Löschkonzept nach DSGVO: So halten Unternehmen Löschfristen systematisch ein

Was ist ein Löschkonzept und warum ist es wichtig?

Mit einem Löschkonzept regeln Unternehmen genau, wer wann welche Daten (Kundendaten, Mitarbeiterdaten etc.) zu löschen hat, wo die Daten gespeichert werden und wie die Löschung ablaufen muss. Das ist vor allem wichtig, um hier Fehler zu vermeiden und entsprechende Konsequenzen im Rahmen der Datenschutzgrundverordnung (DSGVO) zu vermeiden.

Das Löschkonzept DSGVO – wann müssen Daten gelöscht werden?

Grundsätzlich regelt Art. 17 DSGVO die Löschung von Daten, insbesondere von personenbezogenen Daten. Unternehmen müssen personenbezogene Daten löschen, wenn der Zweck für die vorherige Erhebung oder Verarbeitung der Daten das weitere Vorhalten der Daten nicht mehr erfordert oder der Betroffene die Löschung fordert.

Insoweit koppelt die EU-DSGVO die zugelassene Dauer für eine Datenspeicherung direkt an den Zweck der Datenverarbeitung.

Dieser Zweckbindungsgrundsatz bildet einen wesentlichen Eckpfeiler des europäischen Datenschutzrechts. Grundsätzlich dürfen Unternehmen personenbezogene Daten nur für vorher genau umschriebene, eindeutige und legitime Zwecke erheben und verarbeiten. Was die Verarbeitung von Daten angeht, muss diese auch mit dem ursprünglichen Zweck vereinbar sein.

Aus diesem Zweckbindungsrundsatz folgt, dass personenbezogene Daten genau dann zu löschen sind, wenn sie für die ursprünglichen Zwecke der Datenerhebung und -verarbeitung nicht mehr gebraucht werden. Das Thema Löschkonzept ist also ein zentraler Grundpfeiler im Datenschutz. Auch aus diesem Grund haben zahlreiche Unternehmen inzwischen erkannt, dass ein Löschkonzept nach DSGVO und der damit verbundene, korrekte Umgang mit Daten das Vertrauen von Kunden und Partnern stärkt. Proliance bietet eine DSGVO-Beratung, um genau solche Fragen zu klären.

Technische Herausforderungen eines Löschkonzepts

Was sich in der Theorie so einfach anhört, stellt in der Praxis häufig ein Problem dar. Viele Unternehmen verarbeiten eine Vielzahl von einzelnen Datensätzen und sichern diese regelmäßig über Back-Ups ab. Zudem werden Daten oftmals nach Absprache und mit Einwilligung an Dritte weitergegeben oder werden in verschiedenen Systemen oder unterschiedlichen Tabellen abgespeichert. Diese weitergegebenen Daten müssen dann ebenso gelöscht werden wie die Daten in sämtlichen Tabellen und Speicherplätzen.

Die größte Herausforderung besteht darin, Datensicherheit und Löschfristen zusammenzubringen:

• Speichern: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck erforderlich sind.
• Sichern: Gleichzeitig müssen Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Systeme und Daten sicherzustellen (Art. 32 Absatz 1 lit. b DSGVO). Dazu gehören je nach Risiko auch Datensicherungen (Back-Ups) und Wiederherstellungskonzepte.
• Löschen: Die Löschung muss im Produktivsystem zuverlässig möglich sein; bei Back-Ups ist eine selektive Löschung einzelner Datensätze oft nur eingeschränkt praktikabel und sollte im Löschkonzept mit klaren Regeln berücksichtigt werden.

Wir beraten Sie gerne dazu, wie Sie ein DSGVO-konformes System aufsetzen, damit Sie und Ihr Unternehmen datenschutzrechtlich auf der sicheren Seite sind.

Datenschutz frisst Ihre Zeit?
Wir übernehmen das für Sie!

Die technischen Herausforderungen der DSGVO können überwältigend sein. Mit einem externen Datenschutzbeauftragten von Proliance erhalten Sie professionelle Unterstützung, um Ihre Datenschutzanforderungen effizient und rechtssicher umzusetzen.

Zum externen Datenschutzbeauftragten

Das Löschkonzept: Widerspruch der DSGVO elegant lösen

Um den Widerspruch zwischen der Verpflichtung zur Löschung von Daten und der Sicherung von Daten zu lösen, ist ein stringent dokumentiertes und ausgearbeitetes Löschkonzept im Rahmen der DSGVO unverzichtbar.

Das Löschkonzept dokumentiert unter anderem sorgfältig die entsprechende Zweckbestimmung als Basis der Datenerhebung und Verarbeitung. Dabei sollte der Zweck so exakt wie möglich umschrieben werden. Werden beispielsweise Daten von Kunden erhoben, geht es allgemein um den Zweck der Vertragsdurchführung. Im Löschkonzept sollte der Zweck wesentlich genauer definiert werden, weil mit der Beendigung des Vertragsverhältnisses bzw. nach Erreichen des Zwecks die entsprechenden Daten zu löschen sind.

Das gilt ebenso für Mitarbeiterdaten: Mit der Beendigung des Arbeitsverhältnisses sind Daten zu löschen, soweit keine Aufbewahrungs- oder Nachweisgründe entgegenstehen. Erfasst man im Löschkonzept den Zweck der Datenverarbeitung sachgerecht mit der Geltendmachung und Abwehr von Rechtsansprüchen aus dem Arbeitsverhältnis, kann die Datenspeicherung weit über die Dauer des Arbeitsvertrages hinausgehen.

Tipp: Im Magazin erfahren Sie mehr zur Frage, welche Mitarbeiterdaten bei Kündigung zu löschen sind.

Das lässt sich auch auf andere Vertragsverhältnisse des Unternehmens übertragen. Wird etwa in einer Kundenbeziehung der Zweck der Datenerhebung nur mit der Abwicklung des einzelnen Geschäftes bezeichnet, dürfte die Speicherung der Daten nur für eine kurze Zeit legitimiert sein. Auch hier sollte man die Abwicklung weiterer Ansprüche aus dem Vertragsverhältnis abstellen, wenn es um eine längere Speichermöglichkeit geht.

Das fundierte Löschkonzept kann die technischen Schwierigkeiten bei der Löschung einzelner Datensätze nicht lösen. Es bietet aber eine durchdachte Argumentationsgrundlage dafür, dass Daten im Einzelfall länger gespeichert werden müssen. Dabei geht es auch darum, die Anforderungen des Datenschutzes mit den tatsächlichen Lebenssachverhalten zu harmonisieren.

Ist die Dokumentation von Zweckbestimmung und Löschroutine stimmig, können zudem Anfragen durch Aufsichtsbehörden einfach und schnell beantwortet werden.

Was müssen Unternehmen bei der Dokumentation des Löschkonzepts beachten?

Bei der Dokumentation des Löschkonzepts sind eine gute Planung und Struktur wesentliche Bestandteile für das Erreichen von Datenschutzkonformität. Das gilt auch deshalb, weil die Unternehmen die Betroffenen bei der Erhebung von personenbezogenen Daten grundsätzlich darauf hinweisen müssen, wie lange diese Daten gespeichert werden. Selbst wenn diese Speicherdauer bei der Datenerhebung noch unbestimmt ist, muss man unternehmerseitig in der Lage sein, den Dateninhaber über die Grundsätze der Verarbeitungsdauer zu informieren, die man idealerweise in seinem Löschkonzept beachtet hat.

Im Beispiel der Kundenbeziehung kommen Unternehmen zukünftig nicht um den Schritt herum, Kunden bereits bei Vertragsabschluss oder der Kontoerstellung über die Erhebung, Verarbeitung und die Dauer der Datenspeicherung zu informieren. Auch wenn sich mit sorgfältig festgelegten Zwecken im Löschkonzept die entsprechenden Speicherzeiten häufig präziser bestimmen lassen, kommt der Zeitpunkt, zu dem Daten tatsächlich gelöscht werden müssen. Da eine selektive Löschung einzelner Daten auf technische Schwierigkeiten stößt, wird man in einem Löschkonzept entsprechende zeitliche Rhythmen für die Löschung größerer Datenbestände festsetzen. Auch hier ist die konsequente umfassende Dokumentation besonders wichtig, damit genau zu erkennen ist, was, wann, warum und wie endgültig gelöscht wird.

Was muss ein Löschkonzept beinhalten?

Ein Löschkonzept umfasst mehrere Punkte, die folgende Fragen beantworten sollten

• Welche Datenarten werden im Unternehmen erhoben? Hier unterscheiden Sie am besten zwischen verschiedenen Kategorien wie Kundendaten, Mitarbeiterdaten und Partnerdaten.
• Welche Löschfristen gelten? Definieren Sie Löschregeln und konkrete Regeln. Was tritt im Einzelfall in Kraft und wiegt schwerer? Berechtigtes Interesse oder gesetzliche Aufbewahrungsfrist? Wichtig: Mitarbeiterdaten sind anders zu behandeln als Kundendaten. Unterscheiden Sie auch nach Bereichen: Im HR-Bereich fallen andere Daten an als beispielsweise im Marketing. Entsprechend gelten andere Vorgaben.
• Wo existieren zu löschende Daten? Identifizieren Sie die einzelnen Systeme, in denen Daten gespeichert werden und dokumentieren Sie diese. In welchen Back-Ups, Mailinglisten, Exceltabellen und Ticketsystemen verarbeiten Sie personenbezogene Daten? Klären Sie unbedingt, ob die Daten weitergegeben wurden. Denn auch dort müssen nach Ablauf der Aufbewahrungsfrist oder bei Stellung eines Löschungsantrags bzw. nach Ablauf des Verwendungszwecks der Daten alle Datensätze gelöscht werden.
• Wer ist verantwortlich? Bestimmen Sie einen Beauftragten, der sich um die Löschungen kümmert. Zusätzlich dazu einen Stellvertreter, sollte der Hauptverantwortliche ausfallen – bei einer Betroffenenanfrage müssen Sie innerhalb weniger Stunden aktiv werden.
• Sind Löschvorgänge nachvollziehbar? Führen Sie eine geeignete und nachvollziehbare Dokumentation der einzelnen Vorgänge an, damit Sie den Rechenschafts- und Dokumentationspflichten der DSGVO gerecht werden.

Wichtig: Wird in einem Unternehmen ein Löschkonzept etabliert, dann bedeutet dies, dass ALLE Alt-Datenbestände überprüft und dem Konzept unterzogen werden müssen. Das kann viel Zeit in Anspruch nehmen, aber Ihr Unternehmen vor einem unter Umständen teuren Verstoß gegen den Datenschutz bewahren.

Beispiel: Löschmatrix

Die folgende Löschmatrix zeigt auf einen Blick, welche Daten wann zu löschen sind, wo sie gespeichert sind und wie die Löschung nachweisbar erfolgt.

Wichtig: Datenweitergaben an Dienstleister sind als eigene Speicherorte mitzudokumentieren (Löschung dort sicherstellen).

Anleitung: Wie erstellt man ein Löschkonzept?

Es existiert kein universelles Muster für ein Löschkonzept, da ein Löschkonzept nicht nur unternehmensspezifisch, sondern auch Abteilungsspezifisch sehr unterschiedlich ist. Bei der grundlegenden Erstellung eines Löschkonzepts können wir Ihnen dennoch behilflich sein.

• Um ein für Ihr Unternehmen passendes Löschkonzept zu erstellen, gehen Sie zunächst die obenstehenden Fragen Schritt für Schritt durch und arbeiten Sie sich von Unternehmensbereich zu Unternehmensbereich vor. Das ist die beste Annäherung an ein Muster für ein Löschkonzept.
• Nachdem Sie die Fragen beantwortet haben, sollten Sie die Gesetzesgrundlage der jeweiligen Abteilung für die Erhebung und Speicherung von personenbezogenen Daten definieren und an den Beginn des Löschkonzepts stellen. So können Ihre Mitarbeiter sofort auf die relevanten Stellen zugreifen.
• Fertigen Sie nun eine Tabelle an, in der Sie alle relevanten Punkte des Löschkonzepts aufführen. Diese Tabelle muss natürlich ebenfalls an den jeweiligen Unternehmensbereich angepasst sein.

Dieses beispielhafte Löschkonzept-Muster nach DSGVO dient Ihnen lediglich als Orientierungshilfe. Sollten Sie dazu Fragen haben oder Hilfe bei der Umsetzung benötigen, sprechen Sie mit Ihrem Datenschutzbeauftragten oder wenden Sie sich an uns.

Fazit zum Löschkonzept nach DSGVO: Es geht nicht mehr ohne

Kein Unternehmen kommt zukünftig an einem qualifizierten Löschkonzept für personenbezogene Daten vorbei. Das Thema ist komplex und nur schwer über ein einfaches Muster für ein Löschkonzept nach DSGVO abhandeln. Gerade in Bereichen, in denen viele personenbezogene Daten verarbeitet werden, ist ein fundiertes Löschkonzept enorm wichtig und nicht zu unterschätzen, gestaltet sich aber dementsprechend auch oftmals sehr komplex.

Lassen Sie sich jetzt von Proliance entsprechend beraten und bei der Umsetzung Ihres individuellen Löschkonzepts unterstützen. Sie schaffen mit einem Löschkonzept eine der wesentlichen Grundlagen für die Datenschutzkonformität Ihres Unternehmens.