Löschkonzept nach der DSGVO – Was muss beachtet werden?

Datenschutz verstehen –  Löschkonzept nach der DSGVO – Was muss beachtet werden?

Zusammenfassung
  1. Das Löschkonzept gibt Vorgaben bezüglich der Löschung von personenbezogenen Daten vor und wird in der DSGVO und dem BDSG-neu geregelt.
  2. Personenbezogene Daten weisen je nach Kategorie verschiedene Löschfristen auf, an die sich zwingend gehalten werden muss.
  3. Ein Löschkonzept besteht aus Datenkategorien, denen bestimmte Löschregeln sowie der berechnete Beginn und Ablauf der jeweiligen Aufbewahrungsfrist zugeordnet werden.
  4. Die personenbezogenen Daten sollten nach Ende der Aufbewahrungsdauer sowohl analog als auch digital datenschutzkonform vernichtet beziehungsweise gelöscht werden.
  5. Die Vernichtung beziehungsweise Löschung der personenbezogenen Daten sollte für Nachweiszwecke protokolliert und kontrolliert werden.
  6. Machen betroffene Personen von ihrem Recht auf Löschung Gebrauch, müssen die personenbezogenen Daten abweichend von den definierten Fristen umgehend gelöscht werden.
  7. Verstöße gegen die Regelungen der DSGVO werden mit Bußgeldern in Höhe von bis zu 10 bzw. 20 Mio. EUR oder von bis 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes bestraft.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (DSGVO) fällt oft der Begriff Konzept in verschiedenen Zusammenhängen. Hierzu gehören z.B. ein Berechtigungskonzept oder ein Datensicherungskonzept. Das Thema Löschkonzept gehört ebenfalls zu den zentralen Bereichen, wenn es um die Datenschutz-Umsetzung geht. In diesem Beitrag erfahren Sie mehr zum Thema Löschkonzept und wie Sie mit der Hilfe unseres Musters mit Aufbewahrungsfristen ein entsprechendes Verfahren in Ihrem Unternehmen etablieren können.

 

Datenschutzrechtliche Vorgaben nach der DSGVO für ein Löschkonzept

In der DSGVO und im neuen Bundesdatenschutz (BDSG-neu) existieren diverse Anhaltspunkte für die Konstruktion eines Löschkonzepts. Ein solches ist deswegen wichtig, weil personenbezogene Daten als wichtiges Grundrecht angesehen und deswegen so gut wie möglich beschützt werden sollen. Je länger diese Daten gespeichert sind, desto größer ist das Risiko, dass eine entsprechende Datenpanne passiert. Deshalb ist es wichtig, ein DSGVO konformes Löschkonzept im Unternehmen anzuwenden.

Vorgaben bezüglich der Löschung von personenbezogenen Daten ergeben sich aus Art. 17 und Art. 25 DSGVO. Eine weitere explizite Vorgabe für die Etablierung eines Löschkonzepts ergibt sich insbesondere aus Erwägungsgrund 39 S. 8 und S. 10: Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, soll der Verantwortliche Fristen für ihre Löschung oder eine regelmäßige Überprüfung vorsehen. Insbesondere die Speicherfrist für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt werden. Löschpflichten für personenbezogene Daten können allerdings auch unmittelbar von der betroffenen Person, also dem Inhaber der jeweiligen personenbezogenen Daten ausgelöst werden: So z.B., wenn die betroffene Person eine zuvor erteilte Einwilligung gem. Art. 7 Abs. 3 DSGVO widerruft oder von ihrem Recht auf Löschung (“Recht auf Vergessenwerden”) Gebrauch macht. 

