Die europaweit gültige Datenschutz-Grundverordnung (DSGVO) regelt seit 2018, wie Unternehmen mit personenbezogenen Daten umgehen sollen. Und stellt sie damit vor eine große Herausforderung: Zum einen müssen sie die DSGVO organisatorisch und technisch umsetzen. Zum anderen aber entstehen immer wieder Widersprüche zwischen den Anforderungen der DSGVO und anderen gesetzlichen Aufbewahrungspflichten für Daten. Welche Vorschrift gilt dann für welche Art von Daten?

Schon die Frage danach, was personenbezogene Daten genau sind, ist nicht einfach zu beantworten. So ist die Auffassung weit verbreitet, dass es sich hierbei um persönliche Angaben, wie Kundendaten und Ähnliches handelt. Doch die Definition für personenbezogene Daten ist deutlich weiter gefasst. So sind damit alle Daten gemeint, mit denen sich eine Verknüpfung zu einer bestimmten Person herstellen lässt. In der Praxis können das sehr viele sein: Von Vertragsvereinbarungen über Daten aus dem Nutzertracking, wie Kaufhistorien oder Surfverhalten, bis hin zu E-Mails kann alles als personenbezogen eingeordnet werden.

Dabei ist es übrigens unerheblich, ob in einem Unternehmen die Verknüpfung der Daten auch tatsächlich hergestellt wird. Schon wenn es theoretisch möglich ist, genügt das aus juristischer Sicht völlig. Genau das macht den Umgang mit solchen Daten in der Praxis kompliziert. Selbst wenn sich die Verknüpfung nur über eine dritte Partei, etwa einen Geschäftspartner, ergibt, fallen die Daten unter die DSGVO. Selbst eine Pseudonymisierung genügt nicht. Werden beispielsweise Klarnamen durch fortlaufende Nummern ersetzt, kann der Bezug zur Person hinter der Nummer immer noch hergestellt werden. Das führt dazu, dass selbst IP-Adressen in den Logfiles von Webservern als personenbezogen gelten. So hilft denn auch Verschlüsselung nicht aus der Klemme: Aus rechtlicher Sicht wird auch hier nur ein Pseudonym vergeben. Wer den Schlüssel kennt, kann die Daten einsehen und Rückschlüsse ziehen.

Die DSGVO will personenbezogene Daten weitgehend schützen. So müssen personenbezogene Daten dann vollständig gelöscht werden, wenn der Zweck der Speicherung entfällt. Das lässt einiges an Interpretationsspielraum offen. Wurde ein Vertrag zwischen zwei Geschäftspartnern vereinbart, ist eine solche Basis gegeben – die Speicherung und Verarbeitung von personenbezogenen Daten ist notwendig und zulässig. Was aber passiert, wenn die Geschäftsbeziehung endet? Der eigentliche Grund für die Datenspeicherung entfällt. Laut DSGVO müssten die Daten gelöscht werden.

Allerdings stehen dem Aufbewahrungspflichten anderer Gesetze entgegen. Gesetzliche Vorgaben wie beispielsweise Handels- und Steuerrecht, das Energiewirtschaftsgesetz, das Kreditwesengesetz und nicht zuletzt das Arbeitsrecht definieren verpflichtende Aufbewahrungszeiträume für geschäftliche Unterlagen. Prominentes Beispiel: Das Steuerrecht schreibt die Aufbewahrung geschäftsrelevanter Daten bis zehn Jahre nach dem letzten Buchungsvorgang vor. Dazu gehören Verträge, Rechnungen, Angebote, Auftragsbestätigungen, Zahlungsbelege und sogar interne sowie externe E-Mails, die in irgendeiner Art für die Geschäftsbeziehung relevant sind. Auch die Gewährleistung ist ein Fall, in dem auch nach Vertragsende Daten nicht gelöscht werden müssen.

Zwar ist die DSGVO bewusst eher abstrakt formuliert, um so konkrete technische Vorgaben zu vermeiden. Für den beschriebenen Widerspruch aber liefert sie eine Lösung: Wenn die betroffenen Daten notwendig sind, um rechtliche Verpflichtungen zu erfüllen, dürfen sie archiviert werden. Automatisch werden die entsprechenden Gesetze dann zur gültigen Rechtsgrundlage dafür. Daneben akzeptieren die Datenschutzbehörden kaum andere Gründe. Fehlende organisatorische Strukturen zum Beispiel oder ein unverhältnismäßig hoher Aufwand für das Löschen der Daten zählen nicht.

Im praktischen Alltag von Unternehmen führt die DSGVO zu konkreten Konsequenzen. Endet eine Geschäftsbeziehung oder – um mit den Worten der DSGVO zu sprechen – entfällt der Zweck für die Speicherung personenbezogener Daten, muss geprüft werden, ob andere gesetzliche Vorgaben gegen eine Löschung sprechen. Wenn ja, werden die Daten zunächst archiviert und müssen beispielsweise am Ende der steuerrechtlichen Aufbewahrungsfrist gelöscht werden. Fast immer sind die Daten dann aber längst in Archive gewandert.

Unternehmen benötigen deshalb zweierlei: Zunächst ist eine Art Datenverarbeitungsverzeichnis sinnvoll, das alle Vorgänge erfasst und in die verschiedenen Aufbewahrungspflichten zuordnet. Hier ist verzeichnet, welche Daten im Unternehmen gespeichert und verarbeitet werden und welche davon personenbezogen sind. Ein Löschkonzept sollte das Verzeichnis ergänzen. Es definiert, wie genau welche Daten gelöscht werden sollen. Es entsteht ein hoher, organisatorischer und technischer Aufwand, der sich bei Prüfungen durch die Datenschutzbehörde jedoch bezahlt macht. Zudem brauchen Unternehmen technische Lösungen, die ihnen helfen, die richtigen Daten zum richtigen Zeitpunkt aus allen Systemen, inklusive Archiven und Backups, zu filtern.

Besonders kompliziert wird es, wenn Dienstleister in die Infrastruktur involviert sind. Erst kürzlich kippte der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield-Abkommen. Hier waren Datenschutz-Grundsätze definiert, die US-Unternehmen gegenüber EU-Bürgern einzuhalten haben. Die Vereinbarungen waren notwendig geworden, weil bereits das zuvor gültige Safe-Harbor-Abkommen vom EuGH für ungültig erklärt worden war. Beide Gesetze boten demnach keine ausreichenden Garantien, um sie in Einklang mit der DSGVO zu bringen.