Löschkonzepte
Löschkonzepte
27. Februar 2023
Das Recht auf Vergessenwerden
Die DSGVO regelt das Recht, ob und wann personenbezogene Daten gespeichert werden dürfen. Personenbezogene Daten dürfen nur auf einer Rechtsgrundlage verarbeitet werden und sind an den Zweck dieser Grundlage gebunden. Entfällt der Zweck oder ist der Zweck erfüllt, müssen diese Daten gelöscht werden, personenbezogene Daten dürfen nicht unbegrenzt gespeichert werden . Im Art. 17 DSGVO wird dies als Recht auf Vergessen geregelt. Das bedeutet, das es eine Pflicht zum Löschen personenbezogener Daten gibt.
Was ist ein Löschkonzept?
Das Löschkonzept ist eine Festlegung mit Richtliniencharkter durch den Verantwortlichen, wie die rechtskonforme Löschung von personenbezogenen Datenbeständen zu erfolgen hat. Im Löschkonzept wird detailliert geregelt, wer für die Löschung verantwortlich, wann welche Daten zu löschen sind und wo diese Daten gespeichert sind, die gelöscht werden sollen. Außerdem ist im Löchkonzept geregelt wie die Datenlöschung dokumentiert wird und ob, bzw. welche Sonderregelungen zu beachten sind.
Wie erstellt man ein Löschkonzept?
Die Erstellung eines Löschkonzeptes erfolgt schrittweise je nach Umfang und Kompexität der verarbeiteten personenbezogenen Daten, der eingesetzten Systeme und der genutzen Software- und Datenbanklösungen. Die Entwicklung des Konzepts durchläuft dabei die folgenden grundsätzlichen Schritte:
- Feststellen welche personenbezogenen Daten werden verarbeitet
- Einordnen der Daten in Datenkategorien
- Bilden von Löschklassen unter Beachtung von Aufbewahrungsfristen
- Definition von Löschregeln
- Festlegung der Dokumentation von Löschmaßnahmen
- Festlegung von Ausnahmen und Sonderregelungen
Die DIN 66398: Leitlinie zur Entwicklung eines Löschkonzepts
DIN 66398 gibt Empfehlungen für die Inhalte, den Aufbau und die Zuordnung von Verantwortung in einem Löschkonzept für personenbezogene Daten. Die Norm beschreibt umfassend Begriffe, Gundlagen und Vorgehensweisen, aber auch Aufau- und Ablauorganisation für die systematische Entwicklung eines Löschkonzeptes.
Was ist sonst noch zu beachten?
Das Löschkonzept sollte nicht nur elektronische Daten berücksichtigen. Auch Akten, Dokumente und Belege aus Papier können personenbezogene Daten enthalt und sind entsprechend zu vernichten.
Berücksichtigen Sie auch Daten bei Auftragsverarbeitern, bzw. ausgelagerte Daten in der sogenannten Cloud.
Denken Sie an nicht-produktive Datenbestände in Archiven und Sicherungskopie (incl. ausgelagerter Datenbestände).
Das Löschkonzept:
Die Königsdisziplin des Datenschutzes
#2ea3f2
Es gibt keine Löschkonzepte von der Stange. Die zu berücksichtigenden Faktoren sind in ihrer Gesamtheit in jedem Unternehmen einmalig. Die Datenkategorien, Verwendungszwecke, eingesetzten Systeme, verwendeten Anwendungsprogramme und Speicherorte, etc. ergeben soviele Kombinationsmöglichkeiten, das es länger dauert ein ausgearbeitetes Konzept zu finden, als ein bedarfsgerechtes zu erstellen.
Die Verarbeitung von personenbezogenen Daten ist typischerweise auf das gesamte Unternehmen verteilt. Die Verantwortung und die Kenntnis über Aufbewahrungsfristen und Sonderregelungen für diese Daten liegt in verschiedenen Abteilungen. Aber auch die technischen Herausforderungen können zum Problem werden.
Die Entwicklung und Umsetzung eines Löschkonzeptes ist eine komplexe Aufgabe, die der Unterstützung des gesamten Unternehmens bedarf.
In der Praxis hat sich gezeigt, dass es bei komplexen Aufgaben aus mehreren Günden sinnvoll sein kann auf erfahrene externe Dienstleister zurückzugreifen.
Wir unterstützen Sie gerne bei der Konzeption und Entwicklung Ihres Löschkonzeptes.
Kontaktieren Sie uns. Wir machen das für Sie.