Löschkonzept nach DSGVO

Ein Löschkonzept gemäß Art. 17 der DSGVO ist elementarer Bestandteil einer rechtmäßigen Datenverarbeitung. Wann sind Daten zu löschen und wann nicht? Unsere Datenschutzberatung will Klarheit schaffen.

Datenschutz
Inhalt dieser Seite
Zusammengefasst

Die DSGVO setzt in allen Bereichen auf Datensparsamkeit und informationelle Selbstbestimmung. Das bedeutet für Sie (respektive die Verantwortliche Stelle, also das jeweilige Unternehmen): Sie müssen personenbezogene Daten zu definierten Zeitpunkten löschen und hierfür auch ein Löschkonzept vorlegen können.

Leider gibt es kein universelles Muster für ein Löschkonzept, die Beschreibung muss immer der Realität im Unternehmen angepasst werden. Denn der Inhalt des Löschkonzepts hängt davon ab, welche personenbezogenen Daten in Ihrem Unternehmen anfallen, in welcher Form sie vorliegen und welche Vorgaben für diese Daten in Ihrem Betrieb und teils auch in der betreffenden Abteilung gelten.

Das Löschkonzept gehört zu den TOM (technisch-organisatorischen Maßnahmen) Ihres Datenschutz-Konzeptes. Gerne stellen wir Ihnen hier vor, wie Sie zu einem passenden, individuellen Löschkonzept kommen.

Löschkonzept: Wann müssen Daten gelöscht werden?

Wir benötigen Ihre Zustimmung, um hier Videos anzuzeigen!

Wir benutzen YouTube als Drittanbietersoftware, um Ihnen an dieser Stelle Videos präsentieren zu können. Mit Klick auf "Akzeptieren" stimmen Sie der Datenverarbeitung durch YouTube zu.

Grundsätzlich gibt es drei verschiedene Fälle bzw. Zeitpunkte, zu denen Daten gelöscht werden (müssen):

  1.  Das Verlangen des Nutzers,
  2. Das Erreichen und damit der Wegfall des Zwecks der Datenverarbeitung, für die die Einwilligung erteilt wurde (z. B. Kündigung einer Mitgliedschaft),
  3. Der Ablauf von Aufbewahrungsfristen

Je nach Art der Daten hat die Aufbewahrungsfrist Vorrang. Sobald es sich um Daten handelt, die für behördliche Prüfzwecke für einen bestimmten Zeitraum aufbewahrt werden müssen, dürfen Sie diese nicht früher löschen, auch wenn der Nutzer dies verlangt. Auch wenn der Zweck dieser Datenverarbeitung, etwa eine einmalige Bestellung, erfüllt und damit weggefallen ist, muss beispielsweise die Rechnung dafür bis zum Ende der steuerlichen Aufbewahrungsfrist aufbewahrt werden. Die übrigen personenbezogenen Daten des Vorgangs hingegen (Adresse, Bankverbindung etc.) können früher, teils auch sofort gelöscht werden, sofern kein Prozess anhängig ist. Diese Aufteilung von Datensätzen wird auch „Speicherbegrenzung“ genannt und basiert auf Artikel 5 DSGVO. Auf dieser Basis können und sollen auch Teile von Datensätzen gelöscht werden – etwa abgeschlossene Vorgänge in bestehenden Kundendatensätzen oder schriftlichen Akten.

Ihr Löschkonzept muss daher klar definieren, welche Datenarten in Ihrem Unternehmen anfallen, wo diese liegen und wie bzw. wann sie gelöscht werden.

Recht auf Vergessenwerden – was tue ich, wenn ein Betroffener die Löschung seiner Daten verlangt?

Die Nutzer Ihrer Dienstleistungen haben ein gesetzliches Recht darauf, von Ihnen zu erfahren, welche personenbezogenen Daten über sie in Ihrem Unternehmen vorliegen (Auskunftsrecht, Art. 15 DSGVO).

Verlangt ein Nutzer eine Datenauskunft, müssen Sie sämtliche personenbezogenen Daten zu dieser Person aus allen betrieblichen Systemen auslesen und zur Verfügung stellen. Anhand dieser Aufstellung, aber auch unabhängig davon können Ihnen die Nutzer die (weitere) Nutzung aller oder einiger ihrer personenbezogenen Daten untersagen (Widerruf der Einwilligung nach Artikel 17 Absatz 1b DSGVO oder Widerspruch nach Artikel 21 DSGVO). Die betroffenen Personen können Sie als Unternehmen auffordern, falsch erfasste personenbezogene Daten zu korrigieren oder zu löschen (Artikel 7 Absatz 3 DSGVO) – und zwar auch durch Sie vermittelte, auf sie bezogene persönliche Inhalte, etwa Einträge in Suchmaschinen, Bewertungsportalen oder Branchenverzeichnissen. Sollten Sie also Daten an Dritte zur Veröffentlichung weitergeleitet haben, müssen auch diese Dritten die entsprechenden Daten nachweislich korrigieren oder entfernen.

Wichtig: Diese Vorgaben gelten auch rückwirkend für Datenbestände, die vor dem Inkrafttreten der DSGVO erfasst oder zusammengestellt wurden.

§ 35 BDSG über die Berichtigung, Löschung und Sperrung von Daten besagt in Absatz 2 Satz 2:

„Personenbezogene Daten sind zu löschen, wenn

  1. ihre Speicherung unzulässig ist,
  2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
  4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.“

Artikel 17 DSGVO gibt vor, dass personenbezogene Daten unverzüglich zu löschen sind, wenn

  1. der oder die Betroffene dies verlangt bzw. die Einwilligung in die Datenverarbeitung widerruft,
  2. der Zweck, zu dem die Daten erhoben wurden, entfallen ist und
  3. dem keine Aufbewahrungspflichten entgegenstehen.

Außerdem sind personenbezogene Daten bei einer unrechtmäßigen Erhebung/Verarbeitung (etwa Datenerhebung bei Kindern ohne Elterneinwilligung) oder einer rechtlichen Verpflichtung nach Unionsrecht unverzüglich zu löschen.

Unverzüglich bedeutet in diesem Fall, dass der gesamte Löschungsprozess einschließlich Dokumentation und Bestätigung an die betroffene Person nicht länger als einen Monat dauern darf. Sie als Datenverarbeiter müssen also dem Antrag bzw. Widerruf unverzüglich nachkommen, alle Kopien und Sicherungskopien der entsprechenden Daten löschen und dem Antragsteller unverzüglich eine Löschungsbestätigung zur Verfügung stellen.

Müssen einige oder alle Daten noch aufbewahrt werden, z.B. für steuerliche Zwecke, müssen Sie in Ihrem Antwortschreiben die konkreten, noch nicht gelöschten Inhalte sowie die Grundlage und die Dauer der weiteren Speicherung nennen und auf die Möglichkeit einer Beschwerde bei einer Aufsichtsbehörde und eines gerichtlichen Rechtsbehelfs hinweisen. Darüber hinaus müssen Sie bei einer Änderung des Verarbeitungszwecks – dazu gehört auch die bloße Erfüllung der Aufbewahrungspflicht für einen ansonsten abgeschlossenen Vorgang, z.B. Bewerbungsunterlagen abgelehnter Bewerber für den AGG-Nachweis – die personenbezogenen Daten für die weitere Verarbeitung sperren (Art. 18 DSGVO/§ 35 BDSG Abs. 3), so dass nur noch sehr wenige Personen Zugriff auf diese „reinen Archivdaten“ haben und die betroffene Person z.B. keine Werbung, Newsletter o.ä. mehr erhält. Die entsprechende Abwägung, ob und zu welchem Zweck die Daten weiterhin gespeichert werden sollen und wie lange, muss dokumentiert werden. Häufig besteht die Herausforderung jedoch eher darin, Datensätze oder Teile davon selektiv und sicher zu löschen.

Mit dem Löschkonzept, das zwar nicht gesetzlich, aber in der DIN-Richtlinie 66398 definiert ist, vermeiden Sie, dass für jeden Datensatz eine Einzelfallentscheidung getroffen werden muss und erfüllen gleichzeitig die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Wichtig ist, die Beschreibungen stets aktuell zu halten – einige Datenverarbeitungstools können nicht mehr im Einsatz sein oder durch andere ersetzt worden sein, die andere Datenflüsse erzeugen. Hierfür wird die Mitarbeit der Datenschutzbeauftragten dringend empfohlen.

Wie lösche ich Daten und Datenträger DSGVO-konform?

Daten wirklich dauerhaft und unwiederbringlich zu löschen ist gar nicht so einfach. Der Löschprozess muss in Ihrem Konzept daher detailliert dargestellt werden. Es genügt jedenfalls nicht, ausgedruckte Bestellungen wegzuwerfen oder die Dokumente in den elektronischen Papierkorb zu verschieben. Nach rechtlicher Definition müssen gelöschte Daten dauerhaft und irreversibel unkenntlich gemacht werden. Beschreiben Sie daher, wie mit welchen Formen der Datenhaltung umzugehen ist, so dass die personenbezogenen Daten unwiderruflich gelöscht werden sollen (sog. Umsetzungsvorgaben). Hier einige Beispiele, wo personenbezogene Daten zu löschen oder zu vernichten sein könnten:

  1. Papiergebundene Datenhaltung (-> angemessene Vernichtung nach Schutzklassen und Sicherheitsstufen nach DIN 66399 „Vernichtung von Datenträgern“ oder über ein Aktenvernichtungsunternehmen mit Auftragsverarbeitungsvertrag (AVV)),
  2. Daten in lokalen physischen Backup-Systemen, z. B. auf CD oder Festplatten (-> Hardwareentsorgung nach DIN 66399 „Vernichtung von Datenträgern“),
  3. Daten in lokalem Softwaresystem (-> sofortige unwiderrufliche Vernichtung),
  4. Daten in einer externen Cloud (-> sofortige unwiderrufliche Vernichtung nach AVV mit Anbieter),
  5. Daten in Smartphones von Vertriebsmitarbeitenden (-> sofortige unwiderrufliche Löschung)

Je nachdem, welche Datenhaltungen in Ihrem Haus zum Einsatz kommen, müssen Sie alle im Löschkonzept aufführen und die Löschvorgaben definieren. Verfolgen Sie die Datenströme in Ihrem Haus und insbesondere die Ablageorte von Datenkopien, Datenauszügen oder Backups, die ebenfalls gelöscht oder teilgelöscht werden müssen. Die selektive, aber unwiderrufbare Löschung einzelner Datensätze oder Datenfeld-Inhalte ist in vielen Datenmanagement-Systemen nach wie vor ein Problem. Lassen Sie sich zum Einsatz professioneller Datenlöschprogramme beraten, der Standard ist aktuell die mehrfache automatische Überschreibung zu löschender Daten mit Datenmüll.

Wichtig: Überlassen Sie die Datenlöschung oder Datenträgervernichtung einem Dritten, müssen Sie mit ihm einen Auftragsverarbeitungsvertrag (AVV) schließen und diese dokumentieren (Artikel 30 DSGVO).

Welche Aufbewahrungsfristen muss ich im Löschkonzept beachten?

Je nach Dokumententyp (Inhalt) sind bestimmte Dokumente in physischer oder elektronischer Form über einen bestimmten Zeitraum für Prüfungen zur Verfügung zu halten. Es gibt Prüfungen nach HGB, steuerliche und Betriebsprüfungen (Sozial- und Rentenversicherung), die teils unterschiedliche Aufbewahrungsfristen vorsehen. Die Aufbewahrungsfrist beginnt am 1.1. des Jahres, nachdem der datierte Datensatz/das Dokument entstanden ist. Je nach Branche können weitere Aufbewahrungsfristen, etwa für Patientendaten, oder Vorgaben branchenspezifischer Gesetze wie GwG und WpHG relevant werden. Bei offenen Rechtsstreitigkeiten dürfen Daten nicht gelöscht werden, bis die Streitigkeiten beigelegt sind – auch wenn dadurch die gesetzliche Aufbewahrungsfrist überschritten wird.

Hinweis: Der Datenschutzbeauftragte sollte sich die Informationen, welche Aufbewahrungsfristen für Daten vorliegen, von der jeweiligen Abteilung oder Experten zuarbeiten lassen, er hat hierbei keine Entscheidungsbefugnis. In Einzelfällen, etwa bei offenen Rechtsstreitigkeiten, kann die Aufbewahrung länger sein als gesetzlich vorgegeben, weil ein berechtigtes Interesse an einer Speicherung bis zur Klärung des Sachverhalts besteht.

Hier ein nicht abschließender Auszug aus den möglicherweise zu beachtenden Aufbewahrungsfristen:

10 Jahre lang sind beispielsweise folgende Dokumente aufzubewahren (§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1, 4, 4a AO:

6 Jahre lang müssen Sie beispielsweise aufbewahren:

  1. Angebote
  2. Auftragsbestätigungen
  3. Buchführungsprogramm
  4. Mahnungen
  5. Versicherungspolicen
  6. Verträge
  7. An-, Ab- und Ummeldungen der Krankenkassen
  8. Mietunterlagen, Mietverträge (nach Vertragsende)
  9. Patente und Patentunterlagen, nach Ablauf des Patents
  •  

Es gibt noch viele weitere Aufbewahrungsfristen, teils auch sachlich definierte. So müssen Sie z.B. Baugenehmigungen für die gesamte Lebensdauer des Bauwerks aufbewahren, Patientenunterlagen in Krankenhäusern sind 30 Jahre lang aufzubewahren. Hilfreich ist, die gängigsten Grundlagen für die Aufbewahrung und Löschung allen Mitarbeitern der betreffenden Abteilung zu Verfügung zu stellen, damit sie bei Nachfragen sprachfähig sind.

Über die Dauer der Datenspeicherung müssen Sie die betroffene Person bereits bei der Erhebung der personenbezogenen Daten informieren (Artikel 13 Absatz 2 DSGVO). Daher ist die Beschäftigung mit Aufbewahrungsfristen ohnehin sinnvoll, wenn personenbezogene Daten verarbeitet und gespeichert werden sollen.

Nach Ablauf der Aufbewahrungs- und Zweckbindungsfristen müssen Sie die personenbezogenen Daten dann unverzüglich vernichten (lassen) – und zwar ohne dass die betroffenen Personen tätig werden müssen. