Diese Spuren sind für Unternehmen auch nach dem Ende der Kundenbeziehung wichtig. Mithilfe der vorhandenen Daten werden Bilanzen erstellt, Geschäftsberichte geschrieben und Steuererklärungen ausgefüllt. Zudem haben Unternehmen erhebliche Aufbewahrungspflichten: Finanzämter und andere Behörden möchten auch nach Jahren noch die Korrektheit der Geschäfte überprüfen können.

Steuerrechtlich relevante Daten zum Geschäftsverkehr mit Kunden müssen bis zu zehn Jahre nach der letzten kaufmännischen Buchung aufbewahrt werden. Das betrifft Buchungsvorgängen genauso wie personenbezogene Daten. Das Finanzamt möchte den Urheber einer Zahlung kennen - vielleicht weil er die Rechnung in die Aufstellung seiner Betriebskosten eingefügt hat.

Hier entsteht eine Kollision mit dem Datenschutz, denn solche Informationen sind in der Regel personenbezogene Daten und damit besonders geschützt. Deshalb besitzt jeder Mensch seit einigen Jahren das Recht auf Löschung und Vergessen, niedergelegt in der europäischen Datenschutzgrundverordnung (DSGVO). Gemeint ist damit: Wenn der Grund für die Speicherung wegfällt, müssen Unternehmen löschen, und zwar sämtliche personenbezogenen Daten zu dem jeweiligen Kunden. Das hört sich einfach an, ist es aber nicht.

Personenbezogene Daten - kein einfacher Fall

Doch der Reihe nach. Wir betreten hier ein Gelände mit juristischen Stolperfallen. Allein der Begriff der personenbezogenen Daten ist recht weit definiert. Er umfasst alle Daten, mit denen eine Verknüpfung zu einer bestimmten Person hergestellt werden kann. In der Praxis sind deshalb deutlich mehr Daten personenbezogen, als es auf den ersten Blick scheint. So kommt es nicht darauf an, dass die Informationen richtig oder falsch sind und auch nicht darauf, ob sie wichtig, geschäftskritisch oder sensibel sind. Selbst bei fehlerhaften und scheinbar unwichtigen Informationen kann es sich um personenbezogene Daten handeln.

Außerdem ist für die rechtliche Beurteilung gar nicht notwendig, dass ein Unternehmen in seiner IT tatsächlich den Bezug zwischen Daten und Personen herstellt. Bereits wenn ein solcher Bezug theoretisch möglich ist, ergibt das aus juristischer Sicht personenbezogene Daten. Es kommt außerdem nicht nur auf das Unternehmen selbst an. Auch Informationen und Daten, die über Vertragspartner oder andere dritte Parteien einer Person zugeordnet werden können, fallen unter den Schutz der DSGVO.

Diese Definition ist sehr weit und wird für die Unternehmen zu einer erheblichen Herausforderung. Personenbezogene Daten finden sich in allen Systemen und Anwendungen, sowie mittlerweile in Cloud- und Multi-Cloud-Umgebungen, die überhaupt Vorgänge aus dem Geschäftsverkehr verarbeiten und speichern. Unbedenklich sind lediglich anonymisierte Daten, zum Beispiel die aggregierten statistischen Angaben in einem Business-Dashboard. Dabei handelt es sich um anonymisierte Daten, die sich in keiner Weise mehr auf eine bestimmte Person beziehen. Es geht also um Aussagen wie "90 Prozent der Kunden sind mit dem Produkt zufrieden".

Normalerweise werden solche Informationen aus Data Warehouses oder Data Lakes mit heterogenen Daten gewonnen, die auch personenbezogen sind. Denn dort finden sich Inhalte aus unterschiedlichen Datenquellen wie Warenwirtschaftssysteme, ERP-Anwendungen und Marketing-Tools, sowie Multi-Cloud-Speichern. Eine naheliegende Idee ist es nun, einfach die Angaben zu den Personen zu entfernen - durch Pseudonymisierung. Dabei wird der Klarname mit einem Schlüssel ersetzt, etwa einer fortlaufenden Nummer. Doch auch pseudonymisierte Daten sind personenbezogen, da der Bezug theoretisch wieder hergestellt werden kann.

Daraus folgt nach Auffassung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH), dass sogar IP-Adressen in Logfiles von Webservern personenbezogen sind. Sie sind zwar Pseudonyme und nicht mit einfachen Methoden auf eine Person zurückzuführen. Doch mit Hilfe der Staatsanwaltschaft kann der Anschlussinhaber und damit möglicherweise die Person ermittelt werden, die eine Webseite besucht hat. Unternehmen dürfen zwar weiterhin Logfiles speichern, müssen sie aber entsprechend der DSGVO behandeln. Dabei hilft es nicht, Daten zu verschlüsseln. Auch dies gilt aus rechtlicher Sicht als Pseudonymisierung. Bei Kenntnis des Schlüssels (der entwendet werden kann) ist es leicht, den Bezug zu einer bestimmten Person herzustellen.

Die besondere Signifikanz von personenbezogenen Daten wird auch in Hinblick auf deren internationalen Austausch deutlich. Unter dem EU-US Privacy Shield war es bisher möglich personenbezogene Daten europäischer Bürger an Unternehmen mit Sitz in den USA zu übermitteln. Das ändert sich nun, denn nach einer Entscheidung des EuGH wurde das Abkommen für ungültig befunden. Grund: Das Gesetz bietet keine Garantien, die den strengen Ansprüchen der DSGVO genügen würden. Im Zusammenhang mit der Tatsache, dass besonders Software- und Cloud-Angebote häufig von internationalen Anbietern bezogen werden, müssen Einkäufer ab jetzt noch wachsamer vorgehen.

Recht auf Vergessen und Pflicht zur Archivierung

Die DSGVO-Grundregel lautet nun, dass personenbezogene Daten vollständig gelöscht werden müssen, wenn der Zweck der Speicherung entfällt. Bei Unternehmen ist das oft eine Geschäftsbeziehung, etwa auf der Basis eines Vertrages oder einer Einverständniserklärung zur Datenspeicherung. So werden personenbezogene Daten auch von Nicht-Kunden gespeichert, wenn sie eine Einwilligungserklärung für die Zusendung von E-Mails gegeben haben. Diese Daten müssen genau dann gelöscht werden, wenn die Einwilligungserklärung zurückgezogen wird.

Im Normalfall kann ein Unternehmen personenbezogene Daten so lange verarbeiten und speichern, wie eine Vertragsbeziehung besteht. Andernfalls muss es alle Daten des Kunden löschen. Doch wann endet eine Vertragsbeziehung tatsächlich? Wenn der Kunde gekündigt hat? Es gibt gute Gründe, anderes anzunehmen. Lutz Martin Keppeler, Fachanwalt für Informationstechnologierecht bei Heuking Kühn Lüer Wojtek in Köln, nennt die Gewährleistung als Beispiel: "Auch nach dem Ende einer Vertragsbeziehung gibt es oft noch gesetzliche Gewährleistungspflichten des Unternehmens. Dafür ist die Speicherung bestimmter Daten auch weiterhin nötig."

Ein ähnlicher Fall sind die gesetzlichen Aufbewahrungspflichten. Sie sind für unterschiedliche Kategorien von Daten in Spezialgesetzen geregelt. Dazu gehören beispielsweise Handels- und Steuerrecht, Energiewirtschaftsgesetz, Bundesimissionsschutzgesetz, das Kreditwesengesetz, das Arbeitsrecht und einiges mehr. Die bekannteste Frist entstammt dem Steuerrecht: Es schreibt eine Aufbewahrungspflicht für zehn Jahre nach dem letzten Buchungsvorgang vor.

Diese Pflicht betrifft alle Unterlagen und Daten, die zu den Geschäftsvorfällen gehören - etwa Rechnungen, Angebote, Auftragsbestätigungen, Zahlungsbelege, Verträge und vieles mehr. Grundsätzlich gehören dazu auch sämtliche internen und externen E-Mails, in denen in irgendeiner Form über die Geschäftsbeziehung korrespondiert wurde.

Es gibt also einen Widerspruch zwischen Lösch- und Aufbewahrungspflicht, der sich aber zugunsten der spezialgesetzlichen Archivierungsfristen auflösen lässt. So dürfen laut DSGVO personenbezogene Daten archiviert werden, wenn dies zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient. Aufbewahrungsfristen durch Gesetze werden somit zur Rechtsgrundlage für die weitere Speicherung der personenbezogenen Daten gegeben.

Es ist also nicht so einfach mit dem Datenschutz, wie die Knappheit der EU-Regeln nahelegt. Das hat einen Grund: "Die Formulierungen der DSGVO in Artikel 17 sind ausgesprochen abstrakt und damit interpretationsbedürftig", sagt Fachanwalt Keppeler. "Das betrifft auch das Löschen der Daten. Genaue Details nennt die DSGVO nicht, damit die gesetzliche Regel möglichst technikneutral ist. Denn eine Norm sollte nicht nur in bestimmten Situationen gelten."

Hohe Bußgelder ohne Hintertür

Unternehmen sind deshalb gezwungen, für jeden Einzelfall Überlegungen zum Datenschutz zu treffen, um alle Anforderungen zu erfüllen. Andernfalls gehen sie ein erhebliches Risiko ein, denn die Strafandrohung der DSGVO ist sehr hoch. Der Rahmen für Verstöße beträgt bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Herangezogen wird dabei der höhere Betrag.

Da die EU-Regelung keine Kriterien nennt, haben sich die deutschen Datenschutzbehörden Ende des letzten Jahres auf ein Modell zur Bußgeldberechnung verständigt. Seitdem steigt die Höhe der Bußgelder in der Praxis rasant an. Gegen einen Internetprovider wurde etwa aufgrund eines Verstoßes gegen organisatorische Sicherheitsmaßnahmen im Dezember 2019 ein Bußgeld in Höhe von 9,5 Millionen Euro verhängt. Eine große Immobiliengesellschaft wurde im November 2019 mit einem Bußgeld von 14,5 Millionen Euro bestraft, da sie Altdaten vieler Mieter nicht systematisch gelöscht hatte.

Der letzte Fall ist besonders interessant. Denn das Unternehmen hatte einen Grund für den Verzicht auf das Löschen: Zu hoher Aufwand. Das wird vor Gericht nicht mehr akzeptiert, denn es gibt in der DSGVO keine Hintertür wie noch im alten Bundesdatenschutzgesetz (BDSG) vor 2018. Danach mussten Daten nur dann gelöscht werden, wenn es keinen unverhältnismäßigen Aufwand bedeutet. Diese Möglichkeit existiert nicht in der DSGVO und auch der deutsche Gesetzgeber hat sie nicht in das angepasste BDSG übernommen. Genauer gesagt: Eine solche Regel existiert, aber nur für Papierakten, nicht für Datenträger und Cloudspeicher.

Das hat einige Konsequenzen für Unternehmen. So müssen beispielsweise auch E-Mail-Archive und Backups bei der Löschung von personenbezogenen Daten berücksichtigt werden. Hier entstehen dann erhebliche technische Aufwände. Zwar kennen alle IT- Anwendungen eine Löschfunktion für ihre Daten, und es gibt inzwischen auch Data Mining Tools, die E-Mails und Dokumente nach personenbezogenen Daten durchforsten.

Doch die Entwickler von Backup-Systemen haben sich bisher keine Gedanken über Funktionen zur Löschung von personenbezogenen Daten gemacht. Denn das Recht auf Löschung war bis 2018 faktisch nicht auf komplexe Datenbanken, Backups und Clouds anwendbar. Eine Löschmöglichkeit nachträglich in "gewachsene" Systeme einzubauen, ist aus technischer Sicht ein erheblicher Aufwand, den die Anbieter wohl nicht auf die Schnelle leisten können. Bei Software-as-a-Service-Angeboten, muss der Provider von Beginn an sicherstellen, dass Unternehmen ihre Anwendung gegebenenfalls an die DSGVO als auch eigene Compliance-Vorgaben anpassen können.

Den Lebenszyklus der Daten im Griff

"Diese Situation ist sehr unübersichtlich", fasst Keppeler zusammen. "Deshalb sollten sich Unternehmen gut auf Prüfungen durch Behörden vorbereiten. Dafür benötigen sie zunächst einmal ein Datenverarbeitungsverzeichnis, dass alle Vorgänge erfasst. Zusätzlich müssen sie ein Löschkonzept erarbeiten, aus dem hervorgeht, wann welche Daten auf welche Weise gelöscht werden."

Das bedeutet im Einzelfall einen erheblichen Aufwand für die Verantwortlichen. Das Verzeichnis muss möglichst detailliert sein und sollte laufend aktualisiert werden - es dient bei Prüfungen durch die Datenschutzbehörden als Referenz. Hier ist auch der Ort, an dem die Aufbewahrungspflichten noch einmal genau angegeben werden.

Das Datenverarbeitungsverzeichnis informiert darüber, welche Daten im Unternehmen überhaupt vorhanden sind und welche davon personenbezogen sind. Zusätzlich sollte es die Daten in verschiedene Kategorien aufteilen und die jeweils geltenden Aufbewahrungsfristen angeben. Ein Löschkonzept nennt dann die genauen Kriterien und die Art des Löschens. So sollte es angeben, welche Daten durch Überschreiben gelöscht werden und wie Datenträger vernichtet werden.

Sinnvoll ist ein Data Lifecycle Management (DLM). Hinter diesem Stichwort verbirgt sich ein richtlinienbasierter Ansatz, um Daten während ihres ganzen Lebenszyklus zu verwalten - beginnend bei der Erzeugung über die Speicherung bis zum Zeitpunkt, an dem sie veraltet sind und gelöscht werden. Hierfür gibt es entsprechende IT-Anwendungen, die alle beteiligten Prozesse automatisieren. Der Vorteil solcher Systeme: Die Unternehmen müssen sich nicht mehr im Detail mit Löschpflichten und Aufbewahrungsfristen auseinandersetzen, die Daten werden bei Eintreffen bestimmter Kriterien automatisch gelöscht.

Darüber hinaus kann mit DLM auch auf Besonderheiten bei Daten eingegangen werden. So benötigt ein Unternehmen normalerweise keine vollständigen Personalakten von Mitarbeitern, die seit 20 Jahren nicht mehr dort beschäftigt sind. Doch es gibt eine Ausnahme, also ein berechtigtes Interesse aller Beteiligten zur Speicherung der Daten: Eine Betriebsrente. Für ihre korrekte Berechnung und Auszahlung müssen Unternehmen bestimmte Daten von Rentnern und ehemaligen Mitarbeitern dauerhaft speichern.

Personenbezogene und technische Daten trennen

Eine gute Ergänzung zu DLM ist die Pseudonymisierung der Daten. Hier haben sich Systeme für die Kundenverwaltung bewährt. Vereinfacht gesagt, trennen sie Kundendaten von technischen Informationen. So lässt sich jedem Kunden, aber auch jede Infrastruktur-Ressource eine eindeutige Identifikationsnummer zuweisen. Diese ID wird in allen Anwendungen genutzt, die Kundendaten enthalten. Dadurch sind die personenbezogenen Daten von den restlichen Daten getrennt und können beispielsweise selektiv gelöscht werden.

Die IT-Architektur wird dadurch zwar etwas komplizierter, aber es fallen im Laufe der Jahre keine Altlasten an. So können bei einem solchen Vorgehen auch zusätzliche Systeme, etwa durch den Aufkauf eines Unternehmens, sehr leicht in die bestehende Kundenverwaltung integriert werden.

Es ist ein recht hoher Aufwand, eine derartige Lösung zu implementieren. Deshalb ist es nicht wahrscheinlich, dass Unternehmen auf Pseudonymisierung setzen. Wer allerdings als Start-up bei Null anfängt, kann über einen solchen Ansatz nachdenken. Leider gibt es keine technische saubere Lösung, die alle Löschpflichten der DSGVO korrekt umsetzen kann. Pseudonymisierung ist lediglich ein gangbarer Mittelweg.

"Wer die vorhandenen Löschpflichten konsequent zu Ende denkt, schneidet Deutschland und Europa von den Vorteilen des Cloud-Computings ab. Das kann kein Politiker ernsthaft wollen", warnt Fachanwalt Keppeler. Ein besonderes Problem sind die Rechtsunsicherheiten, die durch millionenschwere Bußgelder bei gleichzeitig wenig konkreten Richtlinien entstehen. Viele der hier kurz vorgestellten Detailfragen müssten entweder auf dem Verordnungswege oder durch Gerichte geklärt werden - beides steht noch aus.

Bundesamt für Datenschutz in der Informationstechnik?

Es fehlt also an einer einheitlichen Richtlinie durch den Gesetzgeber oder den Bundesdatenschutzbeauftragten, wie etwas konkret im Einzelfall umgesetzt werden soll. Besonders bei Lösungen aus der Cloud, speziell von internationalen Anbietern, fehlt es zusätzlich häufig an einer Beratung seitens der Anbieter. Zudem finden die Unternehmen nicht genug fachlich kompetente Ansprechpartner. Weder die Datenschutzbehörden noch die Industrie- und Handelskammern (IHKn) besitzen die personellen Ressourcen, den Beratungsbedarf zu erfüllen.

Der aber ist hoch, ähnlich wie beim verwandten und in einigen Teilen deckungsgleichen Thema Informationssicherheit. Doch im Gegensatz zum Datenschutz gibt es dort etablierte Strukturen, die den Unternehmen Rechtssicherheit geben und darüber hinaus praktische Hilfen. Gemeint ist die das BSI (Bundesamt für Sicherheit der Informationstechnik) und seine Grundschutzkataloge. Vor allem kleinere und mittelgroße Unternehmen mit keiner oder nur einer kleinen IT-Abteilung profitieren stark davon.

Aus der Rechtsunsicherheit und dem Mangel an praxistauglichen Detailregeln lassen sich zwei Forderungen an Verbandsvertreter und Politiker ableiten.

• Erstens wäre eine Gesetzesänderung sinnvoll, die eine Ausnahmeregel wie im alten BDSG in den Gesetzestext aufnimmt. Sie muss nicht so weit gefasst sein, dass die Löschrechte von Privatpersonen durch die Hintertür wieder aufgehoben werden. Aber sie sollte es den Unternehmen leichter machen, die Anforderungen der DSGVO zu erfüllen.

• Zweitens fehlt eine kompetente und schlagkräftige Beratungsstelle, die der Wirtschaft bei der Umsetzung der DSGVO-Details hilft. Das muss keine Behörde sein, eine gemeinsame Organisation der Industrie- und Handelskammern (IHKn) wäre ein idealer Ansprechpartner. Sie könnte dann dafür sorgen, dass das in vielen IHKn bereits vorhandene Know-how auch bundesweit nutzbar gemacht wird.

Diese beiden Maßnahmen können dabei helfen, die DSGVO für die Wirtschaft handhabbar zu machen und Rechtsrisiken zu senken. (hv)