Datenschutz Löschkonzept: Tipps zur Umsetzung des DSGVO Löschkonzepts


  • Das Recht auf Vergessenwerden bedeutet, dass Unternehmen personenbezogene Daten nicht zwecklos und unbegrenzt speichern dürfen. Vielmehr müssen Daten irgendwann gelöscht werden, wobei die genaue Frist von der Art der Daten und dem Zweck der Speicherung abhängt.
  • Ein systematisches Löschkonzept unterstützt Unternehmen bei der praktischen Umsetzung dieser Aufgabe.
  • Als Richtschnur für ein solches Konzept hat sich die DIN 66398 als Norm etabliert. Es ist jedoch zu beachten, dass in Einzelfällen andere rechtliche Normen einer Löschung entgegenstehen können, wie etwa Aufbewahrungsfristen.

In diesem Beitrag


Was ist ein Löschkonzept nach DSGVO?

Ein Löschkonzept legt fest, wie sämtliche personenbezogenen Daten in einem Unternehmen gelöscht werden, wenn sie das Ende ihres Lebenszyklus erreicht haben. Personenbezogene Daten dürfen laut Datenschutz-Grundverordnung (DSGVO) nur so lange gespeichert werden, wie sie einem bestimmten Zweck dienen. Da diese Zweckerfüllung irgendwann endet, müssen personenbezogene Daten früher oder später gelöscht werden. Das Löschkonzept gibt diesem Vorgang einen systematischen Rahmen.

Warum benötigen Sie ein Löschkonzept?

Die strengen Vorgaben der DSGVO für die Speicherung personenbezogener Daten lassen sich in der Praxis oft nur mit einem Löschkonzept einhalten. Jedes Unternehmen ist verpflichtet, das Recht auf Vergessenwerden umzusetzen. Dieses Recht hat für das Unternehmen, das Daten speichert, eine Pflicht zur Folge: die Löschpflicht.

Es gibt einen rechtlichen und einen praktischen Grund für Unternehmen, dieser Pflicht mit einem Löschkonzept gezielt und methodisch nachzukommen.

  • Der praktische Grund: Personenbezogene Daten sind in einem typischen Unternehmen jedweder Größe überall vorhanden. Ohne Löschkonzept ist es sehr schwer, hier den Überblick zu behalten und den Datenschutzpflichten als Unternehmer nachzukommen.
Übersicht der Top 6 Datenschutzfehler aus der DSGVO Übersicht der Top 6 Datenschutzfehler aus der DSGVO

Löschen Sie Daten fristgerecht: Die Top 6 DSGVO-Fehler

Daten fristgerecht zu löschen ist einer der häufigsten Fehler bei der Umsetzung der DSGVO und führt dementsprechend oft zu teuren Bußgeldern. Lernen Sie mehr über die häufigsten Fehler und wie Sie diese vermeiden.

E-Book jetzt kostenlos herunterladen

Was muss bei der Erstellung eines Löschkonzepts beachtet werden?

Der vielleicht mühseligste Schritt beim Löschkonzept kommt gleich am Anfang: Es muss zunächst festgestellt werden, wo im Unternehmen überall personenbezogene Daten vorhanden sind und wer tatsächlich für diese verantwortlich ist. Ein klassisches Unternehmen nutzt oft verschiedene Software- und Datenbanklösungen gleichzeitig. Diese Systeme sind möglicherweise abhängig voneinander, das heißt, eines bezieht seine Daten von einem anderen.

Zudem darf sich das Löschkonzept nicht nur auf unternehmensintern gespeicherte Daten beziehen. Viele SaaS-Dienstleister (Software as a Service) geben personenbezogene Daten standardmäßig an Auftragsverarbeiter weiter. Auch das muss sich im Löschkonzept widerspiegeln. Wenn diese erste Herausforderung bewältigt ist, gibt es einen Überblick, welche Daten tatsächlich wo gespeichert sind.

Im zweiten Schritt müssen diese Daten kategorisiert werden. Ein Beispiel: Gemäß DSGVO besonders geschützte Daten, etwa zur Gesundheit, zur politischen Weltanschauung oder zu religiösen Überzeugungen, stellen jeweils eine eigenständige Kategorie dar, die bei den Löschregel entsprechend berücksichtigt werden muss.

DSGVO Löschkonzept: warum Sie es brauchen & was es Ihnen bringt


Löschkonzept erstellen: So gehen Sie vor

  • Schritt 1: Identifizieren Sie personenbezogene Daten in Ihrem Unternehmen.
  • Schritt 2: Ordnen Sie diese Daten in Kategorien.
  • Schritt 3: Definieren Sie Löschregeln für einzelne Kategorien.

Beachten Sie dabei gesetzliche Aufbewahrungsfristen und Sonderregeln.

