
Datenschutz verstehen – Löschkonzept nach der DSGVO – Was muss beachtet werden?
Datenschutz verstehen – Löschkonzept nach der DSGVO – Was muss beachtet werden?
Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (DSGVO) fällt oft der Begriff Konzept in verschiedenen Zusammenhängen. Hierzu gehören z.B. ein Berechtigungskonzept oder ein Datensicherungskonzept. Das Thema Löschkonzept gehört ebenfalls zu den zentralen Bereichen, wenn es um die Datenschutz-Umsetzung geht. In diesem Beitrag erfahren Sie mehr zum Thema Löschkonzept und wie Sie mit der Hilfe unseres Musters mit Aufbewahrungsfristen ein entsprechendes Verfahren in Ihrem Unternehmen etablieren können.
In der DSGVO und im neuen Bundesdatenschutz (BDSG-neu) existieren diverse Anhaltspunkte für die Konstruktion eines Löschkonzepts. Vorgaben bezüglich der Löschung von personenbezogenen Daten ergeben sich aus Art. 17 und Art. 25 DSGVO. Eine weitere explizite Vorgabe für die Etablierung eines Löschkonzepts ergibt sich insbesondere aus Erwägungsgrund 39 S. 8 und S. 10: Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, soll der Verantwortliche Fristen für ihre Löschung oder eine regelmäßige Überprüfung vorsehen. Insbesondere die Speicherfrist für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt werden. Löschpflichten für personenbezogene Daten können allerdings auch unmittelbar von der betroffenen Person, also dem Inhaber der jeweiliger personenbezogenen Daten ausgelöst werden: So z.B., wenn die betroffene Person eine zuvor erteilte Einwilligung gem. Art. 7 Abs. 3 DSGVO widerruft oder von ihrem Recht auf Löschung (“Recht auf Vergessenwerden”) Gebrauch macht.
Im Regelfall müssen Verantwortliche ohnehin ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO anlegen, weshalb die Anfertigung des VVT ohnehin zu empfehlen ist, um zu erfahren, welche personenbezogenen Daten durch welch Prozesse verarbeitet werden. Gem. Art. 30 DSGVO müssen je Verarbeitung von personenbezogenen Daten u.a. folgende Informationen in das VVT aufgenommen werden, die Sie ebenfalls für die Erstellung eines Löschkonzepts ermitteln und aufnehmen sollten:
Aus unserem Muster können Sie viele Fristen für die Löschung der verschiedenen Datenkategorien entnehmen. Wenn Sie alle Punkte je Verarbeitung von personenbezogenen Daten abgearbeitet haben, haben Sie eine erste Übersicht bezüglich aller Datenverarbeitungsprozesse in Ihrem Unternehmen bzw. Ihrer Organisation.
Neben der DSGVO regeln verschiedene Gesetze Aufbewahrungs- und Löschfristen. Allgemeine Fristen ergeben sich zunächst aus dem Handelsrecht und Steuerrecht (HGB, AO). Auch das Geldwäschegesetz (GwG) formuliert für Verantwortliche wie Banken oder Rechtsanwaltskanzleien Aufbewahrungsfristen für personenbezogene Daten. Weitere Fristen ergeben sich z.B. aus dem Wertpapierhandelsgesetz (WpHG) oder anderen speziellen gesetzlichen Regelwerken. Der richtige Ansprechpartner für die Ermittlung der korrekten Löschfristen für Ihre personenbezogenen Daten ist ihr Datenschutzbeauftragter. Gemeinsam mit dem Verantwortlichen wird der Datenschutzbeauftragte die Verarbeitungsprozesse von personenbezogenen Daten ermitteln und anschließend Löschfristen ermitteln.
Als nächstes sollten Sie alle Verarbeitungsprozesse einer gemeinsamen Datenkategorie zuordnen, für die die gleichen Löschfristen gelten. So sollten Sie z.B. Verarbeitung A und Verarbeitung B, die beide jeweils eine Aufbewahrungsdauer von drei Jahren haben, einer gemeinsamen Datenkategorie zuordnen. Auch die Art der Daten, z.B. ob besondere personenbezogene i.S.v. Art. 9 DSGVO, sollten unter einer gemeinsamen Datenkategorie zusammengefasst werden. Andere gemeinsame Nenner, wie z.B. Verarbeitungen, die für Sie im Auftrag von anderen Dienstleistern unternommen werden, sollten gemeinsamen mit anderen im Auftrag verarbeiteten personenbezogenen Daten unter einer Datenkategorie zusammengefasst werden.
Nun definieren Sie für jede Datenkategorie eine Löschregel. Hierfür ermitteln Sie die jeweils geltende Aufbewahrungsfrist für die gebildete Datenkategorie und Berechnen anschließend Beginn und Ablauf der jeweils geltenden Aufbewahrungsfrist. Auf diese Weise etablieren Sie eine Löschregel für die gleiche Gruppe von personenbezogenen Daten. Bei der Archivierung der Daten, die z.B. nach Abschluss eines Geschäftsvorgangs startet, sollten alle technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO berücksichtigt werden. Hierzu gehören beispielsweise Maßnahmen wie Schutz vor Hochwasser oder Brände für die Archivräume.
Nach dem Ende der Aufbewahrungsdauer sollten Sie darauf achten, dass die analogen und digitalen personenbezogenen datenschutzkonform vernichtet bzw. gelöscht werden. So gelten für Papierakten, Datenträger und andere Medien unterschiedliche datenschutzrechtliche Vorgaben, die zwingend bei der Vernichtung bzw. Löschung eingehalten werden müssen. Ferner sollten auch eine Protokollierung der Vernichtung bzw. Löschung der Daten für Nachweiszwecke erfolgen. Außerdem sollte regelmäßig überprüft und kontrolliert werden, ob die definierten Löschfristen auch tatsächlich eingehalten werden. Dies gilt insbesondere für Auftragsverarbeiter, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Die eingerichteten Löschmechanismen sollten mit Testdaten ausführlich getestet werden, um z.B. Fehlfunktion bei automatisch eingerichteten Löschmechanismen frühzeitig erkennen zu können.
Wenn Verantwortliche gleichzeitig als Auftragsverarbeiter agieren, sollten Löschvorgaben des Auftraggebers geprüft und eingehalten werden und Löschvorgänge nachweisbar protokolliert werden. Falls Ihr Unternehmen als Auftraggeber personenbezogene Daten an Auftragsverarbeiter weitergibt, damit diese Daten nach Ihrer Weisung verarbeitet werden, sollten Sie Ihrer Auftragsverarbeiter Vorgaben für die Löschung der personenbezogenen Daten mitteilen und die Löschprozesse bei Ihren Auftragsverarbeitern prüfen. Zudem sollten Sie Löschprotokolle anfordern, um zu überprüfen, ob die Löschvorgaben tatsächlich eingehalten werden. Ggfs. muss die Löschung der personenbezogenen Daten, die zuvor Dritten offengelegt wurden, gem. Art. 19 DSGVO den Empfängern der Daten mitgeteilt werden.
Falls betroffene Personen von ihrem Recht auf Löschung gem. Art. 17 DSGVO Gebrauch machen, müssen Sie personenbezogene Daten ggfs. abweichend von den zuvor definierten Fristen löschen. Art. 17 Abs. 1 und Abs. 2 DSGVO regelt einige Fälle, in denen personenbezogene Daten zu löschen sind. Art. 17 Abs. 3 DSGVO regelt dagegen wieder einige Rückausnahmen bezüglich einiger Fälle, in denen personenbezogene nicht bzw. nicht sofort zu löschen sind.. Zu berücksichtigen ist in diesem Zusammenhang auch die Regelung des § 34 BDSG-neu bezüglich der Löschung von personenbezogenen Daten, wenn das Recht auf Löschung von einer betroffenen Person ausgeübt wird. Darüber hinaus können nicht nur betroffene Personen eine Löschung verlangen, sondern gem. Art. 58 Abs. 2 lit. g) DSGVO auch die jeweiligen Aufsichtsbehörden.
Die in diesem Blogbeitrag genannten Punkte wie z.B. die zu bestimmenden Verarbeitungen von personenbezogenen Daten, Datenkategorien oder Löschfristen müssen Sie in einem schriftlichen Dokument festhalten, um insbesondere Ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen. Ihr Datenschutzbeauftragter unterstützt Sie bei der Erstellung eines entsprechenden Dokumentes und bei der Ermittlung von Aufbewahrungsfristen für die in Ihrem Unternehmen stattfindenden Verarbeitungsprozesse. Falls die gesetzlichen Vorgaben der DSGVO bezüglich der Löschung von personenbezogenen Daten nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.
Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
3 Kommentare. Hinterlasse eine Antwort
Man hört immer so viel von gesetzlich erforderlichen Konzepten nach der DSGVO, konkrete Vorschläge findet man aber wenige. Mit den Informationen in diesem Beitrag können wir in unserem Unternehmen endlich ein datenschutzkonformes Löschkonzept entwickeln, vielen Dank!
Ich finde das Muster mit den Fristen sehr hilfreich. Sehr gute Basis für das Erstellen eines Löschkonzepts. Dankeschön!
Die Fristen aus dem Muster sind wirklich sehr umfangreich und übersichtlich gestaltet, das hilft uns, danke !!