Im Gespräch mit Behörden und auch in den Pressemitteilungen der Kontrollorgane, ist oft die Rede davon, dass ein Löschkonzept als einer der wichtigsten Bestandteile der DSGVO-Umsetzung gesehen wird.
Das “Recht auf Vergessenwerden” ist ein wichtiger Grundpfeiler der Datenschutz-Grundverordnung. Grundsätzlich sollten gespeicherte personenbezogene Daten immer dann unverzüglich gelöscht werden;
- wenn sie nicht mehr genutzt oder benötigt werden,
- wenn sie keinen Verwendungszweck mehr im Unternehmen haben, also ihr Zweck erfüllt wurde,
- wenn ein Betroffener dies wünscht
und keine rechtliche oder sonstige Verpflichtung der Löschung entgegensteht.
Dieser Artikel zeigt Ihnen:
- Wie Sie ein Löschkonzept sinnvoll aufstellen und gestalten,
- Wie der Gesamtaufbau zu gestalten ist,
- Wie ein Muster für ein Löschkonzept gem. Datenschutzgesetzgebung aussehen kann.
Inhalte
- Identifizieren Sie personenbezogene Daten, die für das Löschkonzept relevant sind
- Machen Sie sich bewusst, welche Rechtsgrundlagen für Ihr Löschkonzept gelten
- Definieren Sie ab wann die Löschung stattfinden kann
- Fügen Sie alle Informationen zusammen
- Ein Löschkonzept nach DSGVO erstellen – so geht’s
- Leben Sie das Löschkonzept
- Sonderfall Anonymisierung
- Das Muster für ein Löschkonzept
- Die häufigsten Fragen (FAQ) zum Löschkonzept
- Fazit
- Quellen:
Identifizieren Sie personenbezogene Daten, die für das Löschkonzept relevant sind
Der erste Schritt sollte sein, dass Sie sich eine Liste von Unterlagen, Programmen, Prozessen und Arten von Daten machen, die für eine Löschung relevant sein können. Diese müssen auf den ersten Blick nicht unbedingt viel mit personenbezogenen Daten zu tun haben.
Dazu können z.B. gehören:
- Abrechnungsunterlagen,
- Überstundenlisten oder Lohnbelege.
Darüber hinaus können auch konkrete Datenkategorien benannt werden:
- Kundendaten,
- Nutzungsdaten,
- Kontaktdaten.
Da aber die Aufbewahrungsfristen oft an Dokumenten bzw. ganzen Datensätzen hängen, ist es sinnvoll auch nach diesen das Löschkonzept auszurichten.
Die DIN-Norm 66398 schreibt darüber hinaus vor, Löschklassen zu bilden, anhand derer dann festgelegt wird, wie zu löschen ist.
Stellen Sie so umfassend wie möglich dar, wo Aufbewahrungspflichten gelten und wo die Unterlagen im Unternehmen auftreten.
Machen Sie sich bewusst, welche Rechtsgrundlagen für Ihr Löschkonzept gelten
Die meisten Unternehmer sind nach Abgabenordnung (AO) dazu verpflichtet, Dokumente mit Belegfunktion 10 bzw. 6 Jahre aufzubewahren. Darüber hinaus ergeben sich aus dem Handelsgesetzbuch (HGB) oder Sozialgesetzen (z.B. dem SGB) weitere, aber zumeist kürzere Aufbewahrungsfristen.
Zu beachten ist, dass für alle Unterlagen die zum Jahresabschluss gehören, die Aufbewahrungsfrist erst mit dem Ende des Kalenderjahres beginnt, in dem das Dokument erstellt bzw. zu Letzt geändert worden ist.
Wenn Sie eine Arztpraxis führen, können sich Aufbewahrungsfristen aus dem BGB ergeben, diese können weit über 10 Jahre hinausgehen, wenn es sich um chronische Erkrankungen und / oder langwierige Behandlungen handelt, bzw. bei Behandlungen nach dem Röntgengesetz.
Darüber hinaus können folgende Gesetze gelten:
- Banken- und Versicherungsgesetze
- Produkthaftungsgesetz (ProdHaftG)
- Erweitertes Steuerrecht (EStG, KStG, GewStG)
- Zivilrecht (BGB, ZPO)
- Aktiengesetz (AktG)
- und viele mehr.
Fragen Sie bei Ihrer Berufsvereinigung nach, wenn Sie sich nicht sicher sind, wie lange Sie personenbezogene Daten aufbewahren dürfen.
Definieren Sie ab wann die Löschung stattfinden kann
Es muss genau festgelegt werden, ab wann die Frist anfängt. Z.B. könnte man Bewerberdaten löschen, wenn das Bewerbungsverfahren beendet ist und die Klagefrist nach AGG abgelaufen ist (§ 61 Abs. 1 ArbGG i.V.m. § 15 AGG). Eine Rechnung mit Belegfunktion könnte 10 Jahre, nach dem der Auftrag abgewickelt wurde und der Jahresabschluss erstellt wurde, gelöscht werden.
Es gibt allerdings eine Vielzahl von Gründen, die eine Löschung notwendig machen können. Art. 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“) nennt einige. Diese können z.B. sein:
- Widerspruch des Betroffenen
- Unrechtmäßige Speicherung
- Widerruf einer Einwilligung.
Nicht immer darf dann sofort gelöscht werden.
Überlegen Sie also, ab wann es sinnvoll ist, bzw. überhaupt erlaubt ist, Unterlagen zu vernichten.
Oft ist die AO einschlägig und kann im Zweifel, wenn keine anderen Informationen zur Verfügung stehen, als Aufbewahrungsfrist genutzt werden.
Fügen Sie alle Informationen zusammen
Tragen Sie alle Träger von personenbezogenen Daten zusammen und versehen Sie diese mit einer Löschfrist und Rechtsgrundlage.
Die Träger können verschiedenartig sein. Es können Rechnungen, Datenbankeinträge, Papierbelege oder Urkunden sein. Aber auch Bilder oder Tonaufnahmen gehören hier dazu.
Ein sinnvoller Aufbau kann folgender sein:
- Datum der Erstellung bzw. letzten Überprüfung des Konzeptes.
- Vorwort, in dem das Ziel des Konzeptes dargestellt wird.
- Übergangsfristen, die bis zur endgültigen Löschung gelten, also wie Zeit vom Ablauf der Frist bis zur Löschung vergehen darf (idealerweise nicht mehr als 6 Monate).
- Anweisungen und Prozesse zur Löschung, z.B. die Anweisung, dass gem. DIN 66399 gelöscht wird.
- Protokollierungsanweisungen, also wie z.B. die Löschung protokolliert und kontrolliert wird.
- Klärung von Verantwortlichkeiten, also wer überhaupt befugt ist, zu löschen.
Die eigentliche Löschliste kann in drei Spalten aufgeteilt sein:
Bezeichnung des Löschgegenstandes | Frist, z.B. in Jahren | Geltende Rechtsgrundlage |
---|---|---|
Ausführliche Beschreibung, was gelöscht werden soll, welcher Prozess betroffen ist, etc. | Welche Frist ist anzuwenden? Z.B. 10 Jahre. | Ist die Abgabenordnung anzuwenden oder z.B. das Mindestlohngesetz? |
Gehen Sie durch Ihr Unternehmen und folgen Sie der “Spur der Daten”, um Medien zu finden, die personenbezogene Daten enthalten können. Hier können Sie Zeit sparen, in dem Sie ein Vorlagenpaket erwerben, dort ist ein Löschkonzept inklusive.
Ein Löschkonzept nach DSGVO erstellen – so geht’s
Anleitung zur Erstellung eines Löschkonzeptes
Gesamtzeit: 2 Tage und 12 Stunden
Finden Sie die Daten im Unternehmen
In ein Löschkonzept gehören nur die Daten, die auch nach DSGVO oder sonstigen Richtlinien relevant sind. Identifizieren Sie im ersten Schritt all diese. Legen Sie am besten genau dar, wo sich die Unterlagen und Daten befinden. Praktisch kann es auch sein, die Daten in Kategorien zu subsummieren.
Finden Sie die Rechtsgrundlagen
Eine Löschung sollte immer dann erfolgen, wenn der Zweck entfallen ist, diese auch weiterhin zu speichern. Oft sind dafür Gesetze, wie z.B. die Abgabenordnung wichtig. Tabellen, welche direkt die Rechtsgrundlagen für die Datenarten enthalten sind hier praktisch.
Fügen Sie die Informationen in ein Konzept zusammen
Nennen Sie den konkreten Löschgegenstand, die Frist zur Löschung und idealerweise die Rechtsgrundlage. Dies alles füllen Sie mit den real in Ihrem Unternehmen anfallenden personenbezogenen Daten.
Führen Sie Löschprotokolle
Sollten besondere Nachweispflichten herrschen oder sollten Sie besonders viele Datensätze löschen müssen, sollten Sie ggf. ein Löschprotokoll führen.
Das Konzept durchführen und in den Alltag einbauen
Wenn das Löschkonzept steht, sollte es auch zur praktischen Anwendung kommen und regelmäßig überprüft werden. Definieren Sie konkrete Umsetzungsregeln und Verantwortlichkeiten im Unternehmen.
Leben Sie das Löschkonzept
Hier kommt der schwierigste Part. Die Löschung muss nämlich auch wirklich erfolgen und das Konzept muss angewendet werden. Dabei ist es wichtig, auch Backups oder Kopien der Daten zu vernichten. Hier darf allerdings abgewägt werden, ob die Löschung von Backups ein zu hoher Aufwand ist.
Unter Umständen müssen Backup von Kundendaten auch aufbewahrt werden, hier ist eine genaue Definition notwendig.
In kleineren Unternehmen kann dies relativ einfach umgesetzt werden, in komplexeren Unternehmen sieht dies schon etwas anders aus.
Definieren Sie auch konkrete Umsetzungsregeln und Verantwortlichkeiten, dies beugt Fehlern und Nichteinhaltung vor. Auch eine regelmäßige Überprüfung des Konzeptes ist notwendig, da sich Geschäftsbetrieb und Aufbau schnell ändern können.
Wichtig in diesem Zusammenhang ist es auch, ein Löschprotokoll zu führen. Dort wird genau festgehalten, wann, wie und durch wen gelöscht wurde. So können später genaue Zuordnungen gemacht werden.
Achten Sie schon bei der Anschaffung von Software darauf, dass diese automatisch Löschmechanismen implementiert. Testen Sie Ihre Systeme auch mal und schauen Sie ob sich z.B. ein Datensatz rückstandslos entfernen lässt.
Sonderfall Anonymisierung
Sollten Sie Daten z.B. für statistische Auswertungen gerne länger speichern wollen als gesetzlich notwendig, können Sie diese auch anonymisieren. Dabei muss es aber technisch extrem schwer sein, die Daten wieder einer Person zuzuordnen, damit dies zulässig ist. Die Hürde ist also relativ hoch, diesen Umweg zu nehmen.
Das Muster für ein Löschkonzept
Klicken Sie hier, um die Excel Datei mit drei Beispieldaten herunterzuladen: Klick.
Die häufigsten Fragen (FAQ) zum Löschkonzept
Wie detailliert muss ich mein Löschkonzept gestalten?
Grundsätzlich sollten Sie das Löschkonzept nach Ihrer Unternehmensgröße gestalten, d.h. der Umfang variiert, je nachdem, wie viele personenbezogene Daten Sie verarbeiten. Insgesamt bietet es sich allerdings an, eine sehr umfangreiche Liste mit Löschfristen zu erstellen, um für alle Löschersuchen gerüstet zu sein.
Muss ich nur löschen, wenn ein Kunde danach fragt?
Nein, grundsätzlich muss dann gelöscht werden, wenn der Zweck erloschen ist. Das bedeutet, dass Sie Daten nicht beliebig lange speichern dürfen. Eine Rechnung muss dann z.B. nach 10 Jahren gelöscht werden, insofern ihr Zweck erfüllt ist.
Kann ich ein Löschersuchen auch ablehnen?
Ja, insofern z.B. ein Gesetz gegen die Löschung spricht, kann die Löschung verweigert werden. Der Betroffene muss allerdings darüber genau aufgeklärt werden, also weshalb seine Daten nicht gelöscht werden können.
Wann müssen personenbezogene Daten gelöscht werden?
Personenbezogene Daten müssen gem. Artikel 17 Abs. 1 DSGVO immer dann gelöscht werden, wenn die Zwecke für die sie erhoben wurden entfallen sind (z.B. wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind), der Betroffene eine Einwilligung widerruft, Widerspruch gegen eine Datenverarbeitung einlegt oder die Datenerhebung unrechtmäßig erfolgt ist. Unter Umständen können in einzelnen Fällen trotzdem noch rechtliche Verpflichtungen der Löschung entgegenstehen.
Fazit
Ein Löschkonzept zu haben, dass detailliert genug ist, um jedem Mitarbeiter eine Anleitung zur Löschung zur Hand zu geben, ist eine wichtige Komponente der DSGVO Umsetzung. Es einzuhalten ist aber mindestens genau so wichtig.