- Das Recht auf Vergessenwerden bedeutet, dass Unternehmen personenbezogene Daten nicht zwecklos und unbegrenzt speichern dürfen. Vielmehr müssen Daten irgendwann gelöscht werden, wobei die genaue Frist von der Art der Daten und dem Zweck der Speicherung abhängt.
- Ein systematisches Löschkonzept unterstützt Unternehmen bei der praktischen Umsetzung dieser Aufgabe.
- Als Richtschnur für ein solches Konzept hat sich die DIN 66398 als Norm etabliert. Es ist jedoch zu beachten, dass in Einzelfällen andere rechtliche Normen einer Löschung entgegenstehen können, wie etwa Aufbewahrungsfristen.
In diesem Beitrag
- Warum benötigen Sie ein Löschkonzept?
- Was muss bei der Erstellung eines Löschkonzepts beachtet werden?
- Was sind Löschfristen, Löschklassen und Löschregeln?
- Wie dokumentiere ich die Löschung personenbezogener Daten?
- Wie komme ich zum Löschkonzept?
- Empfehlungen
Was ist ein Löschkonzept nach DSGVO?
Ein Löschkonzept legt fest, wie sämtliche personenbezogenen Daten in einem Unternehmen gelöscht werden, wenn sie das Ende ihres Lebenszyklus erreicht haben. Personenbezogene Daten dürfen laut Datenschutz-Grundverordnung (DSGVO) nur so lange gespeichert werden, wie sie einem bestimmten Zweck dienen. Da diese Zweckerfüllung irgendwann endet, müssen personenbezogene Daten früher oder später gelöscht werden. Das Löschkonzept gibt diesem Vorgang einen systematischen Rahmen.
Warum benötigen Sie ein Löschkonzept?
Die strengen Vorgaben der DSGVO für die Speicherung personenbezogener Daten lassen sich in der Praxis oft nur mit einem Löschkonzept einhalten. Jedes Unternehmen ist verpflichtet, das Recht auf Vergessenwerden umzusetzen. Dieses Recht hat für das Unternehmen, das Daten speichert, eine Pflicht zur Folge: die Löschpflicht.
Es gibt einen rechtlichen und einen praktischen Grund für Unternehmen, dieser Pflicht mit einem Löschkonzept gezielt und methodisch nachzukommen.
- Der rechtliche Grund: In Artikel 30 fordert die DSGVO im Rahmen des obligatorischen Verzeichnisses von Verarbeitungstätigkeiten, nach Möglichkeit auch Fristen für die Löschung einzelner Datenkategorien zu definieren.
- Der praktische Grund: Personenbezogene Daten sind in einem typischen Unternehmen jedweder Größe überall vorhanden. Ohne Löschkonzept ist es sehr schwer, hier den Überblick zu behalten und den Datenschutzpflichten als Unternehmer nachzukommen.
Löschen Sie Daten fristgerecht: Die Top 6 DSGVO-Fehler
Daten fristgerecht zu löschen ist einer der häufigsten Fehler bei der Umsetzung der DSGVO und führt dementsprechend oft zu teuren Bußgeldern. Lernen Sie mehr über die häufigsten Fehler und wie Sie diese vermeiden.
E-Book jetzt kostenlos herunterladenWas muss bei der Erstellung eines Löschkonzepts beachtet werden?
Der vielleicht mühseligste Schritt beim Löschkonzept kommt gleich am Anfang: Es muss zunächst festgestellt werden, wo im Unternehmen überall personenbezogene Daten vorhanden sind und wer tatsächlich für diese verantwortlich ist. Ein klassisches Unternehmen nutzt oft verschiedene Software- und Datenbanklösungen gleichzeitig. Diese Systeme sind möglicherweise abhängig voneinander, das heißt, eines bezieht seine Daten von einem anderen.
Zudem darf sich das Löschkonzept nicht nur auf unternehmensintern gespeicherte Daten beziehen. Viele SaaS-Dienstleister (Software as a Service) geben personenbezogene Daten standardmäßig an Auftragsverarbeiter weiter. Auch das muss sich im Löschkonzept widerspiegeln. Wenn diese erste Herausforderung bewältigt ist, gibt es einen Überblick, welche Daten tatsächlich wo gespeichert sind.
Im zweiten Schritt müssen diese Daten kategorisiert werden. Ein Beispiel: Gemäß DSGVO besonders geschützte Daten, etwa zur Gesundheit, zur politischen Weltanschauung oder zu religiösen Überzeugungen, stellen jeweils eine eigenständige Kategorie dar, die bei den Löschregel entsprechend berücksichtigt werden muss.
Löschkonzept erstellen: So gehen Sie vor
- Schritt 1: Identifizieren Sie personenbezogene Daten in Ihrem Unternehmen.
- Schritt 2: Ordnen Sie diese Daten in Kategorien.
- Schritt 3: Definieren Sie Löschregeln für einzelne Kategorien.
Beachten Sie dabei gesetzliche Aufbewahrungsfristen und Sonderregeln.
DIN 66398: die Leitlinie für das DSGVO Löschkonzept
Die DIN-Norm 66398 gibt Datenverantwortlichen eine Leitlinie zur Entwicklung eines Löschkonzepts an die Hand. Entwickelt wurde sie am praktischen Beispiel von fünf Musterkunden, darunter das Mautunternehmen Toll Collect. Ausgangspunkt eines solchen standardisierten Löschkonzepts sind Datenkategorien oder Datenarten, in die alle im Unternehmen gespeicherten Daten eingeteilt werden. Für jede Kategorie ist eine Aufbewahrungsdauer zu definieren, nach der gelöscht wird.
Was sind Löschfristen, Löschklassen und Löschregeln?
Ein Löschdatum für jeden einzelnen Datensatz zu definieren, wäre in der Praxis sehr aufwendig. Der praktische Ansatz eines Löschkonzepts beruht daher auf der Standardisierung und Kategorisierung. Die Eckpfeiler eines solchen Konzepts sind Löschklassen, Löschfristen und Löschregeln:
- Löschfristen: Als Löschfrist wird der Zeitraum bezeichnet, nach dessen Ablauf Daten gelöscht werden sollen. Löschfristen können sich für bestimmte Datenarten aus gesetzlichen Vorgaben ergeben. Wo keine solchen Vorgaben bestehen, empfiehlt es sich in der Praxis, Standard-Löschfristen festzulegen.
- Löschklassen: Daten, die zum gleichen Zweck verarbeitet werden, definieren wir als eine Datenart. Alle Datenarten mit dem gleichen Startzeitpunkt und der gleichen Löschfrist lassen sich der Einfachheit halber zu Löschklassen zusammenfassen. Dabei ergibt sich aus dem Startzeitpunkt auch automatisch die jeweilige Frist. Der Startzeitpunkt setzt entweder bei der Erhebung der Daten an oder am Ende eines Vorgangs oder einer Beziehung.
- Löschregeln: Jeder Löschklasse wird nun genau eine Löschregel zugeordnet. Sie legt den Startzeitpunkt und die Regel-Löschfrist für alle in der Löschklasse enthaltenen Daten fest.
Einen Überblick der Löschfristen mit mit Ablauf 2022 finden Sie in dieser Übersicht.
Wie dokumentiere ich die Löschung personenbezogener Daten?
Daten in Einklang mit den Bestimmungen der DSGVO fristgemäß zu löschen, ist nur die halbe Miete: Die Löschung muss auch dokumentiert werden, um im Zweifelsfall einen Nachweis in der Hand zu haben. Für das Löschkonzept bedeutet das: Es müssen zu jeder Löschung Protokolle erstellt werden. Hierbei können Software-Lösungen helfen.
Löschkonzept und Aufbewahrungsfristen: ein Widerspruch?
Alles wäre einfach, gäbe es für Unternehmen im Alltag nur das Recht auf Vergessenwerden zu beachten. Doch es existieren andere rechtliche Grundsätze und Normen, die scheinbar das Gegenteil fordern: eine Speicherung bestimmter Daten für einen Mindestzeitraum. Zu nennen sind hier allen voran die Grundsätze ordnungsgemäßer Buchführung (GoBD), aber auch etwa Aufbewahrungsfristen für Handelsbriefe (sechs Jahre) oder Steuerunterlagen (zehn Jahre).
Lösen lässt sich auch dieser Konflikt am besten systematisch innerhalb eines Löschkonzepts. Hier werden dann Aufbewahrungsfristen und Archivierungsregeln für bestimmte Datenkategorien definiert. So ist etwa auch jederzeit ein Nachweis gegenüber Finanzbehörden möglich. Schließlich muss das Löschkonzept neben dem Nachweisverfahren bzw. Löschprotokoll auch ein Verfahren für mögliche Datenwiederherstellungen definieren.
Welche Sonderregeln gilt es im Löschkonzept zu beachten?
Neben möglichen Aufbewahrungsfristen muss ein DSGVO-konformes Löschkonzept weitere Sonderregeln und Spezialfälle berücksichtigen, z. B.:
- Löschbegehren eines Betroffenen: Dieser Fall betrifft das Grundrecht jeder Person, die Löschung ihrer personenbezogenen Daten zu verlangen – wenn dem nicht andere rechtliche Hindernisse im Wege stehen. Jedes Löschkonzept muss regeln, wie einem solchen Löschbegehren entsprochen werden kann.
- Rechtswidrige Erhebung eines Datensatzes: In manchen Fällen kann sich im Nachhinein herausstellen, dass ein Unternehmen Daten erhoben hat, ohne dass es hierfür jemals eine rechtliche Grundlage gab. Das Löschkonzept muss hier eine Löschung außerhalb der Standardregeln ermöglichen.
- Löschung auf Anweisung einer Aufsichtsbehörde: Wenn Datenschutzbehörden die Löschung bestimmter Daten anordnen, muss dies selbstverständlich außerhalb der sonst geltenden Fristen möglich sein.
- Stoppen von Löschungen auf Anweisung einer Behörde: Auch der entgegengesetzte Fall kann in der Praxis vorkommen. Der Stopp von Löschungen kann beispielsweise angeordnet werden, sollten sich bestimmte Daten bei Ermittlungen oder Verfahren als relevant erweisen. Häufig betrifft dies Videoaufzeichnungen von Überwachungskameras. In einem solchen Fall muss das Löschkonzept eine längere Speicherung als geplant zulassen.
Welche Vorlagen und Tools gibt es für Löschkonzepte?
Es gibt im Internet eine Reihe von Mustervorlagen für Löschkonzepte, ebenso wie Online-Tools und Software-Lösungen. Die Herausforderung besteht allerdings weiterhin darin, erst einmal grundsätzlich zu erfassen, welche Daten im Unternehmen in welchen unterschiedlichen Formaten und Systemen gespeichert sind.
Neuere Software, die „Privacy by Design“ und „Privacy by Default“ als Prinzipien berücksichtigt, ist einem Löschkonzept nach DSGVO dienlich. Ältere Programme hingegen, wie sie weiterhin in vielen Unternehmen eingesetzt werden, bieten in der Regel nicht die Möglichkeit, Löschregeln einfach zu integrieren.
Eine Excel-Tabelle mit Löschkategorien zu füllen und Fristen und Verantwortliche für die Löschung einzutragen, wird daher in aller Regel nicht ausreichen. Welche Tools im Rahmen eines Löschkonzepts eingesetzt werden, muss für jedes Unternehmen individuell entschieden werden. Statt standardisierter Vorlagen sind in der Planungsphase daher eher Soft Skills erforderlich: Schließlich gilt es, alle Stakeholder mitzunehmen.
Wie komme ich zum Löschkonzept?
Die Praxis zeigt, dass es sinnvoll ist, sich bei einer komplexen Aufgabe wie der Erstellung eines Löschkonzepts erfahrene Hilfe ins Boot zu holen. Sodann gilt es, überall im Unternehmen um Akzeptanz zu werben: Um sich in der Planungsphase einen Überblick über den relevanten Datenbestand zu verschaffen, ist Zuarbeit aus allen Abteilungen notwendig.
Strategisch sinnvoll ist es, hierbei die Arbeitsbelastung für einzelne Mitarbeiter so weit wie möglich zu minimieren – sonst droht die Akzeptanz in den Abteilungen zu schwinden. Statt also sehr viel Zeit in sehr vielen Meetings aufzuwenden, hat DataGuard einen Ansatz entwickelt, bei denen Mitarbeiter zeitversetzt involviert werden – jeweils dann, wenn es ihr Terminkalender zulässt.
Empfehlungen für Ihr Datenschutz-Löschkonzept
Wer den Anforderungen der DSGVO gerecht werden möchte, kommt um die zeitnahe Erstellung eines Löschkonzepts kaum herum. Da personenbezogene Daten typischerweise im ganzen Unternehmen verteilt sind, ist das Löschkonzept ein Projekt, das der Unterstützung der ganzen Firma bedarf. Sowohl in der Konzeptionsphase als auch bei der praktischen Umsetzung des Löschkonzepts kann es sinnvoll sein, externe Dienstleister einzubeziehen.
Benötigen Sie Hilfe bei der Umsetzung eines DSGVO-konformen Löschkonzepts? Wir sind für Sie da! Mit unserer Datenschutz-Plattform können Sie Ihr Löschkonzept mühelos dokumentieren. Bereits über 3.000 Kunden haben wir erfolgreich auf dem Weg zur DSGVO-Compliance unterstützt. Zögern Sie nicht, uns zu kontaktieren und einen kostenlosen Termin zu vereinbaren.