Immer wieder entdecke ich Fragen zu Löschprotokollen im Zusammenhang mit der EU-Datenschutzgrundverordnung (DSGVO). Was muss ein Löschprotokoll beinhalten? Gibt es Muster? Muss ich ein Löschprotokoll überhaupt anfertigen? Ich bin mir sicher, im Sinne der DSGVO ist kein Löschprotokoll notwendig und nicht sinnvoll. In diesem Beitrag erkläre ich warum.
Grundlagen
Die Datenschutzgrundverordnung stellt eines deutlich klar: Wer nicht mehr möchte, dass seine personenbezogenen Daten verarbeitet werden, der hat ein Recht auf Löschung. Im Art. 17 DSGVO ist das Recht auf Löschung beschrieben. Dort ist auch verdeutlicht, dass es sich um ein ausdrückliches "Recht auf Vergessenwerden" handelt. Ausnahmen von diesem Recht gibt es nur begrenzt. Und selbst wenn diese zutreffen, so können die personenbezogenen Daten i.d.R. nur noch sehr eingeschränkt rechtlich zulässig verarbeitet werden.
Basis für diese Regelung sind die "Grundsätze der Verarbeitung personenbezogener Daten" gem. Art. 5 DSGVO. Hier heißt es unter anderem, dass personenbezogene Daten nur nach "Treu und Glauben" und zu "festgelegten, eindeutigen und legitimen Zwecken" verarbeitet werden dürfen. Personenbezogene Daten dürfen außerdem nur in einer Form gespeichert werden, "die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.".
Mit anderen Worten: Wenn ich Daten von mir preisgebe, dann darf man diese nur in einer Weise verarbeiten, wie ich das erwarten konnte (= nach "Treu und Glauben"). Und wenn die Daten gelöscht werden, darf keine Identifizierung meiner Person mehr möglich sein. So einfach ist das.
Das Paradoxon
Mit keinem Wort ist in der DSGVO davon die Rede, dass ein Löschprotokoll angefertigt werden muss. Wie kommt es also dazu, dass so viele hiernach fragen? Die Ursache liegt im Absatz 2 desselben Artikels. Dieser besagt, dass der Verantwortliche für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich ist und deren Einhaltung nachweisen können muss („Rechenschaftspflicht“). Man kann daraus also interpretieren, dass man somit auch dazu verpflichtet ist nachweisen zu können, dass man nach Löschung eine Person nicht mehr identifizieren kann. Deshalb kam man hier wohl auf die Idee, ein Löschprotokoll anzufertigen.
Die Idee ist allerdings paradox. Man kann zwar ein Löschprotokoll anfertigen, mit dem man nachweisen kann, dass man "irgendwelche" Daten gelöscht hat. Allerdings ist das genauso nützlich, wie eine Urkunde darüber, dass einem "irgendwo" ein Sack voll Gold gehört. Herzlichen Glückwunsch!
Alternativ fertigt man ein Löschprotokoll an, in dem man bestätigt, dass alle personenbezogenen Daten von Herrn Max Mustermann, Musterstraße 1, 12345 Musterstadt gelöscht wurden und kein Personenbezug mehr möglich ist. Das Protokoll wird dann für einen bestimmten Zeitraum als Nachweis aufbewahrt. Dummerweise beweist man mit dem Löschprotokoll dann aber auch, dass eben doch nicht alle Daten gelöscht wurden. Schließlich verarbeitet man mit dieser Protokollierung noch insoweit personenbezogene Daten von Herrn Mustermann, dass man nachweisen kann, dass seine Daten gelöscht wurden. Im schlimmsten Fall sind ggf. technisch zwingend übrige gebliebene, vermeintlich anonymisierte Datensätze gar nicht anonym. Stattdessen sind sie pseudonymisiert, da der Personenbezug sich mit Hilfe des Löschprotokolls wiederherstellen ließe.
Ein Löschprotokoll war mit Sicherheit nicht im Sinne der Erfinder der DSGVO. Und es entspricht erst recht nicht dem Grundsatz "nach Treu und Glauben". Denn wenn man ein Recht auf Löschung, respektive ausdrücklich auf das Vergessenwerden hat, dann erwartet man, dass ein Anspruch auf Löschung der Daten auch eine restlose Löschung bedeutet. Man darf erwarten "vergessen zu werden".
Löschbestätigung, statt Löschprotokoll
Ich glaube, das "Löschprotokoll" ist begrifflich aus dem Bereich der Informationssicherheit in den Datenschutz gerutscht, denn klassischerweise haben IT-Informationssicherheitsbeauftragte und Datenschutzbeauftragte viel miteinander zutun. Löschprotokolle in der IT haben aber den Zweck grundsätzlich nachzuweisen, dass eine Löschung technisch angemessen durchgeführt wurde. So erhält man, möchte man eine Festplatte sicher löschen lassen, beispielsweise ein Löschprotokoll hierüber. Dieses bestätigt, dass eine Löschung technisch ordnungsgemäß, mit Angabe der verwendeten Löschmethode (z.B. mehrfaches Überschreiben mit Zufallsdaten), durchgeführt wurde. Zweck des Löschprotokolls ist nicht primär dafür zu sorgen, dass ein Personenbezug entfällt. Vielmehr wird bestätigt, dass die Wiederherstellung von Daten ausgeschlossen werden kann.
Fordert also beispielsweise Herr Mustermann per E-Mail eine Bestätigung über die Löschung seiner personenbezogenen Daten, muss er erwarten, dass zumindest für seine Anfrage kurzfristig noch sein Name und seine E-Mailadresse verarbeitet wird. Es reicht aber ihm kurz zu bestätigen, dass man alle Daten gelöscht hat. Ein Löschprotokoll ist nicht notwendig. Wenn Sie es besonders ausführlich machen wollen, können Sie diese Bestätigung noch mit einer vorherigen Auskunft gem. Art. 15 DSGVO verbinden. Das ist aber keine Pflicht, sofern es nicht ausdrücklich angefordert wurde. Sollte man stattdessen (beispielsweise auf Anfrage der Datenschutzbehörde) die Löschung nachweisen müssen, sehe ich das immer noch gelassen. Es ließe sich im Nachhinein auch nachweisen, dass beispielsweise das Durchsuchen der eigenen Speichersysteme nach den betroffenen personenbezogenen Daten erfolglos bleibt.
Mit einer Löschbestätigung hat Herr Mustermann also ein ausreichendes Dokument, um seine Rechtsansprüche gegen Sie gelten zu machen, sollten Sie wider Ihrer Angaben nicht alle Daten gelöscht haben. Allerdings muss er dies auch nachweisen können, denn es gilt weiterhin: Im Zweifel für den Angeklagten. Kann er allerdings nachweisen, dass Sie Ihrer Pflicht nicht ordnungsgemäß nachgekommen sind, können Sie hierfür rechtmäßig haftbar gemacht werden. Da hilft Ihnen dann aber auch das beste Löschprotokoll nichts.