Löschkonzept nach der DSGVO – Was muss beachtet werden?

9. Januar 2022

Datenschutz verstehen – Löschkonzept nach der DSGVO – Was muss beachtet werden?

Löschkonzept DSGVO

Zusammenfassung

Das Löschkonzept gibt Vorgaben bezüglich der Löschung von personenbezogenen Daten vor und wird in der DSGVO und dem BDSG-neu geregelt.
Personenbezogene Daten weisen je nach Kategorie verschiedene Löschfristen auf, an die sich zwingend gehalten werden muss.
Ein Löschkonzept besteht aus Datenkategorien, denen bestimmte Löschregeln sowie der berechnete Beginn und Ablauf der jeweiligen Aufbewahrungsfrist zugeordnet werden.
Die personenbezogenen Daten sollten nach Ende der Aufbewahrungsdauer sowohl analog als auch digital datenschutzkonform vernichtet beziehungsweise gelöscht werden.
Die Vernichtung beziehungsweise Löschung der personenbezogenen Daten sollte für Nachweiszwecke protokolliert und kontrolliert werden.
Machen betroffene Personen von ihrem Recht auf Löschung Gebrauch, müssen die personenbezogenen Daten abweichend von den definierten Fristen umgehend gelöscht werden.
Verstöße gegen die Regelungen der DSGVO werden mit Bußgeldern in Höhe von bis zu 10 bzw. 20 Mio. EUR oder von bis 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes bestraft.

Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (DSGVO) fällt oft der Begriff Konzept in verschiedenen Zusammenhängen. Hierzu gehören z.B. ein Berechtigungskonzept oder ein Datensicherungskonzept. Das Thema Löschkonzept gehört ebenfalls zu den zentralen Bereichen, wenn es um die Datenschutz-Umsetzung geht. In diesem Beitrag erfahren Sie mehr zum Thema Löschkonzept und wie Sie mit der Hilfe unseres Musters mit Aufbewahrungsfristen ein entsprechendes Verfahren in Ihrem Unternehmen etablieren können.

Inhalt:

Löschkonzept nach der DSGVO
Ermittlung der Verarbeitungen von personenbezogenen Daten
Gesetzliche Regelungen mit Aufbewahrungsfristen
Bildung von Datenkategorien und Definition von Löschregeln
Protokollierungspflicht für Auftragsverarbeiter und Löschvorgaben durch Auftraggeber
Löschung auf Verlangen von betroffenen Personen oder Aufsichtsbehörden
Umfassende Dokumentation des Löschkonzeptes

Datenschutzrechtliche Vorgaben nach der DSGVO für ein Löschkonzept

In der DSGVO und im neuen Bundesdatenschutz (BDSG-neu) existieren diverse Anhaltspunkte für die Konstruktion eines Löschkonzepts. Ein solches ist deswegen wichtig, weil personenbezogene Daten als wichtiges Grundrecht angesehen und deswegen so gut wie möglich beschützt werden sollen. Je länger diese Daten gespeichert sind, desto größer ist das Risiko, dass eine entsprechende Datenpanne passiert. Deshalb ist es wichtig, ein DSGVO konformes Löschkonzept im Unternehmen anzuwenden.

Vorgaben bezüglich der Löschung von personenbezogenen Daten ergeben sich aus Art. 17 und Art. 25 DSGVO. Eine weitere explizite Vorgabe für die Etablierung eines Löschkonzepts ergibt sich insbesondere aus Erwägungsgrund 39 S. 8 und S. 10: Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, soll der Verantwortliche Fristen für ihre Löschung oder eine regelmäßige Überprüfung vorsehen. Insbesondere die Speicherfrist für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt werden. Löschpflichten für personenbezogene Daten können allerdings auch unmittelbar von der betroffenen Person, also dem Inhaber der jeweiligen personenbezogenen Daten ausgelöst werden: So z.B., wenn die betroffene Person eine zuvor erteilte Einwilligung gem. Art. 7 Abs. 3 DSGVO widerruft oder von ihrem Recht auf Löschung (“Recht auf Vergessenwerden”) Gebrauch macht.

