UK Information Commissioner: Daten löschen heißt nicht gleich löschen

von Dr. Axel Spies, veröffentlicht am 24.01.2019

Viele Anwender schlagen sich seit Monaten mit DS-GVO-kompatiblen Auftragsdatenverarbeitungsverträgen (Data Processing Agreements – kurz DPA) herum. Es gibt einen ganzen Zoo von Standards und Vorlagen (z.B. vom BayLDA – Orientierungshilfe - 36 Seiten – gratis, wo gleich kleine Polizeiwagen mit Blaulicht wichtige Stellen markieren).

Der emsige Information Commissioner (ICO) des Vereinigten Königreichs hat seinerseits ausführliche Leitlinien in „2. Auflage“ zu DPAs veröffentlicht.  Behandelt werden dort u.a. folgenden Abschnitte:

  • „Wann ist ein DPA erforderlich und warum ist er wichtig?“

  • „Was muss in das DPA aufgenommen werden?“

Zwei Punkte fallen besonders in Auge:

  • Nach Artikel 28 der DS-GVO wird die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter vom Verantwortlichen „auf des Grundlage eines Vertrages oder eines anderen Rechtsinstruments“ geregelt. Der neue Leitfaden kommentiert nicht, was mit einem „anderen Rechtsinstrument“ gemeint ist, sondern stellt lediglich fest, dass Verträge in GB höchstwahrscheinlich der geeignetste Weg sind, um diese Anforderung zu erfüllen. Interessanterweise heißt es dann weiter, dass diese Anforderung auch ohne einen direkten Vertrag zwischen Controller und Verarbeiter erfüllt werden könnte, sofern der Verarbeiter letztlich in Bezug auf die jeweilige Verarbeitung rechtlich an jeden Controller gebunden ist. Ein Beispiel ist ein Satz von Verträgen zwischen mehreren Parteien. Dies ermöglicht zwar eine gewisse Flexibilität in der vertraglichen Vereinbarung. Die Parteien sollten aber vorsichtig sein, wenn sie diese Anforderung auf andere Weise als durch einen direkten Vertrag zwischen dem Verarbeiter und dem Verantwortlichen erfüllen wollen. Ausgetestet ist das nicht.

  • Sehr praxisrelevant ist die Ausführung zur Löschung und Rückgabe von Daten (Artikel 28 Absatz 3 Buchstabe g DS-GVO): Der ICO meint, es reiche aus, die Löschung personenbezogener Daten zeitlich auszusetzen, wenn die Datensicherung den Anforderungen des Art. 32 DS-GVO genügt. „Wir wissen um die praktische Realität, dass Daten in Backups oder Archiven möglicherweise nicht sofort nach Vertragsbeendigung gelöscht werden können.“

Kommentar hierzu: Diese (späte?) Einsicht berührt ein technisches und praktisches Problem besonderer Güte, das häufig über ein DPA hinaus z.B. bei Geheimhaltungsvereinbarungen zu Schwierigkeiten führt. Was ist z.B. mit all den Backups und Archiven, die evtl. noch ausgelagert sind?  Eine strikte Auslegung der DS-GVO bietet keinen Spielraum für die Lösung dieses Problems. Im zitierten Unterabschnitt g heißt es klipp und klar: „nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht.“

So und nicht anders, sollte man meinen. Der ICO kommt der Industrie entgegen und meint, dass es akzeptabel ist, dass diese Daten nicht sofort gelöscht werden, vorausgesetzt,

(1) es werden geeignete Sicherheitsvorkehrungen getroffen, um die Daten aus dem Verkehr zu ziehen,

(2) die Aufbewahrungsfrist ist angemessen und

(3) die Daten werden anschließend so schnell wie möglich gelöscht (z.B. im Zuge des nächsten Datenlöschungszyklus).

Was halten Sie von diesen Kriterien?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen