Inhaltsverzeichnis
- Was ist ein Löschkonzept und warum wird es benötigt?
- Datenschutzkonformes Löschkonzept nach DIN 66398 erstellen
- Löschkonzept nach DSGVO – Muster zur Erstellung
- Löschfristen für personenbezogene Daten
Was ist ein Löschkonzept und warum wird es benötigt?
Das Datenschutzrecht verpflichtet Unternehmen, personenbezogene Daten nach einem definierten Zeitraum – insbesondere gesetzlichen Aufbewahrungsfristen – zu löschen bzw. dem Wunsch von Betroffenen nachzugehen, wenn diese ihr Recht auf Vergessenwerden nach Art. 17 DSGVO wahrnehmen. Die DSGVO verschärft diese Pflicht nochmals um die Forderung, dass personenbezogene Daten nur so lange gespeichert werden dürfen, solange sie dem Zweck für die ursprüngliche Datenverarbeitung dienen. Um diesen Löschpflichten datenschutzrechtlich korrekt nachzukommen, sollten Unternehmen ein Löschkonzept bzw. bei größeren Organisationen mehrere Löschkonzepte erstellen.
Das Löschkonzept ist immer auf das jeweilige Unternehmen zugeschnitten und individuell ausgestaltet, weshalb es schwierig ist, eine Vorlage zu geben. Denn neben den gesetzlichen und aufsichtlichen Bestimmungen sind die Bedürfnisse eines Unternehmens wesentlich. Für jedes Unternehmen gelten zunächst die allgemeinen datenschutz-, handels- und steuerrechtlichen gesetzlichen Bestimmungen: Handelsgesetzbuch (HGB), Abgabenordnung (AO) und Datenschutz-Grundverordnung (DSGVO).
Entscheidend ist, dass aus dem Löschkonzept ersichtlich wird, wie personenbezogene Daten kategorisiert werden und nach welchen Verfahren und Prozessen sie gelöscht werden.
Warum wird ein Konzept zur Löschung personenbezogener Daten benötigt?
Trotz der Löschpflichten nach DSGVO (seit Mai 2018) herrscht in vielen Unternehmen immer noch Unsicherheit darüber, welche Daten wann zu löschen sind, wo sich die personenbezogenen Daten befinden und wie sie verteilt wurden. Eine fehlende Struktur kann jedoch sehr teuer werden, wie das Beispiel einer Berliner Immobiliengesellschaft zeigt: Im November 2019 hat eine Datenschutzaufsichtsbehörde das erste Millionenbußgeld in Deutschland in Höhe von 14,5 Millionen Euro verhängt.
Um solche Bußgelder nicht zu riskieren, müssen Unternehmen ein wirksames Löschkonzept erstellen, das detailliert geplant und stringent umgesetzt werden muss.
Der Leitfaden „Löschkonzept nach DSGVO erstellen und anwenden“ erleichtert diese wichtige Aufgabe mit Schritt-für-Schritt-Anleitungen und digitalen Arbeitshilfen.
Datenschutzkonformes Löschkonzept nach DIN 66398 erstellen
Das Deutsche Institut für Normung (DIN) gibt in der Norm DIN 66398 „Leitlinien zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ Empfehlungen hinsichtlich der Erstellung eines Löschkonzepts auch nach DSGVO. Thematisiert werden Inhalte, Aufbau und Zuordnung der Verantwortung. Von großem Mehrwert für Unternehmen ist, dass die DIN 66398 konkrete Vorgehensweisen bezüglich unterschiedlicher Datenarten, Löschfristen und Löschregeln aufzeigt.
Die DIN 66398 macht Vorgaben zur Vorgehensweise bei der Erstellung eines Löschkonzepts. Demnach sollten Unternehmen folgende Überlegungen anstellen und Schritte unternehmen:
- Datenarten, die es im Unternehmen gibt, kategorisieren und deren Aufbewahrungsfristen festlegen.
- Löschregeln für die jeweilige Datengruppe festlegen.
- Konkrete Umsetzungsregeln definieren.
- Die jeweils verantwortlichen Personen für die datenschutzkonforme Umsetzung benennen.
- Prozesse zur Dokumentation ausarbeiten und verbindlich festlegen.
Löschkonzept nach DSGVO – Muster zur Erstellung
Jedem Unternehmen, das ein Löschkonzept erstellt, ist zu empfehlen, einen Datenschutzbeauftragten (DSB) hinzuzuziehen – egal ob extern oder intern. Weil die Erstellung eines Löschkonzepts mit sehr viel Aufwand verbunden ist, sollte rechtzeitig sichergestellt sein, dass die definierten Prozesse auch den Anforderungen der DSGVO entsprechen und sonst keine Datenschutz-Vorgaben verletzen.
Die Erstellung des Löschkonzepts nach DSGVO ist als Startpunkt eines klassischen Management-Kreislaufs zu verstehen. Es ist empfehlenswert, den bekannten Deming-Zyklus „Plan – Do – Check – Act“ anzuwenden. Dann ist das Löschkonzept dem initialen Schritt „Plan“ zuzuordnen. Und so könnte das weitere Vorgehen aussehen:
1. Analyse und erste Strukturierung der personenbezogenen Daten
Weil das Datenschutzmanagement gemäß DSGVO stark prozessorientiert ist und es gerade für eine gute Umsetzbarkeit des Löschkonzepts wichtig ist, Datenkategorien voneinander abgrenzen zu können, empfiehlt es sich, das Verzeichnis der Verarbeitungstätigkeiten (VVT) als Ausgangspunkt heranzuziehen. Ein kostenloses Muster eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO erhalten Sie bei uns.
Das Verzeichnis der Verarbeitungstätigkeiten, das Unternehmen nach Art. 30 DSGVO verpflichtend erstellen müssen, enthält bereits sämtliche Informationen, die benötigt werden:
- verarbeitete Datenkategorien
- jeweils relevante Aufbewahrungs- und Löschfristen
- etwaige Datenempfänger
- eingesetzte Dienstleister- und IT-Systeme
Somit sollte schon klar sein, wann welche Daten zu löschen sind. Dann wird auf die zugehörigen anderen Elemente des Verarbeitungsverzeichnisses eingegangen.
Hinweis: bei größeren Organisationen können Unternehmen je Verarbeitungstätigkeit ein eigenes Löschkonzept erstellen, um die Übersichtlichkeit zu wahren.
Des Weiteren müssen Unternehmen sich folgende Fragen stellen, um die Umsetzung des Löschkonzepts klar gestalten zu können:
- Habe ich einen abschließenden Überblick darüber, welche Datenkategorien im IT-System verarbeitet werden?
- Kann ich wichtige Informationen wie Löschfristen und Rechtsgrundlagen den Daten explizit zuordnen?
- Kenne ich die technischen Möglichkeiten zur Löschung dieser Daten?
2. Planung des konkreten Löschvorgangs
Um das konkrete Vorgehen zur Löschung der personenbezogenen Daten im Löschkonzept zu beschreiben, müssen Unternehmen folgende Fragen beantworten können:
automatisierte Löschung
- Wie funktioniert die Massendatenlöschung je System?
- Nach welchen Regeln werden die zu löschenden Daten bestimmt?
- Erfolgt die Löschung voll automatisiert oder ist ein Vorschlagzwischenschritt notwendig?
- Gibt es fehlende Löschroutinen, sodass eigene Abfragen stattfinden müssen?
- In welcher Frequenz sollte das Löschen der personenbezogenen Daten erfolgen?
manuelle Löschung
- Sind (manuelle) Einzellöschungen möglich, um bspw. auf Anfragen im Rahmen des Art.17 DSGVO eingehen zu können?
- Liegt der manuellen Löschung ein Rollen-/Rechtekonzept zugrunde?
Differenzierung der Daten bzw. Datensätze
- Ist eine differenzierte Löschung der personenbezogenen Daten nach Zweck bzw. Rechtsgrundlage möglich? Das kann insbesondere für die Personalabteilung von Interesse sein, wenn Bewerberdaten oder Daten ausgeschiedenen Personals zu löschen sind.
- Können einzelne Datensätze von der automatisierten Massendatenlöschung ausgenommen werden? Und wie?
Auswertung
- Welche Auswertungsmöglichkeiten (Protokolle, Logs etc.) bietet das IT-System dem Unternehmen bezüglich der automatisierten Löschung?
Hinweis: Neben der Löschung mittels IT-Systemen müssen Unternehmen auch die individuelle Datenverarbeitung (IDV), also die Nutzung von Netzwerkspeichersystemen, berücksichtigen. Hier muss eine organisatorische Regelung im Löschkonzept her. Es ist zu empfehlen, klare Verantwortlichkeiten für die Speicherorte zu vergeben und konkrete Vorgaben zu Löschaktivitäten festzulegen.
3. Protokollierung und Kontrolle der Löschung personenbezogener Daten
Wenn Aufsichtsbehörden oder Betroffene nachfragen, müssen Unternehmen in der Lage sein, die Löschung personenbezogener Daten nachweisen zu können. Deshalb müssen alle Löschvorgänge protokolliert werden. Die Protokollierung hilft außerdem Fehler im System schnell aufzudecken.
IT-Systeme haben in der Regel Basis-Protokollierungs- bzw. Log-Funktionalitäten. Hier ist es meist ausreichend festzulegen, dass regelmäßig ein Report generiert wird. Schwieriger ist es bei den IDV-basierten Löschungen, denn die Protokollierung der Löschungen muss manuell erfolgen. Hier sollte ein Konzept definiert sein, wie Beschäftigte zumindest kurz und knapp festhalten, dass eine zyklisch definierte Löschung sowie Ausnahmelöschungen erfolgt sind.
Die für die Durchführung und Dokumentation der Löschungen verantwortliche Person sollte stichprobenartig oder regelmäßig die Umsetzung des Löschkonzepts kontrollieren. Das Ergebnis des Kontrollprozesses muss immer ein Maßnahmenplan inkl. Umsetzungsplan sein.
Sollten sich bestimmte Optimierungsmaßnahmen als so schwierig erweisen, dass sie intern nicht gelöst werden können, ist es zu empfehlen sich externe Lösungskompetenz zu holen. Auch in anderen Bereichen des Datenschutzes – etwa bei der Datenschutzfolgenabschätzung oder bei Datenpannen – werden interdisziplinäre Teams empfohlen.
4. Verantwortlichkeiten im Löschkonzept festlegen
Im Zuge der Erstellung des Löschkonzepts und im Rahmen einer lückenlosen Umsetzung im Sinne des Datenschutzes ist es entscheidend, verantwortliche Personen zu benennen. Die Beschreibung der im Löschprozess relevanten Personen ist wichtig, um die Verantwortlichkeit klar zu regeln und das Commitment der damit betrauten Funktionsträger zu festigen. Es bringt dabei nichts, theoretische Wunschstrukturen zu bilden. Unternehmen sollen die bereits existierenden Funktionen im Löschkonzept berücksichtigen.
Da die Verarbeitungstätigkeiten oft bestimmten Abteilungen zuordenbar sind, ist es naheliegend, die Verantwortung für reibungslose Löschprozesse der Abteilungsleitung zu übergeben.
Nicht zu vergessen: Auch die Verantwortlichen für den technischen Prozess sind zu bestimmen. Hier bieten sich Vertreter aus der IT-Abteilung an, denen die Betreuung des Systems unterliegt.
Löschfristen für personenbezogene Daten
Die Löschfristen aus der DSGVO sind eng mit den Aufbewahrungsfristen aus anderen Rechtsgebieten verbunden. Für den Datenschutz relevante Lösch- bzw. Aufbewahrungsfristen finden sich in zahlreichen Gesetzen und Verordnungen, z. B. § 630 f BGB, § 147 AO, § 257 HGB, § 28 f SGB oder § 15 AGG. Auch im neuen Bundesdatenschutzgesetz (BDSG) befinden sich Löschvorgaben.
Nur als Beispiel herausgepickt, sind für die Personalabteilung relevante Löschfristen folgende:
Daten in der Personalabteilung | Löschfrist |
Personalakten | Löschung 10 Jahre nach Ausscheiden; nimmt der Mitarbeiter eine betriebliche Altersvorsorge in Anspruch nach 30 Jahren. |
Bewerberunterlagen | Wird der Bewerber abgelehnt, muss die Löschung seiner personenbezogenen Daten nach spätestens 6 Monaten erfolgen. |
Lohn- und Gehaltsabrechnungen | Lohn- und Gehaltsabrechnungen sind nach 10 Jahren zu löschen. |
Arbeitszeugnisse | Löschung nach 3 Jahren. |
Krankmeldungen | Löschung nach 5 Jahren. |
Dies sind nur ausgewählte Beispiele für Daten, die für die Verarbeitungstätigkeiten der Personalabteilung im Löschkonzept zu berücksichtigen sind.
Quellen: „Infodienst Datenschutz für Praktiker“, Beuth.de