Muster für ein Löschkonzept nach DSGVO in Excel

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Im Gespräch mit Behörden und auch in den Pressemitteilungen der Kontrollorgane, ist oft die Rede davon, dass ein Löschkonzept als einer der wichtigsten Bestandteile der DSGVO-Umsetzung gesehen wird.

Das “Recht auf Vergessenwerden” ist ein wichtiger Grundpfeiler der Datenschutz-Grundverordnung. Grundsätzlich sollten gespeicherte personenbezogene Daten immer dann unverzüglich gelöscht werden;

  • wenn sie nicht mehr genutzt oder benötigt werden,
  • wenn sie keinen Verwendungszweck mehr im Unternehmen haben, also ihr Zweck erfüllt wurde,
  • wenn ein Betroffener dies wünscht

und keine rechtliche oder sonstige Verpflichtung der Löschung entgegensteht.

Dieser Artikel zeigt Ihnen:

  • Wie Sie ein Löschkonzept sinnvoll aufstellen und gestalten,
  • Wie der Gesamtaufbau zu gestalten ist,
  • Wie ein Muster für ein Löschkonzept gem. Datenschutzgesetzgebung aussehen kann.

Identifizieren Sie personenbezogene Daten, die für das Löschkonzept relevant sind

Der erste Schritt sollte sein, dass Sie sich eine Liste von Unterlagen, Programmen, Prozessen und Arten von Daten machen, die für eine Löschung relevant sein können. Diese müssen auf den ersten Blick nicht unbedingt viel mit personenbezogenen Daten zu tun haben.

Dazu können z.B. gehören:

  • Abrechnungsunterlagen,
  • Überstundenlisten oder Lohnbelege.

Darüber hinaus können auch konkrete Datenkategorien benannt werden:

  • Kundendaten,
  • Nutzungsdaten,
  • Kontaktdaten.

Da aber die Aufbewahrungsfristen oft an Dokumenten bzw. ganzen Datensätzen hängen, ist es sinnvoll auch nach diesen das Löschkonzept auszurichten.

Escape Taste Tastatur.

Die DIN-Norm 66398 schreibt darüber hinaus vor, Löschklassen zu bilden, anhand derer dann festgelegt wird, wie zu löschen ist.

Tipp aus der Praxis

Stellen Sie so umfassend wie möglich dar, wo Aufbewahrungspflichten gelten und wo die Unterlagen im Unternehmen auftreten.

Machen Sie sich bewusst, welche Rechtsgrundlagen für Ihr Löschkonzept gelten

Die meisten Unternehmer sind nach Abgabenordnung (AO) dazu verpflichtet, Dokumente mit Belegfunktion 10 bzw. 6 Jahre aufzubewahren. Darüber hinaus ergeben sich aus dem Handelsgesetzbuch (HGB) oder Sozialgesetzen (z.B. dem SGB) weitere, aber zumeist kürzere Aufbewahrungsfristen.

Zu beachten ist, dass für alle Unterlagen die zum Jahresabschluss gehören, die Aufbewahrungsfrist erst mit dem Ende des Kalenderjahres beginnt, in dem das Dokument erstellt bzw. zu Letzt geändert worden ist.

Wenn Sie eine Arztpraxis führen, können sich Aufbewahrungsfristen aus dem BGB ergeben, diese können weit über 10 Jahre hinausgehen, wenn es sich um chronische Erkrankungen und / oder langwierige Behandlungen handelt, bzw. bei Behandlungen nach dem Röntgengesetz.

Darüber hinaus können folgende Gesetze gelten:

  • Banken- und Versicherungsgesetze
  • Produkthaftungsgesetz (ProdHaftG)
  • Erweitertes Steuerrecht (EStG, KStG, GewStG)
  • Zivilrecht (BGB, ZPO)
  • Aktiengesetz (AktG)
  • und viele mehr.
Tipp aus der Praxis

Fragen Sie bei Ihrer Berufsvereinigung nach, wenn Sie sich nicht sicher sind, wie lange Sie personenbezogene Daten aufbewahren dürfen.

Definieren Sie ab wann die Löschung stattfinden kann

Es muss genau festgelegt werden, ab wann die Frist anfängt. Z.B. könnte man Bewerberdaten löschen, wenn das Bewerbungsverfahren beendet ist und die Klagefrist nach AGG abgelaufen ist (§ 61 Abs. 1 ArbGG i.V.m. § 15 AGG). Eine Rechnung mit Belegfunktion könnte 10 Jahre, nach dem der Auftrag abgewickelt wurde und der Jahresabschluss erstellt wurde, gelöscht werden.

Es gibt allerdings eine Vielzahl von Gründen, die eine Löschung notwendig machen können. Art. 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“) nennt einige. Diese können z.B. sein:

Nicht immer darf dann sofort gelöscht werden.

Überlegen Sie also, ab wann es sinnvoll ist, bzw. überhaupt erlaubt ist, Unterlagen zu vernichten.

Tipp aus der Praxis

Oft ist die AO einschlägig und kann im Zweifel, wenn keine anderen Informationen zur Verfügung stehen, als Aufbewahrungsfrist genutzt werden.

Fügen Sie alle Informationen zusammen

Tragen Sie alle Träger von personenbezogenen Daten zusammen und versehen Sie diese mit einer Löschfrist und Rechtsgrundlage.

Die Träger können verschiedenartig sein. Es können Rechnungen, Datenbankeinträge, Papierbelege oder Urkunden sein. Aber auch Bilder oder Tonaufnahmen gehören hier dazu.

Ein sinnvoller Aufbau kann folgender sein:

  • Datum der Erstellung bzw. letzten Überprüfung des Konzeptes.
  • Vorwort, in dem das Ziel des Konzeptes dargestellt wird.
  • Übergangsfristen, die bis zur endgültigen Löschung gelten, also wie Zeit vom Ablauf der Frist bis zur Löschung vergehen darf (idealerweise nicht mehr als 6 Monate).
  • Anweisungen und Prozesse zur Löschung, z.B. die Anweisung, dass gem. DIN 66399 gelöscht wird.
  • Protokollierungsanweisungen, also wie z.B. die Löschung protokolliert und kontrolliert wird.
  • Klärung von Verantwortlichkeiten, also wer überhaupt befugt ist, zu löschen.

Die eigentliche Löschliste kann in drei Spalten aufgeteilt sein:

Bezeichnung des Löschgegenstandes Frist, z.B. in Jahren Geltende Rechtsgrundlage
Ausführliche Beschreibung, was gelöscht werden soll, welcher Prozess betroffen ist, etc.Welche Frist ist anzuwenden? Z.B. 10 Jahre.Ist die Abgabenordnung anzuwenden oder z.B. das Mindestlohngesetz?
Tipp aus der Praxis

Gehen Sie durch Ihr Unternehmen und folgen Sie der “Spur der Daten”, um Medien zu finden, die personenbezogene Daten enthalten können. Hier können Sie Zeit sparen, in dem Sie ein Vorlagenpaket erwerben, dort ist ein Löschkonzept inklusive.

Ein Löschkonzept nach DSGVO erstellen – so geht’s

Anleitung zur Erstellung eines Löschkonzeptes

Gesamtzeit: 2 Tage und 12 Stunden

Finden Sie die Daten im Unternehmen

In ein Löschkonzept gehören nur die Daten, die auch nach DSGVO oder sonstigen Richtlinien relevant sind. Identifizieren Sie im ersten Schritt all diese. Legen Sie am besten genau dar, wo sich die Unterlagen und Daten befinden. Praktisch kann es auch sein, die Daten in Kategorien zu subsummieren.

Finden Sie die Rechtsgrundlagen

Eine Löschung sollte immer dann erfolgen, wenn der Zweck entfallen ist, diese auch weiterhin zu speichern. Oft sind dafür Gesetze, wie z.B. die Abgabenordnung wichtig. Tabellen, welche direkt die Rechtsgrundlagen für die Datenarten enthalten sind hier praktisch.

Fügen Sie die Informationen in ein Konzept zusammen

Nennen Sie den konkreten Löschgegenstand, die Frist zur Löschung und idealerweise die Rechtsgrundlage. Dies alles füllen Sie mit den real in Ihrem Unternehmen anfallenden personenbezogenen Daten.Löschkonzept - Teile zusammenführen.

Führen Sie Löschprotokolle

Sollten besondere Nachweispflichten herrschen oder sollten Sie besonders viele Datensätze löschen müssen, sollten Sie ggf. ein Löschprotokoll führen.

Das Konzept durchführen und in den Alltag einbauen

Wenn das Löschkonzept steht, sollte es auch zur praktischen Anwendung kommen und regelmäßig überprüft werden. Definieren Sie konkrete Umsetzungsregeln und Verantwortlichkeiten im Unternehmen.

Leben Sie das Löschkonzept

Hier kommt der schwierigste Part. Die Löschung muss nämlich auch wirklich erfolgen und das Konzept muss angewendet werden. Dabei ist es wichtig, auch Backups oder Kopien der Daten zu vernichten. Hier darf allerdings abgewägt werden, ob die Löschung von Backups ein zu hoher Aufwand ist.

Unter Umständen müssen Backup von Kundendaten auch aufbewahrt werden, hier ist eine genaue Definition notwendig.

In kleineren Unternehmen kann dies relativ einfach umgesetzt werden, in komplexeren Unternehmen sieht dies schon etwas anders aus.

Backups auf Speicherkarten.

Definieren Sie auch konkrete Umsetzungsregeln und Verantwortlichkeiten, dies beugt Fehlern und Nichteinhaltung vor. Auch eine regelmäßige Überprüfung des Konzeptes ist notwendig, da sich Geschäftsbetrieb und Aufbau schnell ändern können.

Wichtig in diesem Zusammenhang ist es auch, ein Löschprotokoll zu führen. Dort wird genau festgehalten, wann, wie und durch wen gelöscht wurde. So können später genaue Zuordnungen gemacht werden.

Tipp aus der Praxis

Achten Sie schon bei der Anschaffung von Software darauf, dass diese automatisch Löschmechanismen implementiert. Testen Sie Ihre Systeme auch mal und schauen Sie ob sich z.B. ein Datensatz rückstandslos entfernen lässt.

Sonderfall Anonymisierung

Sollten Sie Daten z.B. für statistische Auswertungen gerne länger speichern wollen als gesetzlich notwendig, können Sie diese auch anonymisieren. Dabei muss es aber technisch extrem schwer sein, die Daten wieder einer Person zuzuordnen, damit dies zulässig ist. Die Hürde ist also relativ hoch, diesen Umweg zu nehmen.

Das Muster für ein Löschkonzept

Klicken Sie hier, um die Excel Datei mit drei Beispieldaten herunterzuladen: Klick.

Screenshot Löschprotokoll download inkl. Löschkonzept

Die häufigsten Fragen (FAQ) zum Löschkonzept

Wie detailliert muss ich mein Löschkonzept gestalten?

Grundsätzlich sollten Sie das Löschkonzept nach Ihrer Unternehmensgröße gestalten, d.h. der Umfang variiert, je nachdem, wie viele personenbezogene Daten Sie verarbeiten. Insgesamt bietet es sich allerdings an, eine sehr umfangreiche Liste mit Löschfristen zu erstellen, um für alle Löschersuchen gerüstet zu sein.

Muss ich nur löschen, wenn ein Kunde danach fragt?

Nein, grundsätzlich muss dann gelöscht werden, wenn der Zweck erloschen ist. Das bedeutet, dass Sie Daten nicht beliebig lange speichern dürfen. Eine Rechnung muss dann z.B. nach 10 Jahren gelöscht werden, insofern ihr Zweck erfüllt ist.

Kann ich ein Löschersuchen auch ablehnen?

Ja, insofern z.B. ein Gesetz gegen die Löschung spricht, kann die Löschung verweigert werden. Der Betroffene muss allerdings darüber genau aufgeklärt werden, also weshalb seine Daten nicht gelöscht werden können.

Wann müssen personenbezogene Daten gelöscht werden?

Personenbezogene Daten müssen gem. Artikel 17 Abs. 1 DSGVO immer dann gelöscht werden, wenn die Zwecke für die sie erhoben wurden entfallen sind (z.B. wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind), der Betroffene eine Einwilligung widerruft, Widerspruch gegen eine Datenverarbeitung einlegt oder die Datenerhebung unrechtmäßig erfolgt ist. Unter Umständen können in einzelnen Fällen trotzdem noch rechtliche Verpflichtungen der Löschung entgegenstehen.

Fazit

Ein Löschkonzept zu haben, dass detailliert genug ist, um jedem Mitarbeiter eine Anleitung zur Löschung zur Hand zu geben, ist eine wichtige Komponente der DSGVO Umsetzung. Es einzuhalten ist aber mindestens genau so wichtig.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen:

https://dsgvo-gesetz.de/art-17-dsgvo/

https://dsgvo-gesetz.de/art-5-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto