Ein Löschkonzept DSGVO sollte jedes Unternehmen haben, das sich vor Bußgeldern und Sanktionen wegen Datenschutzverstößen schützen möchte. Denn die Vorgaben zur Löschung personenbezogener Daten sind ein wichtiger Bestandteil der DSGVO, die Behörden beobachten ihre Umsetzung mit Argusaugen.
Wir erklären, wie Sie ein DSGVO-Löschkonzept erstellen können und welche Unterstützung die DIN 66398 dabei bietet.
Löschkonzept DSGVO – keine Kür, sondern Pflicht
Bei der Verarbeitung von personenbezogenen Daten spielt die sogenannte Speicherbegrenzung in Artikel 5 der EU-Datenschutzgrundverordnung eine entscheidende Rolle. Hierzu heißt es: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“
Eine Ausnahme von dieser Regel gilt nur, wenn die Daten für die „im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“
Heißt im Klartext: Wer Daten länger speichert, als er muss, verstößt gegen die DSGVO und auch gegen das sogenannte „Recht auf Vergessenwerden“. Jüngst passierte das der Wohnungsgesellschaft Deutsche Wohnen, die dafür einen Rekord-Bußgeldbescheid in Höhe von sage und schreibe 14,5 Millionen Euro erhielt.
Das Recht auf Vergessenwerden
Der Artikel 17 der Datenschutzgrundverordnung widmet sich dem Recht auf Löschung sowie dem Recht auf Vergessenwerden und nennt mehrere Gründe für das Eintreten der Löschpflicht:
- Die Daten sind für ihren ursprünglichen Zweck nicht mehr notwendig (zum Beispiel Bewerbungsverfahren, siehe auch „Datenschutzerklärung für Bewerber“)
- Die Verarbeitung der Daten erfolgte unrechtmäßig
- Die betroffene Person widerruft ihre Einwilligung und es fehlt eine anderweitige Rechtsgrundlage
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine berechtigten Gründe für die weitere Verarbeitung vor
Weitere Informationen dazu finden Sie in unserem Artikel „Das Recht auf Vergessenwerden“.
Erstellung eines „Löschkonzept DSGVO“ – Aufgabe für Unternehmen
Unabhängig vom Recht auf Vergessenwerden und Artikel 15 (und 30) der DSGVO, existieren auch Löschvorgaben im neuen Bundesdatenschutzgesetz (siehe § 35). Für Unternehmen, die rechtlich sauber arbeiten und keine Sanktionen fürchten wollen, ist die Erstellung eines Löschkonzeptes für Daten also alternativlos.
Die Herausforderung dabei ist, dass das Konzept sämtliche Vorgaben und Auflagen entsprechend einbezieht und dann auch in der Praxis umsetzt. Dazu kann die DIN 66398 nützlich sein, die Empfehlungen für den Aufbau und die inhaltliche Ausgestaltung gibt. Zudem beschreibt die Norm Vorgehensweisen, mit denen sich die jeweiligen Löschregeln und Löschfristen für unterschiedliche Arten von Daten bestimmen lassen.
Wer die DIN 66398 zur Erstellung eines Löschkonzept DSGVO nutzen möchten, sollte sich mit folgenden Begriffen vertraut machen:
- Datenart: Dabei handelt es sich um alle Daten, die zu einem gemeinsamen Zweck verarbeitet werden
- Löschfrist: Meint die Zeitspanne, nach der die Daten gelöscht werden sollen/müssen (der Startzeitpunkt bestimmt den Ablauf der Frist)
- Löschregel: Beschreibt die jeweils gültige Regel für jede Löschklasse
- Löschklassen: Fasst die Datenarten nach Löschfrist und Startzeitpunkt zusammen
- Umsetzungsregel: Gibt konkrete Handlungsempfehlungen für die Umsetzung der jeweiligen Regel unter Berücksichtigung von Ressourcen und Technik
- Verantwortlichkeiten: Regelt, wer für die Umsetzung sowie für die Erstellung und Pflege des Löschkonzepts zuständig ist
Löschkonzept DSGVO erstellen
Der Ablauf für die Erstellung eines Löschkonzepts lautet nach DIN 66398 wie folgt:
- Bestimmung der Datenarten, die es im Unternehmen gibt (zum Beispiel Kundendaten, Mitarbeiterdaten, Bewerberdaten)
- Zusammenfassung aller Datenarten in passende Löschklassen
- Definition von entsprechenden Löschregeln für die Datenarten
- Definition von konkreten Umsetzungsregeln und der Verantwortlichen (wer, was, wann, wie, wo)
- Dokumentation der geplanten und erfolgten Schritte sowie Pflege der Dokumentation
Sie sehen: Die Erstellung eines Löschkonzepts ist zwar mit einer Menge Arbeit verbunden, die sich am Ende aber mehr als auszahlt, wenn eine Prüfung durch die zuständige Datenschutzbehörde erfolgt. Wenn Sie bei diesem Projekt Unterstützung benötigen, nehmen Sie gern Kontakt zu unseren Experten aus dem IT-SERVICE.NETWORK auf.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung