Skip to main content

Das Löschen von personenbezogenen Daten

Sie wissen nicht, ob und wie lange Sie Personenbezogene Daten aufbewahren dürfen? Studierende möchten, dass ihre Daten gelöscht werden? Oft wird das Thema Löschen nicht ernst genug genommen. Personenbezogene Daten dürfen aber nur so lange gespeichert werden, wie es notwendig ist. Hier ist eine Übersicht, was Sie beim Löschen beachten müssen.

Wer für die Löschung verantwortlich ist

Verantwortlich im Sinne der DSGVO ist die jeweilige Hochschule. Allerdings muss das Löschen durch die jeweilige Organisationseinheit selbstständig wahrgenommen werden. Nur dort ist bekannt, welche Daten wo existieren und welche Daten entfernt werden können oder müssen. Bei Forschungsprojekten kann es zum Beispiel der Projektverantwortliche sein, der die Löschung durchführt und dokumentiert und bei den Organisationseinheiten ist die jeweilige Leitung für die Durchführung der Löschung zuständig. Natürlich kann diese Aufgabe innerhalb des Zuständigkeitsbereiches auch an weitere Hochschulmitarbeitende delegiert werden.

Warum personenbezogene Daten gelöscht werden müssen

Daten müssen gelöscht werden, um das Recht auf informationelle Selbstbestimmung zu schützen. Dieses Recht besagt, dass jede Person selbst darüber bestimmen darf, wer ihre persönlichen Daten erhebt, speichert und nutzt. Es ist ein wichtiger Teil des Datenschutzes und sichert die Privatsphäre.

Das bedeutet für die Hochschulen, Personenbezogene Daten müssen gelöscht werden, wenn eine Person das verlangt, der Zweck erfüllt wurde oder es keinen weiteren Grund gibt, die Daten zu behalten. Das ergibt sich aus den datenschutzrechtlichen Grundsätzen der Datensparsamkeit und der Zweckbindung. Den Hochschulen obliegt somit eine aktive Pflicht zur Löschung.

Artikel 17 Abs. 1 a)-f) DSGVO nennt mehrere Gründe, warum Personenbezogene Daten gelöscht werden müssen. 

  1. Zweckerfüllung: Wenn die Daten für den ursprünglichen Zweck, für den sie gesammelt wurden, nicht mehr benötigt werden, müssen sie gelöscht werden. Ein Beispiel: Angenommen, ein Online-Shop sammelt die Adresse und Kontodaten eines Kunden, um eine Bestellung zu liefern und die Bezahlung abzuwickeln. Sobald die Bestellung erfolgreich abgeschlossen und alle Verpflichtungen erfüllt sind, ist der Zweck, für den die Daten gesammelt wurden, erfüllt. Das bedeutet, nach der Zweckerfüllung müssen die Daten gelöscht werden, es sei denn, es gibt andere rechtliche Gründe, sie weiterhin aufzubewahren, wie z.B. steuerliche Aufbewahrungspflichten. 
  2. Einwilligung widerrufen: Wenn eine Person ihre Einwilligung zur Verarbeitung ihrer Daten zurückzieht und es keinen anderen rechtlichen Grund gibt, die Daten zu behalten, müssen sie gelöscht werden. Beispiel: Eine Hochschule hat die Fotos seiner Mitarbeiter*innen auf der Hochschulwebsite veröffentlicht, um das Team vorzustellen. Bevor die Fotos veröffentlicht wurden, hat die Hochschule die Einwilligung der Mitarbeiter*innen eingeholt, diese Bilder verwenden zu dürfen. Eine Person entscheidet sich später jedoch, seine Einwilligung zu widerrufen. Er/Sie teilt der Hochschule schriftlich mit, dass er/sie nicht mehr möchte, dass sein/ihr Foto auf der Website erscheint. In diesem Fall ist die Hochschule verpflichtet, das Foto des Mitarbeitenden von der Website zu entfernen und alle Kopien des Bildes, die intern für diesen Zweck gespeichert wurden, zu löschen. Der Widerruf der Einwilligung bedeutet, dass die Hochschule keinen rechtlichen Grund mehr hat, das Foto weiter zu verwenden oder zu speichern. Daher muss das Foto gelöscht werden, um den Datenschutz des Mitarbeitenden zu gewährleisten und seiner/ihrer Entscheidung nachzukommen.
  3. Widerspruch: Wenn eine Person der Verarbeitung ihrer Daten widerspricht und es keine überwiegenden Gründe gibt, die Daten weiter zu verarbeiten, müssen sie gelöscht werden.
  4. Unrechtmäßige Verarbeitung: Wenn die Daten unrechtmäßig verarbeitet wurden, müssen sie gelöscht werden.
  5. Rechtliche Verpflichtung: Wenn es eine gesetzliche Pflicht gibt, die Daten zu löschen, müssen sie entfernt werden. Ein Beispiel für eine rechtliche Verpflichtung zum Löschen kann so aussehen: Eine Hochschule in Deutschland erhebt und speichert personenbezogene Daten von Studierenden, darunter auch Daten zu Studiengebühren und anderen Zahlungen, die steuerlich relevant sind. Diese Daten müssen gemäß § 147 der Abgabenordnung für zehn Jahre aufbewahrt werden, um eventuelle steuerliche Prüfungen zu ermöglichen. Nach Ablauf dieser zehn Jahre gibt es keine rechtliche Grundlage mehr, die Daten weiter zu speichern, da die Aufbewahrungsfrist abgelaufen ist. Die Hochschule ist dann gesetzlich verpflichtet, die steuerlich relevanten Daten der Studierenden, wie Rechnungen oder Zahlungsnachweise, zu löschen. Dies dient dazu, den Datenschutz der ehemaligen Studierenden zu wahren und sicherzustellen, dass keine unnötigen personenbezogenen Daten länger als nötig gespeichert werden.
  6. Kinderbezogene Daten: Wenn Daten im Zusammenhang mit einem Kind im Internet erhoben wurden und es keinen ausreichenden Grund gibt, sie zu behalten, müssen sie gelöscht werden.

Diese Gründe stellen sicher, dass Personenbezogene Daten nur so lange gespeichert werden, wie es wirklich notwendig ist, und schützen die Rechte der betroffenen Personen.

Beim Löschen können teilweise gesetzliche Vorgaben oder auch hochschulinterne Rechtsakte (Satzungen/Ordnungen) Bestimmungen zu Aufbewahrungspflichten beinhalten.

Studierendenverwaltung

Bewerbende, Immatrikulation, Studium (Studien- oder Prüfungsordnungen) und Speicherung nach Abschluss des Studiums.

Abgelehnte Bewerbende

Personenbezogene Daten Bewerbender, die abgelehnt wurden, sollten nach einem Zeitraum, wo möglicherweise mit Studienplatzklagen zu rechnen ist, gelöscht werden. Gerade hier liegt anders als bei den Studierenden, die einen Studienplatz erhalten haben, kein weiterer Zweck vor, die personenbezogenen Daten der abgelehnten Bewerbenden weiterer zu speichern. Auch der Grund, dass bei einer erneuten Bewerbung der Bewerbenden bereits erforderliche Personenbezogene Daten vorliegen, greift nicht, da nicht vorhersehbar ist, ob die Bewerbenden sich erneut bewerben. 

Immatrikulation

Ab der Immatrikulation gelten häufig die Immatrikulationsordnungen, die auch Bestimmungen zu Aufbewahrungsfristen enthalten können. Auch hier dürfen nur die personenbezogenen Daten der immatrikulierten Studierenden gespeichert werden, die für die Immatrikulation erforderlich sind. Weitere Kategorien personenbezogener Daten zu speichern, über welche die Hochschule einfach grundsätzlich gern verfügen möchte, um so viele Informationen wie möglich über die immatrikulierten Studierenden zu haben, dürfen nicht erhoben und auch dementsprechend nicht gespeichert werden.

Studium/Prüfung

Zu einem späteren Zeitpunkt können in Studien- oder Prüfungsordnungen Bestimmungen zu Aufbewahrungsfirsten bestehen. Gerade hier kann es Bestimmungen zu der Aufbewahrungsfrist von Prüfungsarbeiten (z.B. Klausuren, Hausarbeiten) geben. Hier ist auch entscheidend, dass in der Praxis darauf geachtet werden sollte, dass vorgegebene Löschfristen nicht dadurch umgangen werden, dass Klausuren oder Hausarbeiten z.B. an Lehrstühlen länger aufbewahrt werden als dies vorgeben ist. Einen Überblick über die Vernichtung von Prüfungsarbeiten kann man nur haben, wenn die Hochschule auch genau weiß, wo sich diese Prüfungsarbeiten befinden.

Nach Abschluss des Studiums

Häufig gibt es hierzu Bestimmungen in Aktenordnungen, wie lange Personenbezogene Daten von exmatrikulierten Studierenden aufbewahrt werden dürfen. Dabei gibt es jedoch an den Hochschulen zumeist nur Bestimmungen über die Aufbewahrung einer gesamten Studierendenakten. In dem Zusammenhang steht jedoch im Raum, ob es erforderlich ist, dass die verschiedenen Kategorien personenbezogener Daten in einer Studienakte alle gleich lang aufbewahrt werden. Es ist zu empfehlen, dass die Hochschulen hier Vorgaben machen, welche Inhalte der Studierendenakten wie lang aufbewahrt werden müssen. Als Beispiel hierfür dient der Aspekt, inwiefern z.B. sämtliche Prüfungsdaten so lange aufbewahrt werden müssen wie die Prüfungsdaten des Abschlusszeugnisses. 

Personalverwaltung

Beschäftigtendaten sollten grundsätzlich nach Beendigung eines Beschäftigungsverhältnisses gem. § 10 Absatz 6 Satz 3 HmbDSG gelöscht werden. Eine Ausnahme besteht jedoch, wenn der Löschung Rechtsvorschriften entgegenstehen, wie beispielsweise die sogenannten Aufbewahrungspflichten. Im Bereich des Personalwesens sind grundsätzlich die Aufbewahrungspflichten des § 257 Handelsgesetzbuch und des § 147 Abgabenordnung zu berücksichtigen. 

Folgende Tabelle greift noch das Thema Löschen in erster Linie bezogen auf einzelne Bestandteile einer Personalakte bzw. Bewerbung auf:

BetreffLöschungsfristRechtsgrundlagen
Bewerbungsunterlagen 

s. 2-Monatsfrist in § 15 Abs. 4 AGG zzgl. 

„Sicherheitszuschlag“ von 3 Monaten

PersonalaktenPersonalakten sind nach ihrem Abschluss von der personalaktenführenden Behörde fünf Jahre aufzubewahren.

§ 91 Abs. 1 HmbBG

 

Unterlagen über Beihilfen, Unterstützungen, Erkrankungen, Umzugs- und Reisekosten Unterlagen über Beihilfen, Unterstützungen, Erkrankungen, Umzugs- und Reisekosten sind fünf Jahre aufzubewahren.

§ 91 Abs. 2 HmbBG

 

Unterlagen über ErholungsurlaubUnterlagen über Erholungsurlaub sind drei Jahre aufzubewahren.

§ 91 Abs. 2 HmbBG

 

Versorgungs- und AltersgeldaktenVersorgungs- und Altersgeldakten sind fünf Jahre aufzubewahren.§ 91 Abs. 3 HmbBG

Das Etablieren von Löschregeln

Hochschulen müssen sicherstellen, dass sie Daten nur so lange aufbewahren, wie es für die Erfüllung des jeweiligen Zwecks erforderlich ist. Eine Löschregel kann dabei helfen. Sie beschreibt, wann und wie die zu löschenden Daten zu löschen sind.

Das Einführen und Umsetzen von Löschregeln stellt aus unterschiedlichen Gründen eine gesetzliche Verpflichtung dar:

  1. Recht auf Vergessenwerden: Nach Art. 17 DSGVO haben betroffene Personen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Bedingungen erfüllt sind, wie z.B. wenn die Daten für die ursprünglichen Zwecke nicht mehr notwendig sind.
  2. Datenminimierung: Art. 5 Abs. 1 lit. c DSGVO fordert, dass personenbezogene Daten dem Zweck angemessen und auf das notwendige Maß beschränkt sein müssen. Durch Löschregeln wird sichergestellt, dass keine unnötigen Daten gespeichert werden.
  3. Speicherbegrenzung: Nach Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Löschregeln stellen sicher, dass Daten nicht länger als notwendig gespeichert werden.
  4. Vermeidung von Datenschutzrisiken: Das Speichern von unnötigen oder veralteten Daten erhöht das Risiko von Datenschutzverletzungen. Durch die regelmäßige Löschung nicht mehr benötigter Daten können solche Risiken minimiert werden.
  5. Nachweis der Compliance: Hochschulen müssen in der Lage sein, nachzuweisen, dass sie die DSGVO einhalten. Etablierte Löschregeln und deren Umsetzung sind ein wichtiger Bestandteil dieses Nachweises.

Rechtliche Grundlagen

  • Gesetzliche Aufbewahrungsfristen: Einige Datenarten unterliegen gesetzlichen oder hochschulinternen Aufbewahrungsfristen, wie z.B. steuerrelevante Dokumente oder Prüfungsunterlagen. Diese Fristen müssen beachtet und dokumentiert werden.
  • Verträge und Einwilligungen: Daten, die auf Basis von Einwilligungen oder Verträgen verarbeitet werden, müssen gelöscht werden, sobald der Zweck entfällt oder die Einwilligung widerrufen wird.

Risikobewertung

  • Datenrisikoanalyse: Eine Bewertung der Risiken, die mit der Speicherung bestimmter Datenarten verbunden sind, hilft bei der Priorisierung von Löschungen. Hochsensible Daten (z.B. Gesundheitsdaten) sollten z.B. schneller gelöscht werden als weniger sensible Daten.

Zweckbindung und Erforderlichkeit

  • Überprüfung der Zweckbindung: Hochschulen sollten regelmäßig prüfen, ob die gespeicherten Daten noch für den ursprünglich vorgesehenen Zweck erforderlich sind. Daten, die ihren Zweck erfüllt haben, sollten gelöscht werden.
  • Datensparsamkeit: Es sollte nur das Minimum an Daten gespeichert werden, das für den jeweiligen Zweck notwendig ist.

Löschfristen definieren

  • Fristenfestlegung: Auf Basis der oben genannten Kriterien sollten konkrete Löschfristen für jede Datenkategorie festgelegt werden. Beispielsweise könnten Studentendaten nach Abschluss des Studiums für eine bestimmte Zeit gespeichert und dann gelöscht werden.

Automatisierte Löschprozesse: Wo möglich, sollten automatisierte Systeme implementiert werden, die Daten nach Ablauf der festgelegten Fristen automatisch löschen.

Dokumentation und Nachweis

  • Löschkonzept: Hochschulen können ein Löschkonzept entwickeln und dokumentieren, das die festgelegten Löschfristen und -verfahren beschreibt. Zumindest sollten Hochschulen im VVT die Löschfristen dokumentieren.
  • Löschprotokolle: Es sollten Protokolle geführt werden, die nachweisen, wann und welche Daten gelöscht wurden, um im Falle von Prüfungen oder Anfragen der Aufsichtsbehörden Transparenz zu gewährleisten.

Schulung und Sensibilisierung

  • Mitarbeiterschulung: Mitarbeiter sollten regelmäßig in Bezug auf die Bedeutung und Umsetzung von Löschregeln geschult werden.
  • Bewusstseinsschaffung: Sensibilisierungsmaßnahmen tragen dazu bei, dass die Wichtigkeit des Datenschutzes und der Löschregeln bei allen Beteiligten verankert wird.

Kontinuierliche Überprüfung

  • Regelmäßige Überprüfung und Anpassung: Die Löschregeln sollten regelmäßig überprüft und bei Bedarf an neue gesetzliche Anforderungen oder organisatorische Veränderungen angepasst werden.

 

Auf das Löschen kommt es an

Mit Löschen ist nicht zwingend das Vernichten eines Datensatzes gemeint. Vielmehr ist damit gemeint, dass Personenbezogene Daten durch einen Prozess derart verändert werden, dass sie anschließend nicht mehr vorhanden oder unkenntlich sind. Demzufolge kann eine Löschung auch im Wege einer Anonymisierung erfolgen, sofern der Verantwortliche diese nicht mehr rückgängig machen kann. Wichtig ist, dass am Ende der Personenbezug nicht mehr vorhanden ist. Die Löschmethoden orientieren sich nach der Art der Daten:

Akten- und Papierdokumente:

Für die Entsorgung von Akten und Papieren gibt es unterschiedliche Anforderungen unterschiedliche Qualitäten. Eine sichere Entsorgung ist das Schreddern. Vielleicht haben einige einen kleinen Schredder in ihrem Büro. Ansonsten haben viele Hochschule an festen Standpunkten sog. Sicherheitsbehälter von externen Dienstleistern, die für die Hochschulen die datenschutzkonforme Vernichtung übernehmen.

Digitale Daten und Hardware:

  1. Sichere Löschsoftware: Verwenden Sie spezielle Software, die Daten auf Festplatten, USB-Sticks oder anderen Speichermedien sicher löscht, sodass eine Wiederherstellung nicht möglich ist. Ein einfaches "Löschen" oder "In den Papierkorb verschieben" reicht nicht aus.
  2. Löschung von Backups: Stellen Sie sicher, dass Daten auch in Backup-Systemen sicher gelöscht werden, indem Sie regelmäßige Überprüfungen und Löschungen in den Backup-Plänen integrieren.
  3. Vernichtung von alten Datenträgern: Alte Festplatten oder andere Speichermedien, die nicht mehr benötigt werden, sollten physisch zerstört werden, z.B. durch Schreddern oder Entmagnetisieren. Eine Unterstützung kann hier der/die jeweilige Informationssicherheitsbeauftragte*r der Hochschule sein.

Durch die Anwendung dieser Maßnahmen stellt die Hochschule sicher, dass sowohl physische als auch digitale Daten datenschutzkonform und unwiderruflich gelöscht werden.

Jede Organisationseinheit sollte für sich verbindliche Prozesse in Form von Löschregeln festlegen.

Transparenzgrundsatz und Rechenschaftspflicht

Auch bei der Löschung spielen die Grundsätze über die Verarbeitung personenbezogener Daten eine Rolle. Nachstehend zeigen wir, wo:

Bei der Erstellung einer Datenschutzinformation gemäß Art. 13 DSGVO muss bei jeder Verarbeitung auch die Löschfrist für Personenbezogene Daten angegeben werden. Dies bedeutet, dass die Hochschule transparent darlegen muss, wie lange die erhobenen Daten bei der jeweiligen Datenverarbeitung gespeichert werden und wann sie gelöscht werden.

Beispiel aus dem Hochschulbereich: Wenn eine Hochschule Personenbezogene Daten von Bewerber:innen für Studiengänge erhebt, sollte in der Datenschutzinformation angegeben werden, dass die Daten der abgelehnten Bewerber:innen sechs Monate nach Abschluss des Auswahlverfahrens gelöscht werden, es sei denn, es gibt eine Einwilligung für eine längere Speicherung, beispielsweise für zukünftige Auswahlverfahren.

Die Löschfrist spielt im Verarbeitungsverzeichnis gemäß Art. 30 DSGVO eine zentrale Rolle, da sie ein wesentlicher Bestandteil der Dokumentation und Verwaltung der Verarbeitungstätigkeiten ist. Im Verarbeitungsverzeichnis müssen Hochschulen unter anderem angeben, wie lange Personenbezogene Daten gespeichert werden und wann diese gelöscht werden.

Rolle der Löschfrist im Verarbeitungsverzeichnis:

  1. Transparenz und Nachvollziehbarkeit: Die Angabe der Löschfristen im Verarbeitungsverzeichnis ermöglicht es der Hochschule, jederzeit nachzuweisen, dass sie die Daten nur für den notwendigen Zeitraum speichert. Dies unterstützt die Einhaltung des Grundsatzes der Speicherbegrenzung gemäß DSGVO.
  2. Risikomanagement: Durch die Festlegung und Überwachung von Löschfristen kann die Hochschule das Risiko eines Verstoßes gegen die DSGVO minimieren. Daten, die unnötig lange gespeichert werden, stellen ein erhöhtes Risiko dar, z.B. im Falle eines Datenlecks oder einer unbefugten Nutzung.

Vorteile für die Hochschule:

  1. Rechtssicherheit: Eine klare Dokumentation von Löschfristen hilft der Hochschule, im Falle einer Überprüfung durch Datenschutzbehörden oder bei Anfragen betroffener Personen ihre Compliance nachzuweisen. Dies reduziert das Risiko von Bußgeldern und anderen rechtlichen Konsequenzen.
  2. Effiziente Datenverwaltung: Durch die Einhaltung von Löschfristen wird die Menge an gespeicherten Daten minimiert, was zu einer effizienteren Datenverwaltung führt. Dies kann auch die IT-Ressourcen entlasten und die Kosten für die Datenhaltung reduzieren.
  3. Vertrauen und Reputation: Eine Hochschule, die den Datenschutz ernst nimmt und transparente Löschfristen einhält, stärkt das Vertrauen von Studierenden, Mitarbeitenden und anderen Stakeholdern. Dies kann positiv zur Reputation der Institution beitragen.

Insgesamt ermöglicht die Integration von Löschfristen im Verarbeitungsverzeichnis der Hochschule, den Datenschutz effektiver zu managen, gesetzliche Anforderungen zu erfüllen und ihre operativen Abläufe zu optimieren.

Löschen auf Wunsch

Manchmal möchten Personen (zum Beispiel Studierende oder Mitarbeitende), dass ihre Daten gelöscht werden. Das passiert oft, wenn die Person vorab ihr Auskunftsrecht geltend gemacht hat. Wenn die Personen nämlich wissen, was über sie verarbeitet wird, erfolgt im Anschluss häufig der Wunsch, bestimmte Daten auch zu löschen.

Die einzelnen Hochschulen haben hier jedoch Vorgaben dazu, wie mit einem solchen Löschbegehren umgegangen werden soll. Zunächst muss in diesem Zusammenhang beachtet werden, dass den Betroffenen innerhalb eines Monats geantwortet werden muss. Häufig erfolgt die Koordination eines Löschbegehrens (also auch die Frage, wo überall an der Hochschule Personenbezogene Daten der Betroffenen vorhanden sind) über die Datenschutzkoordination. Deshalb sollte den Betroffenen grundsätzlich nicht selbstständig geantwortet werden, sondern Rücksprache mit der Datenschutzkoordination gehalten werden. 

Was passieren kann, wenn personenbezogene Daten nicht gelöscht werden

Sollten Personenbezogene Daten nicht gelöscht werden, oder kommt eine Hochschule ihrer Löschverpflichtung bei einzelnen Prozessen nicht nach, so können die Hochschulen durch die Datenschutzaufsichtsbehörde mit einer Maßnahme nach Art. 58 DSGVO, zum Beispiel einer Verwarnung oder einer Löschanordnung, konfrontiert werden.

Stand: 04.09.2024
Author: Lille Bernstein