http://bit.ly/2NIkGLG

Auch einige Artikel zu internationalen Einschätzungen bezüglich der GDPR und Backup erhielten wir - wobei man aber immer wieder betonen muss, dass Backup und Archivierung zwei sehr unterschiedliche Dinge sind! 

Wenn wir weitere Quellen finden oder Hinweise erhalten, aktualisieren wir diesen Beitrag.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Die hier geführte Diskussion zeigt für mich ganz deutlich auf: Firmen und Institutionen, die Daten speichern und verarbeiten sehen sich in einem Dilemma, in einer Vielzahl von Dilemmata. Welches Regelwerk beachte ich, wenn ja in welcher Reihenfolge und was mache ich bei Widersprüchen in den Regelwerken oder gar bei nicht erfüllbaren Anforderungen? Alleine GoBD, Handelsrecht, Steuerrecht und DSGVO in Deutschland bieten eine Fülle von Entscheidungssituationen, die jede Person dabei in den Wahnsinn treibt. Was ist zu tun? Jede Firma muss für sich aus dem Konglomerat der verschiedenen Regelwerke eigene Geschäftsregeln für sich festlegen und dann umsetzen. So ist es möglich neben dem eigenen Wertesystem zur Behandlung von Daten auch ­­­- für die Beurteilung von Prozessen und Datenobjekten wenig ausgebildeten - Juristen die Wirklichkeit aufzuzeigen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Peter,

danke für Deinen Kommentar.

Du sprichst von "Diskussion", aber eigentlich sind es nur Zusammenstellungen von Fragen und Statements sowie einige wenige Kommentare, die auf die Frage nach den Quellen (siehe oben die 13 Fragen/Statements) noch keine einzige nachvollziehbare, rechtlich begründete Antwort eingegangen ist. Eine Diskussion wäre schön.

Die Antwort auf den Titel Deines Kommentars lautet "Dilemma und Wahnsinn in Einem".

Dilemma weil wir es mit konkurrierenden Regeln und möglichen technischen Verfahren zu tun haben, wo eindeutige Aussagen des Gesetzgebers fehlen.

Wahnsinn weil die Auslegung der DSGVO Stilblüten treibt (man denke nur an Namensschilder an Hochhäusern usw.) und es immer noch nicht allen klar ist, dass die die DSGVO eigentlich auch die persönlichen Rechte eines Bürgers beim Schutz seiner eigenen persönlichen Daten geht (also Mißbrauch beim Werben, "Nachsetzen" nach eigentlichem Ende der Aufbewahrungsfrist, Diskreminierung, usw.). Gerade der generelle Umgang mit allen personenrelevanten Daten ist in den Unternehmen sehr schwierig, weil diese in unterschiedlichsten Zusammenhängen an den verschiedensten Orten stecken. Eine vollständige, "buchstabengenaue" Umsetzung der DSGVO wird kaum einem Unternehmen möglich sein. In meinem Eingangspost oben hatte ich schon darauf hingewiesen, dass man im Unternehmen erstmal definieren muss, welche  Daten und Dokumente betroffen sind, dann Lokalisieren, wo sich diese befinden, und dann die Daten entsprechend klassifizieren und verwaltbar machen, und dann kann man über technische Ansätze nachdenken. Gerade bei großen Altbeständen dürfte dies kaum organisatorisch, technisch und wirtschaftlich zugleich machbar sein.

Schöne Grüße,

Uli

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Auf meinem Blog https://data-blog.de/?p=365 habe ich einen Artikel zu dem Rekord-Bußgeld in Berlin veröffentlicht.

Mein Kommentar zu den oben aufgeführten Statements/Fragen:

1. "Bürokratischer Excess" -> dieses Argument wird ja ständig und überall verwendet wenn es um datenschutzrechtliche Themen geht, ist aber in meinen Augen völlig haltlos. Es geht beim Datenschutz um den Schutz von Grundrechten, das scheint vielen Personen nicht klar zu sein. Dazu wird immer so getan als würden wir uns in Deutschland besonders übertrieben um den Datenschutz kümmern, was absolut nicht der Realität entspricht. Obwohl Deutschland mal Vorreiter in diesem Bereich sind nahezu alle EU-Mitgliedsstaaten bei der Umsetzung der DSGVO weiter als wir (obwohl in weiten Bereichen das europäische Datenschutzrecht ja nur an das Deutsche angepasst wurde). Auch gegen die Behauptung es gäbe zu viel Bürokratie und Datenschutz wäre "fakedatenschutz" spricht ja die Export-Beliebtheit der DSGVO, so orientieren sich immer mehr Länder ausserhalb der EU am europäischen Datenschutz-Standard. Nicht weniger Datenschutz heisst die Devise der nächsten Jahre, sondern der Datenschutz sollte weiter gestärkt und ausgebaut werden, wozu auch strengere Bußgelder bei Fehlverhalten gehören.

2. "logisches Löschen ausreichend" Hier stellt sich tatsächlich die Frage woher der Kommentierende diese Information hat, die in meinen Augen eindeutig falsch ist. Es reicht keineswegs nur den Verweis auf die Daten zu löschen, sondern Daten die nicht länger benötigt werden sind umgehend zu löschen, solange keine gesetzliche Aufbewahrungspflicht dem entgegen steht.

3. "Backup vs. Archivierung" Dazu kann ich keine Aussage machen, eine entsprechende Stellungnahme einer Aufsichtsbehörde oder eines Juristen ist mir nicht bekannt.

4. "perfektionistischer Ansatz" Diese Aussage teile ich, abgesehen von dem Beispiel mit Timbuktu und Alaska, eine solche Regelung wäre allerhöchstens eine Art von Pseudonymisierung, welche den Personenbezug nicht auflöst und somit ungeeignet ist die Betroffenen vor einem Missbrauch ihrer Daten zu schützen.

5. "Nachrangigkeit der DSGVO" Dazu haben sich die oben genannten Kolleg(in)en Dierks und Härting ja bereits ausgiebig in den verlinkten Beiträgen geäußert. In meinen Augen ist dabei der Ansicht von Frau Dierks zu folgen: Eine Vorrangigkeit der gesetzlichen Aufbewahrungsfristen ist nicht gegeben und auch nicht nötig, DSGVO-konforme Löschung und Revisionssichere Archivierung können nebeneinander bestehen. (Eine Zusammenfassung der Aussagen auch in meinem Blog-Artikel https://data-blog.de/?p=365 )

6. "Höhe des Bußgeldes" ist in meinen Augen angemessen, es wurde Zeit dass eine deutsche Aufsichtsbehörde den gesetzlichen Bußgeldrahmen auch einmal ausschöpft (wobei hier auch noch Platz nach oben gewesen wäre, 4% des Jahresumsatzes). Ich hoffe weitere angemessene Bußgelder folgen.

7. "Klarstellung auf europäischer Ebene" Die Bußgelder werden ja von den nationalen Aufsichtsbehörden verhängt und sollen daher auch auf nationaler Ebene vor Gericht kommen. Eine Zuständigkeit des EUGH sehe ich hier nicht.

8. und 9. Hierzu habe ich keine Quelle

10. und 11. Was genau beanstandet wurde habe ich in meinem Artikel zusammengefasst welchen Sie gerne unter https://data-blog.de/?p=365 nachlesen können.

12. siehe 2.

13. "Elektronische Signatur" Selbstverständlich handelt es sich auch dabei um personenbezogene Daten, die gelöscht werden müssen wenn der Verarbeitungszweck erfüllt ist (auch ohne Verlangen des Betroffenen). Jegliche Verarbeitung personenbezogener Daten ohne Rechtsgrundlage oder nach Erfüllung der ursprünglichen Verarbeitungszweckes ist rechtswidrig, das scheint vielen nach wie vor nicht klar zu sein.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Herr Maurer,

vielen Dank für Ihren ausführlichen Kommentar zu meinen 13 Fragen (es werden schon wieder mehr ...) und Ihren sehr informativen Blogbeitrag. Ich möchte hieraus nur einige wenige Punkte aufgreifen:

(2) "Logisches Löschen" 

Abgesehen von einer vollständigen Migration ist das sogenannte "Logische Löschen" bisher der einzige Weg mit nur einmal beschreibbaren Speichern (trueWORM, CAS) die Anforderung einer "Vernichtung" der Information zu erfüllen. Dies ist im Einzelfall einer Anforderung eines Berechtigten von Unternehmen nicht zu leisten, wenn sie Tausende oder Millionen von Kunden haben, da jedes Mal das Archiv komplett durchgeforstet und reorganisiert werden muss. Dies ist unverhältnismäßig weil unwirtschaftlich und technisch aufwändig. 
Dem physischen Löschen steht außerdem entgegen, dass Konsistenz und Kontext in einem Archiv gewahrt bleiben muss.
Die meisten moderneren Archivsysteme können logisch Löschen. Beim Records Management war dies sowieso immer eines der Grundprinzipien. Wobei Löschen nicht "einfach weghauen" heißt sondern es wird ein Löschprotokolleintrag erstellt, der wiederum den Aufbewahrungspflichten unterliegt und als Nachweis der Ordnungsmäßigkeit der Aufbewahrung dient.
-> Logisches Löschen ist ausreichend zur Erfüllung der DSGVO!

 

(5) "Nachrangigkeit"

Die Löschverpflichtung, das "Recht auf Vergessen" ist gegenüber gesetzlichen Nachweispflichten wie im HGB/AO, Atomrecht, Produkthaftungsrecht und Verordnungen wie FDA/GxP, GoBD usw. nachrangig, wenn die personenbezogenen Informationen zum Nachweis unabdingbar dazugehören. Es kann niemand verlangen, dass in einem Zulassungsantrag der Name und die Daten eines unterzeichnenden Leiters einer klinischen Testreihe entfernt werden. Es kann nicht sein, dass jemand verlangt, dass sein Name von einer Rechnung getilgt wird, weil er keine Lust hat diese mehr zu bezahlen. Neben Löschverpflichtungen nach DSGVO gibt es auch noch Veröffentlichungspflichten nach IFG z.B. Das gesamte Straf- und Zivilrecht stände Kopf, wenn das Recht auf Löschung, auf "Vergessen" Vorrang vor anderen Gesetzen hätte. 
Hierzu fehlen allerdings entsprechende gesetzliche Äußerungen und Grundsatzurteile.
Nehmen wir aber einfach nur den Begriff "Recht auf Vergessen". Mittels "logischem Löschen" wird die Information vergessen. Sie ist zwar irgendwo noch vorhanden, aber mit normalen Mitteln nicht und nur durch wenige Auserwählte sowie durch Protokoll dann nachvollziehbar noch zugreifbar.
-> Die DSGVO Löschverpflichtung ist nachrangig zu anderen Aufbewahrungsverpflichtungen!
-> Das Verhältnis der DSGVO - unabhängig vom Spezialfall Löschen - zu anderen Gesetzen ist generell zu klären! Dies gilt auch für DSGVO/BDSG im Verhältnis zu den LDSG, den Länderdatenschutzgesetzen!

 

(13) "Qualifizierte elektronische Signatur"

Beim Scannen und Signieren nach Resiscan wird durch die Prüfsumme die personenbezogene qualifizierte elektronische Signatur mit dem signierten Objekt unauflösbar verbunden. Das Löschen einer Signatur würde bedeuten, dass das Objekt ohne Signatur neu gespeichert werden muss, damit seinen Beweiswert verliert und mit anderem Datum und anderen Prüfsummen vorliegt sowie wenn genutzt die gesamte Arie des Nachsignatur-Baumes nach TR-ESOR neu organisiert werden muss. Das funktioniert nicht. Nur ein Beispiel.  Auch wenn elektronische Signaturen und Zertifikate nun personenbezogene Daten nach DSGVO sein sollen sind sie entsprechend Signaturgesetz (auch eIDAS) nicht zu löschen. Rechtlich gesehen stellen sie Willensbekundungen dar, die nicht einfach durch Löschen beseitigt werden können sondern durch eine neue Willensbekundung ersetzt werden müssen. 
-> Es muss vom Gesetzgeber Klarheit geschaffen werden, was personenbezogene Daten in welchem Kontext sind!
-> Elektronische Signaturen und ihre Zertifikate können nicht einfach mit der Begründung DSGVO gelöscht werden!



Mit freundlichen Grüßen,
Dr. Ulrich Kampffmeyer

 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

SDM Standard-Datenschutzmodell 2.0

Leider keine eindeutigen Antworten zu unserer Diskussion oben ... 

#Datenschutz #DSGVO #DS-GVO #BDSG #Datenschutz #Richtlinie #Pruefung #Löschen #Loeschen #DeutscheWohnen #Strafe  http://bit.ly/SDM_DSGVO_2019

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

... müssen jetzt alle Archivsysteme mit WORM-Speicherung abgeschaltet werden ... ?

Das Thema Löschen elektronisch gespeicherter personenbezogener Daten ist nicht einfach. Bisher setzte man bedingt durch Anforderungen an die Unveränderbarkeit nach Handels- und Steuerrecht auf nur einmal beschreibbare Speicher - sei digital-optische WORM-Medien, spezielle Festplatten-Subsysteme oder per Software auf nur einmal beschreibbar gesetzte Festplattenbereiche. Gleiches gilt auch für Blockchain-Verfahren. Aus einer verteilten Distributed Ledger Blockchain Daten zu entfernen ist schier unmöglich. Und über alte Backup-Medien muss man erst garnicht nachdenken. Diese Form der Nicht-Löschbarkeit von Daten steht im Widerspruch zu den Anforderungen von DSGVO/BDSG. Jüngst wurde das Recht auf Vergessen - sprich Löschen - auch in Online-Archiven durch das Bundesverfassungsgericht gestärkt:  http://bit.ly/2Lts6m1. In unserem Fall der Deutsche Wohnen ging es aber nicht um den Anspruch einer einzelnen Person auf Löschung der eigenen persönlichen Daten sondern generell um die Handhabung personenbezogener Daten im Unternehmen. Es lag keine Anforderung eines Berechtigten vor sondern es wurde das Bußgeld auf Grund generellen Umgangs mit personenbezogenen Daten erhoben.

Die Anbieter von elektronischen Archivsystemen haben meine Anfrage (siehe oben) nicht beantwortet. Man zieht einfach den Kopf ein und hofft, dass es nicht so schlimm wird wie der Gesetzgeber es vorsieht. Auch Kunden der Archivsystemanbieter erhalten hierauf keine Antwort ... außer in einem Fall ... "das Archivsystem ist vom Wirtschaftsprüfer zertifiziert, es ist rechtssicher, es erfüllt natürlich alle gesetzlichen Vorschriften vollständig, es speichert unveränderbar alle Daten, der Anwender brauche sich keine Sorgen machen.". Dermaßen unprofessionell gehen auch andere Anbieter mit den Themen rund um die Revisionssicherheit und Compliance um. 

Fragt man nun zum Thema verschiedene Datenschützer in der näheren Umgebung an (Hamburg [unser eigener Datenschützer], Schleswig-Holstein und Mecklenburg-Vorpommern [beide verantwortlich auch für das neue Standard-Datenschutzmodell SDM]) bekommt man sehr weiche Antworten auf die vier gestellten Fragen: 

  1. Würde in einem gleichliegenden Fall der Datenschützer in "xyz" genauso wie der Berliner Datenschutz entscheiden?
  2. Wenn ja, würde die Strafe auch so hoch ausfallen?
  3. Ist "logisches Löschen" in Archivierungssystemen ausreichend im Sinne des Löschens nach DSGVO/BDSG(neu)? (Hierbei wird nur der Verweis in der Datenbank auf die separat gehaltene Information gelöscht und das Wiederfinden verhindert. Die Information auf einem nur einmal beschreibbaren Speichermedium entsprechend HGB/AO/GoBD ist zwar noch vorhanden, aber nicht mehr nutzbar, nicht mehr auswertbar und nicht mehr findbar.)
  4. Warum wurde im SDM 2.0 nicht eindeutig geklärt, was mit "Löschen" und was mit "Nicht Verarbeitbar" in Bezug auf archivierte, nicht veränderbare Daten zu verstehen ist?

Aus Schleswig-Holstein wurde zu 1. und 2. auf den Datenschutz Berlin verwiesen und die fiktionale Analogie des Hintergrundes der Frage ignoriert.
Zu 4. wurde auf Anpassungen des SDM in Bezug auf mögliche Lücken in Zukunft und auf die natürlich selbst durchzuführenden Maßnahmen verwiesen. 
Die besonders interessante, generelle Frage 3 zum "logischen Löschen", einem seit Jahrzehnten eingeführten Verfahren der revisionssicheren Archivierung, wurde z.B. vom Datenschützer aus Schleswig-Holstein wie folgt beantwortet: 

<Zitat aus E-Mail vom 6.12.2019> Grundsätzlich gilt, dass ein personenbezogenes Verfahren, bei dem personenbezogene Daten nicht tatsächlich wirksam gelöscht (im Sinne von "entfernt") werden können, nicht eingesetzt werden darf. </Zitat> 

Leider wird immer noch nicht klar gesagt, was "Entfernen" oder "wirksames Löschen" meint. Ist hier "Vernichtung" gemeint? Technisch gesehen würde dies physischem Löschen der Daten auf dem Datenträger entsprechen. Bei einer Anfrage eines Betroffenen müssten dann dessen Daten entfernt aber die anderen Daten auf dem Archivdatenträger oder im Archivspeicher, z.B. unter Aufbewahrungspflichten nach ITSG, BGB Vertragsrecht,  HGB/AO/GoBD, usw. weiterhin aufbewahrt werden. Es wäre also ein zielgerichtetes Löschen einzelner Datenobjekte notwendig, was bei einem einzelnen digital-optischen WORM-Speichermedium nur durch Umkopieren der weiterhin aufbewahrungspflichtigen oder aufbewahrungswürdigen Daten auf ein neues Medium erfüllbar würde (inkl. möglicher Beeinträchtigung der Authentizität, Originalität, Integrität, Zertifikate etc. der umkopierten Daten-Objekte). Ein hardwaremäßig abgesichertes WORM-Festplatten-Speicher-Subsystem wie eine alte Centera kann man dann gleich komplett in die Schrottpresse schieben. Also konkret - was meint "entfernen". Was meint "ein solches Verfahren darf nicht eingesetzt werden" wenn man im Unternehmen bereits seit 10, 20 Jahren eine sichere elektronische Archivierung betreibt?

Nun kommt noch die Urteile des BVerfG hinzu, die den Anwendungsbereich datenschutzrechtlicher Ansprüche erheblich erweitern (6. November 2019 1 BvR 16/13 Recht auf Vergessen I6. November 2019 1 BvR 276/17 Recht auf Vergessen II). Das Löschen aus Verzeichnissen wie Google ist dabei inzwischen als "einfach" zu betrachten. Große Unternehmen wie Facebook, Google & Co. haben Abteilungen, die sich um das Löschen von Fakes und nach GDPR kümmern - außerdem wird dort nicht "aufbewahrt" (HGB) oder archiviert (Archivgesetze). Schwieriger dürfte dies bei Projekten wie dem Internet-Archiv (www.archive.org) sein, da dort komplette Webseiten ohne Zutun des Webseitenbetreibers aus archivalisch-historischer Sicht archiviert werden. Auch Webseitenbetreiber wie PROJECT CONSULT, die alle ihre Webseiteninhalte seit Jahrzehnten verfügbar halten, können betroffen sein.  

Es scheint aber eine vergebliche Hoffnung zu sein, dass die Datenschutzbehörden das logische Löschen bei Inhouse-Archiven - die für sehr spezielle Nutzungsmodelle, nur berechtigte User und Berücksichtigung von Compliance-Vorgaben, Gesetzen und archivischen Grundsätzen geschaffen wurden - für ausreichend erachtet werden. Die Frage "logisches Löschen" versus "physisches Löschen" betrifft zigtausende von Unternehmen und Organisationen in Deutschland, die seit langer Zeit bereits sicher elektronisch archivieren. Aber die Hoffnung stirbt zuletzt!

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Neuen Kommentar schreiben

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.
Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.