Löschkonzept DSGVO Tipps zur Erstellung eines DSGVO-Löschkonzepts Von Lena Klaus in Aktuelles 27Nov'19Ein Löschkonzept DSGVO sollte jedes Unternehmen haben, das sich vor Bußgeldern und Sanktionen wegen Datenschutzverstößen schützen möchte. Denn die Vorgaben zur Löschung personenbezogener Daten sind ein wichtiger Bestandteil der DSGVO, die Behörden beobachten ihre Umsetzung mit Argusaugen.Wir erklären, wie Sie ein DSGVO-Löschkonzept erstellen können und welche Unterstützung die DIN 66398 dabei bietet.Das Recht auf Löschung reguliert den Umgang mit personenbezogenen Daten gemäß DSGVO. Bild: Pixabay/wattblickerLöschkonzept DSGVO – keine Kür, sondern PflichtBei der Verarbeitung von personenbezogenen Daten spielt die sogenannte Speicherbegrenzung in Artikel 5 der EU-Datenschutzgrundverordnung eine entscheidende Rolle. Hierzu heißt es: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“Eine Ausnahme von dieser Regel gilt nur, wenn die Daten für die „im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“Heißt im Klartext: Wer Daten länger speichert, als er muss, verstößt gegen die DSGVO und auch gegen das sogenannte „Recht auf Vergessenwerden“. Jüngst passierte das der Wohnungsgesellschaft Deutsche Wohnen, die dafür einen Rekord-Bußgeldbescheid in Höhe von sage und schreibe 14,5 Millionen Euro erhielt.Das Recht auf VergessenwerdenDer Artikel 17 der Datenschutzgrundverordnung widmet sich dem Recht auf Löschung sowie dem Recht auf Vergessenwerden und nennt mehrere Gründe für das Eintreten der Löschpflicht:Die Daten sind für ihren ursprünglichen Zweck nicht mehr notwendig (zum Beispiel Bewerbungsverfahren, siehe auch „Datenschutzerklärung für Bewerber“)Die Verarbeitung der Daten erfolgte unrechtmäßigDie betroffene Person widerruft ihre Einwilligung und es fehlt eine anderweitige RechtsgrundlageDie betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine berechtigten Gründe für die weitere Verarbeitung vorWeitere Informationen dazu finden Sie in unserem Artikel „Das Recht auf Vergessenwerden“.Erstellung eines „Löschkonzept DSGVO“ – Aufgabe für UnternehmenUnabhängig vom Recht auf Vergessenwerden und Artikel 15 (und 30) der DSGVO, existieren auch Löschvorgaben im neuen Bundesdatenschutzgesetz (siehe § 35). Für Unternehmen, die rechtlich sauber arbeiten und keine Sanktionen fürchten wollen, ist die Erstellung eines Löschkonzeptes für Daten also alternativlos.Die Herausforderung dabei ist, dass das Konzept sämtliche Vorgaben und Auflagen entsprechend einbezieht und dann auch in der Praxis umsetzt. Dazu kann die DIN 66398 nützlich sein, die Empfehlungen für den Aufbau und die inhaltliche Ausgestaltung gibt. Zudem beschreibt die Norm Vorgehensweisen, mit denen sich die jeweiligen Löschregeln und Löschfristen für unterschiedliche Arten von Daten bestimmen lassen.Wer die DIN 66398 zur Erstellung eines Löschkonzept DSGVO nutzen möchten, sollte sich mit folgenden Begriffen vertraut machen:Datenart: Dabei handelt es sich um alle Daten, die zu einem gemeinsamen Zweck verarbeitet werdenLöschfrist: Meint die Zeitspanne, nach der die Daten gelöscht werden sollen/müssen (der Startzeitpunkt bestimmt den Ablauf der Frist)Löschregel: Beschreibt die jeweils gültige Regel für jede LöschklasseLöschklassen: Fasst die Datenarten nach Löschfrist und Startzeitpunkt zusammenUmsetzungsregel: Gibt konkrete Handlungsempfehlungen für die Umsetzung der jeweiligen Regel unter Berücksichtigung von Ressourcen und TechnikVerantwortlichkeiten: Regelt, wer für die Umsetzung sowie für die Erstellung und Pflege des Löschkonzepts zuständig istLöschkonzept DSGVO erstellenDer Ablauf für die Erstellung eines Löschkonzepts lautet nach DIN 66398 wie folgt:Bestimmung der Datenarten, die es im Unternehmen gibt (zum Beispiel Kundendaten, Mitarbeiterdaten, Bewerberdaten)Zusammenfassung aller Datenarten in passende LöschklassenDefinition von entsprechenden Löschregeln für die DatenartenDefinition von konkreten Umsetzungsregeln und der Verantwortlichen (wer, was, wann, wie, wo)Dokumentation der geplanten und erfolgten Schritte sowie Pflege der DokumentationSie sehen: Die Erstellung eines Löschkonzepts ist zwar mit einer Menge Arbeit verbunden, die sich am Ende aber mehr als auszahlt, wenn eine Prüfung durch die zuständige Datenschutzbehörde erfolgt. Wenn Sie bei diesem Projekt Unterstützung benötigen, nehmen Sie gern Kontakt zu unseren Experten aus dem IT-SERVICE.NETWORK auf. Lena KlausLena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert. Fragen zum Artikel? Frag den Autor 1 Kommentar keyboard_arrow_downDas Löschkonzept der DSGVO | IT-Service für Unternehmen | IT-Support | IT-Sicherheit | IT-Infrastruktur | Cloud-Lösungen | Hahs.IT | BebraSchreiben Sie einen Kommentar Antworten abbrechenIhre E-Mail Adresse wird nicht veröffentlicht. Kommentar absenden * = PflichtfelderBitte beachten Sie unsere DatenschutzerklärungDiese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.