DIN 66398: die Leitlinie für das DSGVO Löschkonzept

Die DIN-Norm 66398 gibt Datenverantwortlichen eine Leitlinie zur Entwicklung eines Löschkonzepts an die Hand. Entwickelt wurde sie am praktischen Beispiel von fünf Musterkunden, darunter das Mautunternehmen Toll Collect. Ausgangspunkt eines solchen standardisierten Löschkonzepts sind Datenkategorien oder Datenarten, in die alle im Unternehmen gespeicherten Daten eingeteilt werden. Für jede Kategorie ist eine Aufbewahrungsdauer zu definieren, nach der gelöscht wird.

Was sind Löschfristen, Löschklassen und Löschregeln?

Ein Löschdatum für jeden einzelnen Datensatz zu definieren, wäre in der Praxis sehr aufwendig. Der praktische Ansatz eines Löschkonzepts beruht daher auf der Standardisierung und Kategorisierung. Die Eckpfeiler eines solchen Konzepts sind Löschklassen, Löschfristen und Löschregeln:

  • Löschfristen: Als Löschfrist wird der Zeitraum bezeichnet, nach dessen Ablauf Daten gelöscht werden sollen. Löschfristen können sich für bestimmte Datenarten aus gesetzlichen Vorgaben ergeben. Wo keine solchen Vorgaben bestehen, empfiehlt es sich in der Praxis, Standard-Löschfristen festzulegen.

  • Löschklassen: Daten, die zum gleichen Zweck verarbeitet werden, definieren wir als eine Datenart. Alle Datenarten mit dem gleichen Startzeitpunkt und der gleichen Löschfrist lassen sich der Einfachheit halber zu Löschklassen zusammenfassen. Dabei ergibt sich aus dem Startzeitpunkt auch automatisch die jeweilige Frist. Der Startzeitpunkt setzt entweder bei der Erhebung der Daten an oder am Ende eines Vorgangs oder einer Beziehung.

  • Löschregeln: Jeder Löschklasse wird nun genau eine Löschregel zugeordnet. Sie legt den Startzeitpunkt und die Regel-Löschfrist für alle in der Löschklasse enthaltenen Daten fest.

Einen Überblick der Löschfristen mit mit Ablauf 2022 finden Sie in dieser Übersicht. 

Wie dokumentiere ich die Löschung personenbezogener Daten?

Daten in Einklang mit den Bestimmungen der DSGVO fristgemäß zu löschen, ist nur die halbe Miete: Die Löschung muss auch dokumentiert werden, um im Zweifelsfall einen Nachweis in der Hand zu haben. Für das Löschkonzept bedeutet das: Es müssen zu jeder Löschung Protokolle erstellt werden. Hierbei können Software-Lösungen helfen.

Löschkonzept und Aufbewahrungsfristen: ein Widerspruch?

Alles wäre einfach, gäbe es für Unternehmen im Alltag nur das Recht auf Vergessenwerden zu beachten. Doch es existieren andere rechtliche Grundsätze und Normen, die scheinbar das Gegenteil fordern: eine Speicherung bestimmter Daten für einen Mindestzeitraum. Zu nennen sind hier allen voran die Grundsätze ordnungsgemäßer Buchführung (GoBD), aber auch etwa Aufbewahrungsfristen für Handelsbriefe (sechs Jahre) oder Steuerunterlagen (zehn Jahre).

Lösen lässt sich auch dieser Konflikt am besten systematisch innerhalb eines Löschkonzepts. Hier werden dann Aufbewahrungsfristen und Archivierungsregeln für bestimmte Datenkategorien definiert. So ist etwa auch jederzeit ein Nachweis gegenüber Finanzbehörden möglich. Schließlich muss das Löschkonzept neben dem Nachweisverfahren bzw. Löschprotokoll auch ein Verfahren für mögliche Datenwiederherstellungen definieren.

Welche Sonderregeln gilt es im Löschkonzept zu beachten?

Neben möglichen Aufbewahrungsfristen muss ein DSGVO-konformes Löschkonzept weitere Sonderregeln und Spezialfälle berücksichtigen, z. B.:

  • Löschbegehren eines Betroffenen: Dieser Fall betrifft das Grundrecht jeder Person, die Löschung ihrer personenbezogenen Daten zu verlangen – wenn dem nicht andere rechtliche Hindernisse im Wege stehen. Jedes Löschkonzept muss regeln, wie einem solchen Löschbegehren entsprochen werden kann.
  • Rechtswidrige Erhebung eines Datensatzes: In manchen Fällen kann sich im Nachhinein herausstellen, dass ein Unternehmen Daten erhoben hat, ohne dass es hierfür jemals eine rechtliche Grundlage gab. Das Löschkonzept muss hier eine Löschung außerhalb der Standardregeln ermöglichen.
  • Löschung auf Anweisung einer Aufsichtsbehörde: Wenn Datenschutzbehörden die Löschung bestimmter Daten anordnen, muss dies selbstverständlich außerhalb der sonst geltenden Fristen möglich sein.
  • Stoppen von Löschungen auf Anweisung einer Behörde: Auch der entgegengesetzte Fall kann in der Praxis vorkommen. Der Stopp von Löschungen kann beispielsweise angeordnet werden, sollten sich bestimmte Daten bei Ermittlungen oder Verfahren als relevant erweisen. Häufig betrifft dies Videoaufzeichnungen von Überwachungskameras. In einem solchen Fall muss das Löschkonzept eine längere Speicherung als geplant zulassen.

Welche Vorlagen und Tools gibt es für Löschkonzepte?

Es gibt im Internet eine Reihe von Mustervorlagen für Löschkonzepte, ebenso wie Online-Tools und Software-Lösungen. Die Herausforderung besteht allerdings weiterhin darin, erst einmal grundsätzlich zu erfassen, welche Daten im Unternehmen in welchen unterschiedlichen Formaten und Systemen gespeichert sind.

Neuere Software, die „Privacy by Design“ und „Privacy by Default“ als Prinzipien berücksichtigt, ist einem Löschkonzept nach DSGVO dienlich. Ältere Programme hingegen, wie sie weiterhin in vielen Unternehmen eingesetzt werden, bieten in der Regel nicht die Möglichkeit, Löschregeln einfach zu integrieren.

Eine Excel-Tabelle mit Löschkategorien zu füllen und Fristen und Verantwortliche für die Löschung einzutragen, wird daher in aller Regel nicht ausreichen. Welche Tools im Rahmen eines Löschkonzepts eingesetzt werden, muss für jedes Unternehmen individuell entschieden werden. Statt standardisierter Vorlagen sind in der Planungsphase daher eher Soft Skills erforderlich: Schließlich gilt es, alle Stakeholder mitzunehmen.


Wie komme ich zum Löschkonzept?

Die Praxis zeigt, dass es sinnvoll ist, sich bei einer komplexen Aufgabe wie der Erstellung eines Löschkonzepts erfahrene Hilfe ins Boot zu holen. Sodann gilt es, überall im Unternehmen um Akzeptanz zu werben: Um sich in der Planungsphase einen Überblick über den relevanten Datenbestand zu verschaffen, ist Zuarbeit aus allen Abteilungen notwendig.

Strategisch sinnvoll ist es, hierbei die Arbeitsbelastung für einzelne Mitarbeiter so weit wie möglich zu minimieren – sonst droht die Akzeptanz in den Abteilungen zu schwinden. Statt also sehr viel Zeit in sehr vielen Meetings aufzuwenden, hat DataGuard einen Ansatz entwickelt, bei denen Mitarbeiter zeitversetzt involviert werden – jeweils dann, wenn es ihr Terminkalender zulässt.


Empfehlungen für Ihr Datenschutz-Löschkonzept

Wer den Anforderungen der DSGVO gerecht werden möchte, kommt um die zeitnahe Erstellung eines Löschkonzepts kaum herum. Da personenbezogene Daten typischerweise im ganzen Unternehmen verteilt sind, ist das Löschkonzept ein Projekt, das der Unterstützung der ganzen Firma bedarf. Sowohl in der Konzeptionsphase als auch bei der praktischen Umsetzung des Löschkonzepts kann es sinnvoll sein, externe Dienstleister einzubeziehen.

Benötigen Sie Hilfe bei der Umsetzung eines DSGVO-konformen Löschkonzepts? Wir sind für Sie da! Mit unserer Datenschutz-Plattform können Sie Ihr Löschkonzept mühelos dokumentieren. Bereits über 3.000 Kunden haben wir erfolgreich auf dem Weg zur DSGVO-Compliance unterstützt. Zögern Sie nicht, uns zu kontaktieren und einen kostenlosen Termin zu vereinbaren.

Über den Autor

Robert Mäckle Robert Mäckle
Robert Mäckle

Datenschutz hat schon immer eine wichtige Rolle in der Karriere von Robert Mäckle gespielt: ob während seiner Zeit als Senior Berater bei einem Big-Four-Unternehmen oder während seiner Tätigkeit im Bereich IT-Sicherheit und Prozessoptimierung. Heute betreut der Wirtschaftsinformatiker Kunden aus dem Tech-Bereich, darunter KMU, Start-ups sowie internationale Konzerne. Am Datenschutz reizt ihn vor allem die Herausforderung, digitale Geschäftsmodelle im Einklang mit datenschutzrechtlichen Vorgaben und IT-Sicherheitsstandards aufzusetzen. Was ihn bewogen hat, sich im Datenschutz zu engagieren? „Daten sind das Öl des 21. Jahrhunderts. Sie sollten jedoch auf eine Weise gewonnen werden, die sozialen und sicherheitstechnischen Standards genügt. Dazu möchte ich meinen Teil beitragen.“

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren