Die Datenschutz-Grundverordnung (DS-GVO) schreibt vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie sie für ihren ursprünglichen Zweck erforderlich sind. Die Rechtsgrundlage für die Speicherbegrenzung personenbezogener Daten findet sich in Art. 5 Abs. (1) lit. e) DS-GVO. Dort heißt es, dass personenbezogene Daten „in einer Form gespeichert werden [müssen], die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“.
Das bedeutet, dass Unternehmen und Organisationen personenbezogene Daten nicht unbegrenzt aufbewahren dürfen, sondern klare Löschfristen und Verfahren festlegen müssen, um den Datenschutzanforderungen – insbesondere der DS-GVO – gerecht zu werden. Ein strukturiertes Löschkonzept stellt sicher, dass Unternehmen Daten systematisch und rechtzeitig entfernen, um Datenschutzrisiken zu minimieren und rechtliche Vorgaben einzuhalten.
Da die DS-GVO zwar die Speicherbegrenzung vorschreibt aber keine konkreten Vorgaben zur praktischen Umsetzung eines Löschkonzepts macht, stehen Unternehmen vor der Herausforderung, ein effektives und rechtssicheres Konzept zu entwickeln.
Ohne ein ausführliches Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine rechtssichere Erstellung des Löschkonzeptes nicht möglich. Das VVT dient als zentrale Grundlage, um die Verarbeitung personenbezogener Daten transparent zu dokumentieren und die jeweiligen Löschfristen sowie Schutzmaßnahmen gezielt abzuleiten.
Das VVT muss zudem auch regelmäßig aktualisiert und überprüft werden, um den gesetzlichen Anforderungen der Datenschutz-Grundverordnung (DS-GVO) sowie weiteren spezifischen Regelungen gerecht zu werden.
Ein brauchbares Löschkonzept sollte folgende Kernaspekte beinhalten:
Um den Datenschutzanforderungen in Bezug auf das Löschen von Daten dauerhaft gerecht zu werden, müssen Unternehmen ihr Löschkonzept regelmäßig überprüfen und an betriebliche Veränderungen, gesetzliche Neuerungen sowie technische Entwicklungen anpassen. Dies gewährleistet eine rechtskonforme und effiziente Datenverwaltung.
Wichtiger Hinweis: Ein erfolgreiches Löschkonzept setzt zwingend ein ausführliches Verzeichnis von Verarbeitungstätigkeiten (VVT) voraus.
Ohne ein solches Verzeichnis ist es nicht möglich, die betroffenen Datenkategorien, deren Speicherorte und die jeweiligen Löschfristen rechtssicher zu bestimmen.
Das VVT dient als zentrale Grundlage, um die Datenverarbeitung transparent zu dokumentieren und die Löschprozesse gezielt zu steuern. Unternehmen müssen daher sicherstellen, dass ihr VVT vollständig und aktuell ist, um die Anforderungen der DIN 66398 sowie der DS-GVO effektiv umzusetzen.
Ohne ein solches Verzeichnis können Unternehmen weder die betroffenen Datenkategorien eindeutig identifizieren noch deren Speicherorte oder Löschfristen rechtssicher festlegen.
Eine vollständige Dokumentation sowie regelmäßige Prüfungen der Löschprozesse sind entscheidend, um gesetzlichen Anforderungen zu entsprechen und ein hohes Datenschutzniveau zu gewährleisten.
Ein gut strukturiertes Löschkonzept, das auf einem detaillierten VVT basiert, stärkt den Datenschutz, reduziert Risiken und unterstützt Unternehmen dabei, die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) rechtssicher zu erfüllen.
- Identifikation der Datenkategorien
Eine dokumentierte Auflistung der verarbeiteten personenbezogenen Daten unter Berücksichtigung ihrer Sensibilität. Hinweis: Ohne ein ausführliches Verzeichnis von Verarbeitungstätigkeiten ist eine rechtssichere Erstellung dieser Auflistung nicht möglich. - Ableitung von Löschfristen
Festlegung der Zeiträume, in denen verschiedene Datenarten entweder gelöscht oder weiterhin aufbewahrt werden müssen. Dies erfolgt unter Berücksichtigung gesetzlicher Vorgaben wie der Abgabenordnung (AO), des Handelsgesetzbuchs (HGB), des Einkommensteuergesetzes (EStG), des Umsatzsteuergesetzes (UStG) sowie arbeitsrechtlicher Vorschriften, die insbesondere die Aufbewahrung von Personalakten und anderen arbeitsbezogenen Dokumenten betreffen.Darüber hinaus sind die Regelungen der Datenschutz-Grundverordnung (DS-GVO) und weitere spezifische gesetzliche Anforderungen maßgeblich. Dabei müssen sowohl gesetzliche Aufbewahrungspflichten als auch die Erfordernisse einer fristgerechten Löschung berücksichtigt werden. - Technische und organisatorische Maßnahmen
Festlegung von Verfahren und Kontrollmechanismen, um sicherzustellen, dass personenbezogene Daten sicher und unwiederbringlich gelöscht werden.Dies umfasst sowohl technische Maßnahmen wie sichere Löschverfahren (z. B. Überschreiben, physische Zerstörung, kryptografische Löschung) als auch organisatorische Maßnahmen. Dazu gehören die klare Festlegung von Verantwortlichkeiten, umfassende Dokumentationspflichten sowie regelmäßige Prüfungen der Löschprozesse, um die Einhaltung des Löschkonzeptes sicherzustellen.Besondere Berücksichtigung finden dabei gesetzliche Vorgaben und Sicherheitsstandards, um Datenschutz- und Compliance-Anforderungen zu erfüllen. - Dokumentation und Nachweisbarkeit
Ein schriftliches Löschkonzept, ergänzt durch detaillierte Protokolle zur Durchführung und Einhaltung der Löschvorgaben, ist essenziell für die Einhaltung rechtlicher und regulatorischer Anforderungen. Eine lückenlose Dokumentation gewährleistet Transparenz, ermöglicht eine effektive Kontrolle der Löschprozesse und dient als Nachweis gegenüber Behörden und internen Prüfstellen. - Verantwortlichkeiten und Kontrollmechanismen
Festlegung der Zuständigkeiten für die korrekte Umsetzung des Löschkonzepts innerhalb des Unternehmens. Dies umfasst die klare Definition von Verantwortlichen, beispielsweise IT-Administratoren oder Fachabteilungen, die für die Einhaltung der Löschvorgaben zuständig sind.Zur Sicherstellung der Compliance werden regelmäßige Prüfungen und Audits durchgeführt, ergänzt durch technische Kontrollmechanismen wie Protokollierung von Löschvorgängen und automatisierte Löschprozesse. Eine transparente Dokumentation und klare Kommunikationswege tragen dazu bei, dass die Löschrichtlinien konsequent umgesetzt und überwacht werden.