Ermittlung der stattfindenden Verarbeitungen von personenbezogenen Daten

Im Regelfall müssen Verantwortliche ohnehin ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO anlegen, weshalb die Anfertigung des VVT ohnehin zu empfehlen ist, um zu erfahren, welche personenbezogenen Daten durch welch Prozesse verarbeitet werden. Gem. Art. 30 DSGVO müssen je Verarbeitung von personenbezogenen Daten u.a. folgende Informationen in das VVT aufgenommen werden, die Sie ebenfalls für die Erstellung eines Löschkonzepts ermitteln und aufnehmen sollten:

Zwecke der Verarbeitung
Beschreibung der Kategorien betroffener Personen
Kategorien personenbezogener Daten
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantie

Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien bzw. die erforderliche Aufbewahrungsdauer
Die eingesetzte Software und die, z.B. via Schnittstellen, mit dieser Software verknüpften weitere Programme
Einsatz von Cloud-Lösungen

Aus unserem Muster können Sie viele Fristen für die Löschung der verschiedenen Datenkategorien entnehmen. Wenn Sie alle Punkte je Verarbeitung von personenbezogenen Daten abgearbeitet haben, haben Sie eine erste Übersicht bezüglich aller Datenverarbeitungsprozesse in Ihrem Unternehmen bzw. Ihrer Organisation. Unternehmen sollten unbedingt einen Datenschutzbeauftragten zur Beratung hinzuziehen, sodass hier alle notwendigen Daten zusammengetragen werden.

Muster Löschkonzept

Datenschutz eBook

Sie suchen einen Datenschutzbeauftragten?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei und unverbindlich von Keyed ein Angebot für die Umsetzung im Datenschutz.

Angebot erhalten

Gesetzliche Regelungen mit Aufbewahrungsfristen

Neben der DSGVO regeln verschiedene Gesetze Aufbewahrungs- und Löschfristen. Allgemeine Fristen ergeben sich zunächst aus dem Handelsrecht und Steuerrecht (HGB, AO). Auch das Geldwäschegesetz (GwG) formuliert für Verantwortliche wie Banken oder Rechtsanwaltskanzleien Aufbewahrungsfristen für personenbezogene Daten. Weitere Fristen ergeben sich z.B. aus dem Wertpapierhandelsgesetz (WpHG) oder anderen speziellen gesetzlichen Regelwerken. Der richtige Ansprechpartner für die Ermittlung der korrekten Löschfristen für Ihre personenbezogenen Daten ist ihr Datenschutzbeauftragter. Gemeinsam mit dem Verantwortlichen wird der Datenschutzbeauftragte die Verarbeitungsprozesse von personenbezogenen Daten ermitteln und anschließend Löschfristen ermitteln.

Bildung von Datenkategorien und Definition von Löschregeln

Als nächstes sollten Sie alle Verarbeitungsprozesse einer gemeinsamen Datenkategorie zuordnen, für die die gleichen Löschfristen gelten. So sollten Sie z.B. Verarbeitung A und Verarbeitung B, die beide jeweils eine Aufbewahrungsdauer von drei Jahren haben, einer gemeinsamen Datenkategorie zuordnen. Auch die Art der Daten, z.B. ob besondere personenbezogene i.S.v. Art. 9 DSGVO, sollten unter einer gemeinsamen Datenkategorie zusammengefasst werden. Andere gemeinsame Nenner, wie z.B. Verarbeitungen, die für Sie im Auftrag von anderen Dienstleistern unternommen werden, sollten gemeinsamen mit anderen im Auftrag verarbeiteten personenbezogenen Daten unter einer Datenkategorie zusammengefasst werden.

Nun definieren Sie für jede Datenkategorie eine Löschregel. Hierfür ermitteln Sie die jeweils geltende Aufbewahrungsfrist für die gebildete Datenkategorie und Berechnen anschließend Beginn und Ablauf der jeweils geltenden Aufbewahrungsfrist. Auf diese Weise etablieren Sie eine Löschregel für die gleiche Gruppe von personenbezogenen Daten. Bei der Archivierung der Daten, die z.B. nach Abschluss eines Geschäftsvorgangs startet, sollten alle technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO berücksichtigt werden. Hierzu gehören beispielsweise Maßnahmen wie Schutz vor Hochwasser oder Brände für die Archivräume.

Nach dem Ende der Aufbewahrungsdauer sollten Sie darauf achten, dass die analogen und digitalen personenbezogenen datenschutzkonform vernichtet bzw. gelöscht werden. So gelten für Papierakten, Datenträger und andere Medien unterschiedliche datenschutzrechtliche Vorgaben, die zwingend bei der Vernichtung bzw. Löschung eingehalten werden müssen. Ferner sollten auch eine Protokollierung der Vernichtung bzw. Löschung der Daten für Nachweiszwecke erfolgen. Außerdem sollte regelmäßig überprüft und kontrolliert werden, ob die definierten Löschfristen auch tatsächlich eingehalten werden. Dies gilt insbesondere für Auftragsverarbeiter, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Die eingerichteten Löschmechanismen sollten mit Testdaten ausführlich getestet werden, um z.B. Fehlfunktion bei automatisch eingerichteten Löschmechanismen frühzeitig erkennen zu können.

Protokollierungspflicht für Auftragsverarbeiter und Löschvorgaben durch Auftraggeber

Wenn Verantwortliche gleichzeitig als Auftragsverarbeiter agieren, sollten Löschvorgaben des Auftraggebers geprüft und eingehalten werden und Löschvorgänge nachweisbar protokolliert werden. Falls Ihr Unternehmen als Auftraggeber personenbezogene Daten an Auftragsverarbeiter weitergibt, damit diese Daten nach Ihrer Weisung verarbeitet werden, sollten Sie Ihrer Auftragsverarbeiter Vorgaben für die Löschung der personenbezogenen Daten mitteilen und die Löschprozesse bei Ihren Auftragsverarbeitern prüfen. Zudem sollten Sie Löschprotokolle anfordern, um zu überprüfen, ob die Löschvorgaben tatsächlich eingehalten werden. Ggfs. muss die Löschung der personenbezogenen Daten, die zuvor Dritten offengelegt wurden, gem. Art. 19 DSGVO den Empfängern der Daten mitgeteilt werden.

Löschung auf Verlangen von betroffenen Personen oder Aufsichtsbehörden

Falls betroffene Personen von ihrem Recht auf Löschung gem. Art. 17 DSGVO Gebrauch machen, müssen Sie personenbezogene Daten ggfs. abweichend von den zuvor definierten Fristen löschen. Art. 17 Abs. 1 und Abs. 2 DSGVO regelt einige Fälle, in denen personenbezogene Daten zu löschen sind. Art. 17 Abs. 3 DSGVO regelt dagegen wieder einige Rückausnahmen bezüglich einiger Fälle, in denen personenbezogene nicht bzw. nicht sofort zu löschen sind.. Zu berücksichtigen ist in diesem Zusammenhang auch die Regelung des § 34 BDSG-neu bezüglich der Löschung von personenbezogenen Daten, wenn das Recht auf Löschung von einer betroffenen Person ausgeübt wird. Darüber hinaus können nicht nur betroffene Personen eine Löschung verlangen, sondern gem. Art. 58 Abs. 2 lit. g) DSGVO auch die jeweiligen Aufsichtsbehörden.

Umfassende Dokumentation des Löschkonzepts & Folgen bei Nichtbeachtung

Die in diesem Blogbeitrag genannten Punkte wie z.B. die zu bestimmenden Verarbeitungen von personenbezogenen Daten, Datenkategorien oder Löschfristen müssen Sie in einem schriftlichen Dokument festhalten, um insbesondere Ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen. Ihr Datenschutzbeauftragter unterstützt Sie bei der Erstellung eines entsprechenden Dokumentes und bei der Ermittlung von Aufbewahrungsfristen für die in Ihrem Unternehmen stattfindenden Verarbeitungsprozesse. Falls die gesetzlichen Vorgaben der DSGVO bezüglich der Löschung von personenbezogenen Daten nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.

Nils Möllers

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig.

4 Kommentare. Hinterlasse eine Antwort

Jan
28. August 2019 15:22

Man hört immer so viel von gesetzlich erforderlichen Konzepten nach der DSGVO, konkrete Vorschläge findet man aber wenige. Mit den Informationen in diesem Beitrag können wir in unserem Unternehmen endlich ein datenschutzkonformes Löschkonzept entwickeln, vielen Dank!

Antworten
Steffen
30. August 2019 13:43

Ich finde das Muster mit den Fristen sehr hilfreich. Sehr gute Basis für das Erstellen eines Löschkonzepts. Dankeschön!

Antworten
Henrik
26. September 2019 10:03

Die Fristen aus dem Muster sind wirklich sehr umfangreich und übersichtlich gestaltet, das hilft uns, danke !!

Antworten
Bea
17. Juli 2020 09:06

Nach langer Suche endlich auf diese Seite gestoßen. Super Beitrag! Sehr verständlich, ausführlich und hilfreich! Vielen Dank!

Antworten

Akzeptieren
Name	Google Maps
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Maps API, um geographische Informationen visuell darzustellen. Bei der Nutzung von Google Maps werden von Google auch Daten über die Nutzung der Maps-Funktionen durch Besucher der Webseiten erhoben, verarbeitet und genutzt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Tag Manager
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Tag Manager zu Marketingzwecken.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Leadinfo
Anbieter	Leadinfo B.V.
Zweck	Wir nutzen den Lead-Generation-Service von Leadinfo B.V., Rotterdam, Niederlande. Dieser erkennt Besuche von Unternehmen auf unserer Website anhand von IP-Adressen und zeigt uns hierzu öffentlich verfügbare Informationen, wie z.B. Firmennamen oder Adressen. Darüber hinaus setzt Leadinfo zwei First-Party-Cookies zur Auswertung des Nutzerverhaltens auf unserer Website und verarbeitet Domains aus Formulareingaben (z.B. „leadinfo.com“), um IP-Adressen mit Unternehmen zu korrelieren und die Services zu verbessern.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.leadinfo.com/en/privacy/

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Löschkonzept nach der DSGVO – Was muss beachtet werden?

Inhalt:

Datenschutzrechtliche Vorgaben nach der DSGVO für ein Löschkonzept

Ermittlung der stattfindenden Verarbeitungen von personenbezogenen Daten

Gesetzliche Regelungen mit Aufbewahrungsfristen

Bildung von Datenkategorien und Definition von Löschregeln

Protokollierungspflicht für Auftragsverarbeiter und Löschvorgaben durch Auftraggeber

Löschung auf Verlangen von betroffenen Personen oder Aufsichtsbehörden

Umfassende Dokumentation des Löschkonzepts & Folgen bei Nichtbeachtung

4 Kommentare. Hinterlasse eine Antwort

Schreibe einen Kommentar Antworten abbrechen

Blog

Datenschutz bei Inkasso

Social Media und Datenschutz

Transfer Impact Assessment

Wir verwenden Cookies

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Calendly
Anbieter	Calendly LLC
Zweck	Diese Webseite nutzt Calendly.com für die angebotene Online-Terminvereinbarung. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://calendly.com/pages/privacy