Arbeitswelt & Trends

Löschkonzept DSGVO

Tipps zur Erstellung eines DSGVO-Löschkonzepts

von 27.11.2019

Ein Löschkonzept DSGVO sollte jedes Unternehmen haben, das sich vor Bußgeldern und Sanktionen wegen Datenschutzverstößen schützen möchte. Denn die Vorgaben zur Löschung personenbezogener Daten sind ein wichtiger Bestandteil der DSGVO, die Behörden beobachten ihre Umsetzung mit Argusaugen.
Wir erklären, wie Sie ein DSGVO-Löschkonzept erstellen können und welche Unterstützung die DIN 66398 dabei bietet.

löschkonzept dsgvo

Das Recht auf Löschung reguliert den Umgang mit personenbezogenen Daten gemäß DSGVO. Bild: Pixabay/wattblicker

Löschkonzept DSGVO – keine Kür, sondern Pflicht

Bei der Verarbeitung von personenbezogenen Daten spielt die sogenannte Speicherbegrenzung in Artikel 5 der EU-Datenschutzgrundverordnung eine entscheidende Rolle. Hierzu heißt es: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“
Eine Ausnahme von dieser Regel gilt nur, wenn die Daten für die „im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“
Heißt im Klartext: Wer Daten länger speichert, als er muss, verstößt gegen die DSGVO und auch gegen das sogenannte „Recht auf Vergessenwerden“. Jüngst passierte das der Wohnungsgesellschaft Deutsche Wohnen, die dafür einen Rekord-Bußgeldbescheid in Höhe von sage und schreibe 14,5 Millionen Euro erhielt.

Das Recht auf Vergessenwerden

Der Artikel 17 der Datenschutzgrundverordnung widmet sich dem Recht auf Löschung sowie dem Recht auf Vergessenwerden und nennt mehrere Gründe für das Eintreten der Löschpflicht:

  • Die Daten sind für ihren ursprünglichen Zweck nicht mehr notwendig (zum Beispiel Bewerbungsverfahren, siehe auch „Datenschutzerklärung für Bewerber“)
  • Die Verarbeitung der Daten erfolgte unrechtmäßig
  • Die betroffene Person widerruft ihre Einwilligung und es fehlt eine anderweitige Rechtsgrundlage
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine berechtigten Gründe für die weitere Verarbeitung vor

Weitere Informationen dazu finden Sie in unserem Artikel „Das Recht auf Vergessenwerden“.

Erstellung eines „Löschkonzept DSGVO“ – Aufgabe für Unternehmen

Unabhängig vom Recht auf Vergessenwerden und Artikel 15 (und 30) der DSGVO, existieren auch Löschvorgaben im neuen Bundesdatenschutzgesetz (siehe § 35). Für Unternehmen, die rechtlich sauber arbeiten und keine Sanktionen fürchten wollen, ist die Erstellung eines Löschkonzeptes für Daten also alternativlos.
Die Herausforderung dabei ist, dass das Konzept sämtliche Vorgaben und Auflagen entsprechend einbezieht und dann auch in der Praxis umsetzt. Dazu kann die DIN 66398 nützlich sein, die Empfehlungen für den Aufbau und die inhaltliche Ausgestaltung gibt. Zudem beschreibt die Norm Vorgehensweisen, mit denen sich die jeweiligen Löschregeln und Löschfristen für unterschiedliche Arten von Daten bestimmen lassen.
Wer die DIN 66398 zur Erstellung eines Löschkonzept DSGVO nutzen möchten, sollte sich mit folgenden Begriffen vertraut machen:

  • Datenart: Dabei handelt es sich um alle Daten, die zu einem gemeinsamen Zweck verarbeitet werden
  • Löschfrist: Meint die Zeitspanne, nach der die Daten gelöscht werden sollen/müssen (der Startzeitpunkt bestimmt den Ablauf der Frist)
  • Löschregel: Beschreibt die jeweils gültige Regel für jede Löschklasse
  • Löschklassen: Fasst die Datenarten nach Löschfrist und Startzeitpunkt zusammen
  • Umsetzungsregel: Gibt konkrete Handlungsempfehlungen für die Umsetzung der jeweiligen Regel unter Berücksichtigung von Ressourcen und Technik
  • Verantwortlichkeiten: Regelt, wer für die Umsetzung sowie für die Erstellung und Pflege des Löschkonzepts zuständig ist

Löschkonzept DSGVO erstellen

Der Ablauf für die Erstellung eines Löschkonzepts lautet nach DIN 66398 wie folgt:

  • Bestimmung der Datenarten, die es im Unternehmen gibt (zum Beispiel Kundendaten, Mitarbeiterdaten, Bewerberdaten)
  • Zusammenfassung aller Datenarten in passende Löschklassen
  • Definition von entsprechenden Löschregeln für die Datenarten
  • Definition von konkreten Umsetzungsregeln und der Verantwortlichen (wer, was, wann, wie, wo)
  • Dokumentation der geplanten und erfolgten Schritte sowie Pflege der Dokumentation

Sie sehen: Die Erstellung eines Löschkonzepts ist zwar mit einer Menge Arbeit verbunden, die sich am Ende aber mehr als auszahlt, wenn eine Prüfung durch die zuständige Datenschutzbehörde erfolgt. Wenn Sie bei diesem Projekt Unterstützung benötigen, nehmen Sie gern Kontakt zu unseren Experten aus dem IT-SERVICE.NETWORK auf.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema Arbeitswelt & Trends

Arbeitswelt & Trends

Snipping Tool nutzen

Tipps & Tricks zu Erstellung von Screenshots

von • 17.04.2024

Sie möchten einen Screenshot von Ihrem Bildschirm erstellen? Mit diesem Wunsch sind Sie nicht allein: Im Arbeitsalltag gibt es viele Situationen, in denen es hilft, ein Snipping Tool nutzen zu könne...

Weiterlesen
Arbeitswelt & Trends

Teams 2.0

Neuer Microsoft-Teams-Client ab 1. April 2024 Pflicht

von • 13.03.2024

Microsoft hat bereits Anfang Oktober 2023 eine neue Microsoft-Teams-App vorgestellt. Zum 1. April wird die neue Desktop-App – Teams 2.0 genannt – zur Pflicht.  Wir erklären, was es mit dem ne...

Weiterlesen
Arbeitswelt & Trends

Professionelle E-Mail-Signatur

Mit diesen Tipps können Sie Ihre E-Mail-Signatur erstellen

von • 06.03.2024

Jeden Tag aufs Neue werden unzählige E-Mails zur geschäftlichen Kommunikation versendet. Für einen guten (ersten) Eindruck ist eine professionelle E-Mail-Signatur dabei elementar. Wir erklären,...

Weiterlesen