Löschkonzept DSGVO – Tipps zur Erstellung und Umsetzung

Ein Löschkonzept DSGVO sollte jedes Unternehmen haben, das sich vor Bußgeldern und Sanktionen wegen Datenschutzverstößen schützen möchte. Denn die Vorgaben zur Löschung personenbezogener Daten sind ein wichtiger Bestandteil der DSGVO, die Behörden beobachten ihre Umsetzung mit Argusaugen.

Wir erklären, wie Sie ein DSGVO-Löschkonzept erstellen können und welche Unterstützung die DIN 66398 dabei bietet.

Das Recht auf Löschung reguliert den Umgang mit personenbezogenen Daten gemäß DSGVO. Bild: Pixabay/wattblicker

Löschkonzept DSGVO – keine Kür, sondern Pflicht

Bei der Verarbeitung von personenbezogenen Daten spielt die sogenannte Speicherbegrenzung in Artikel 5 der EU-Datenschutzgrundverordnung eine entscheidende Rolle. Hierzu heißt es: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“

Eine Ausnahme von dieser Regel gilt nur, wenn die Daten für die „im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“

Heißt im Klartext: Wer Daten länger speichert, als er muss, verstößt gegen die DSGVO und auch gegen das sogenannte „Recht auf Vergessenwerden“. Jüngst passierte das der Wohnungsgesellschaft Deutsche Wohnen, die dafür einen Rekord-Bußgeldbescheid in Höhe von sage und schreibe 14,5 Millionen Euro erhielt.

Das Recht auf Vergessenwerden

Der Artikel 17 der Datenschutzgrundverordnung widmet sich dem Recht auf Löschung sowie dem Recht auf Vergessenwerden und nennt mehrere Gründe für das Eintreten der Löschpflicht:

Die Daten sind für ihren ursprünglichen Zweck nicht mehr notwendig (zum Beispiel Bewerbungsverfahren, siehe auch „Datenschutzerklärung für Bewerber“)
Die Verarbeitung der Daten erfolgte unrechtmäßig
Die betroffene Person widerruft ihre Einwilligung und es fehlt eine anderweitige Rechtsgrundlage
Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine berechtigten Gründe für die weitere Verarbeitung vor

Weitere Informationen dazu finden Sie in unserem Artikel „Das Recht auf Vergessenwerden“.

Erstellung eines „Löschkonzept DSGVO“ – Aufgabe für Unternehmen

Unabhängig vom Recht auf Vergessenwerden und Artikel 15 (und 30) der DSGVO, existieren auch Löschvorgaben im neuen Bundesdatenschutzgesetz (siehe § 35). Für Unternehmen, die rechtlich sauber arbeiten und keine Sanktionen fürchten wollen, ist die Erstellung eines Löschkonzeptes für Daten also alternativlos.

Die Herausforderung dabei ist, dass das Konzept sämtliche Vorgaben und Auflagen entsprechend einbezieht und dann auch in der Praxis umsetzt. Dazu kann die DIN 66398 nützlich sein, die Empfehlungen für den Aufbau und die inhaltliche Ausgestaltung gibt. Zudem beschreibt die Norm Vorgehensweisen, mit denen sich die jeweiligen Löschregeln und Löschfristen für unterschiedliche Arten von Daten bestimmen lassen.

Wer die DIN 66398 zur Erstellung eines Löschkonzept DSGVO nutzen möchten, sollte sich mit folgenden Begriffen vertraut machen:

Datenart: Dabei handelt es sich um alle Daten, die zu einem gemeinsamen Zweck verarbeitet werden
Löschfrist: Meint die Zeitspanne, nach der die Daten gelöscht werden sollen/müssen (der Startzeitpunkt bestimmt den Ablauf der Frist)
Löschregel: Beschreibt die jeweils gültige Regel für jede Löschklasse
Löschklassen: Fasst die Datenarten nach Löschfrist und Startzeitpunkt zusammen
Umsetzungsregel: Gibt konkrete Handlungsempfehlungen für die Umsetzung der jeweiligen Regel unter Berücksichtigung von Ressourcen und Technik
Verantwortlichkeiten: Regelt, wer für die Umsetzung sowie für die Erstellung und Pflege des Löschkonzepts zuständig ist

Löschkonzept DSGVO erstellen

Der Ablauf für die Erstellung eines Löschkonzepts lautet nach DIN 66398 wie folgt:

Bestimmung der Datenarten, die es im Unternehmen gibt (zum Beispiel Kundendaten, Mitarbeiterdaten, Bewerberdaten)
Zusammenfassung aller Datenarten in passende Löschklassen
Definition von entsprechenden Löschregeln für die Datenarten
Definition von konkreten Umsetzungsregeln und der Verantwortlichen (wer, was, wann, wie, wo)
Dokumentation der geplanten und erfolgten Schritte sowie Pflege der Dokumentation

Sie sehen: Die Erstellung eines Löschkonzepts ist zwar mit einer Menge Arbeit verbunden, die sich am Ende aber mehr als auszahlt, wenn eine Prüfung durch die zuständige Datenschutzbehörde erfolgt. Wenn Sie bei diesem Projekt Unterstützung benötigen, nehmen Sie gern Kontakt zu unseren Experten aus dem IT-SERVICE.NETWORK auf.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Neueste Kommentare

Datenschutzfolgeabschätzung ## DSFA gemäß DSGVO | datec24 IT-Systemhaus bei Datenschutzfolgeabschätzung
IT-SERVICE.NETWORK-Team bei Die Blacklist
Die Aufbewahrungsplicht & ihre Mythen ## Wir räumen mit den Top-5-Mythen rund um die GoBD auf | datec24 IT-Systemhaus bei Langzeitarchivierung von Daten wird Pflicht
Leserin bei Die Blacklist
WordPress Sicherheitslücken ## 400.000 Websites durch Plugin-Schwachstellen gefährdet | datec24 IT-Systemhaus bei WordPress Sicherheitslücken