 

Ermittlung der stattfindenden Verarbeitungen von personenbezogenen Daten

Im Regelfall müssen Verantwortliche ohnehin ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO anlegen, weshalb die Anfertigung des VVT ohnehin zu empfehlen ist, um zu erfahren, welche personenbezogenen Daten durch welch Prozesse verarbeitet werden. Gem. Art. 30 DSGVO müssen je Verarbeitung von personenbezogenen Daten u.a. folgende Informationen in das VVT aufgenommen werden, die Sie ebenfalls für die Erstellung eines Löschkonzepts ermitteln und aufnehmen sollten: 

  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen
  • Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine  internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantie
  • Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien bzw. die erforderliche Aufbewahrungsdauer
  • Die eingesetzte Software und die, z.B. via Schnittstellen, mit dieser Software verknüpften weitere Programme
  • Einsatz von Cloud-Lösungen

Aus unserem Muster können Sie viele Fristen für die Löschung der verschiedenen Datenkategorien entnehmen. Wenn Sie alle Punkte je Verarbeitung von personenbezogenen Daten abgearbeitet haben, haben Sie eine erste Übersicht bezüglich aller Datenverarbeitungsprozesse in Ihrem Unternehmen bzw. Ihrer Organisation. 

 

Gesetzliche Regelungen mit Aufbewahrungsfristen 

Neben der DSGVO regeln verschiedene Gesetze Aufbewahrungs- und Löschfristen. Allgemeine Fristen ergeben sich zunächst aus dem Handelsrecht und Steuerrecht (HGB, AO). Auch das Geldwäschegesetz (GwG) formuliert für Verantwortliche wie Banken oder Rechtsanwaltskanzleien Aufbewahrungsfristen für personenbezogene Daten. Weitere Fristen ergeben sich z.B. aus dem Wertpapierhandelsgesetz (WpHG) oder anderen speziellen gesetzlichen Regelwerken. Der richtige Ansprechpartner für die Ermittlung der korrekten Löschfristen für Ihre personenbezogenen Daten ist ihr Datenschutzbeauftragter. Gemeinsam mit dem Verantwortlichen wird der Datenschutzbeauftragte die Verarbeitungsprozesse von personenbezogenen Daten ermitteln und anschließend Löschfristen ermitteln.

 

Bildung von Datenkategorien und Definition von Löschregeln

Als nächstes sollten Sie alle Verarbeitungsprozesse einer gemeinsamen Datenkategorie zuordnen, für die die gleichen Löschfristen gelten. So sollten Sie z.B. Verarbeitung A und Verarbeitung B, die beide jeweils eine Aufbewahrungsdauer von drei Jahren haben, einer gemeinsamen Datenkategorie zuordnen. Auch die Art der Daten, z.B. ob besondere personenbezogene i.S.v. Art. 9 DSGVO, sollten unter einer gemeinsamen Datenkategorie zusammengefasst werden. Andere gemeinsame Nenner, wie z.B. Verarbeitungen, die für Sie im Auftrag von anderen Dienstleistern unternommen werden, sollten gemeinsamen mit anderen im Auftrag verarbeiteten personenbezogenen Daten unter einer Datenkategorie zusammengefasst werden. 

Nun definieren Sie für jede Datenkategorie eine Löschregel. Hierfür ermitteln Sie die jeweils geltende Aufbewahrungsfrist für die gebildete Datenkategorie und Berechnen anschließend Beginn und Ablauf der jeweils geltenden Aufbewahrungsfrist. Auf diese Weise etablieren Sie eine Löschregel für die gleiche Gruppe von personenbezogenen Daten. Bei der Archivierung der Daten, die z.B. nach Abschluss eines Geschäftsvorgangs startet, sollten alle technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO berücksichtigt werden. Hierzu gehören beispielsweise Maßnahmen wie Schutz vor Hochwasser oder Brände für die Archivräume. 

Nach dem Ende der Aufbewahrungsdauer sollten Sie darauf achten, dass die analogen und digitalen personenbezogenen datenschutzkonform vernichtet bzw. gelöscht werden. So gelten für Papierakten, Datenträger und andere Medien unterschiedliche datenschutzrechtliche Vorgaben, die zwingend bei der Vernichtung bzw. Löschung eingehalten werden müssen. Ferner sollten auch eine Protokollierung der Vernichtung bzw. Löschung der Daten für Nachweiszwecke erfolgen. Außerdem sollte regelmäßig überprüft und kontrolliert werden, ob die definierten Löschfristen auch tatsächlich eingehalten werden. Dies gilt insbesondere für Auftragsverarbeiter, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Die eingerichteten Löschmechanismen sollten mit Testdaten ausführlich getestet werden, um z.B. Fehlfunktion bei automatisch eingerichteten Löschmechanismen frühzeitig erkennen zu können.

 

Protokollierungspflicht für Auftragsverarbeiter und Löschvorgaben durch Auftraggeber

Wenn Verantwortliche gleichzeitig als Auftragsverarbeiter agieren, sollten Löschvorgaben des Auftraggebers geprüft und eingehalten werden und Löschvorgänge nachweisbar protokolliert werden. Falls Ihr Unternehmen als Auftraggeber personenbezogene Daten an Auftragsverarbeiter weitergibt, damit diese Daten nach Ihrer Weisung verarbeitet werden, sollten Sie Ihrer Auftragsverarbeiter Vorgaben für die Löschung der personenbezogenen Daten mitteilen und die Löschprozesse bei Ihren Auftragsverarbeitern prüfen. Zudem sollten Sie Löschprotokolle anfordern, um zu überprüfen, ob die Löschvorgaben tatsächlich eingehalten werden.  Ggfs. muss die Löschung der personenbezogenen Daten, die zuvor Dritten offengelegt wurden, gem. Art. 19 DSGVO den Empfängern der Daten mitgeteilt werden. 

 

Löschung auf Verlangen von betroffenen Personen oder Aufsichtsbehörden

Falls betroffene Personen von ihrem Recht auf Löschung gem. Art. 17 DSGVO Gebrauch machen, müssen Sie personenbezogene Daten ggfs. abweichend von den zuvor definierten Fristen löschen. Art. 17 Abs. 1 und Abs. 2 DSGVO regelt einige Fälle, in denen personenbezogene Daten zu löschen sind. Art. 17 Abs. 3 DSGVO regelt dagegen wieder einige Rückausnahmen bezüglich einiger Fälle, in denen personenbezogene nicht bzw. nicht sofort zu löschen sind.. Zu berücksichtigen ist in diesem Zusammenhang auch die Regelung des § 34 BDSG-neu bezüglich der Löschung von personenbezogenen Daten, wenn das Recht auf Löschung von einer betroffenen Person ausgeübt wird. Darüber hinaus können nicht nur betroffene Personen eine Löschung verlangen, sondern gem. Art. 58 Abs. 2 lit. g) DSGVO auch die jeweiligen Aufsichtsbehörden.

 

Umfassende Dokumentation des Löschkonzepts & Folgen bei Nichtbeachtung

Die in diesem Blogbeitrag genannten Punkte wie z.B. die zu bestimmenden Verarbeitungen von personenbezogenen Daten, Datenkategorien oder Löschfristen müssen Sie in einem schriftlichen Dokument festhalten, um insbesondere Ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen. Ihr Datenschutzbeauftragter unterstützt Sie bei der Erstellung eines entsprechenden Dokumentes und bei der Ermittlung von Aufbewahrungsfristen für die in Ihrem Unternehmen stattfindenden Verarbeitungsprozesse. Falls die gesetzlichen Vorgaben der DSGVO bezüglich der Löschung von personenbezogenen Daten nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO. 

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

4 Kommentare. Hinterlasse eine Antwort

  • Man hört immer so viel von gesetzlich erforderlichen Konzepten nach der DSGVO, konkrete Vorschläge findet man aber wenige. Mit den Informationen in diesem Beitrag können wir in unserem Unternehmen endlich ein datenschutzkonformes Löschkonzept entwickeln, vielen Dank!

    Antworten
  • Ich finde das Muster mit den Fristen sehr hilfreich. Sehr gute Basis für das Erstellen eines Löschkonzepts. Dankeschön!

    Antworten
  • Die Fristen aus dem Muster sind wirklich sehr umfangreich und übersichtlich gestaltet, das hilft uns, danke !!

    Antworten
  • Nach langer Suche endlich auf diese Seite gestoßen. Super Beitrag! Sehr verständlich, ausführlich und hilfreich! Vielen Dank!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN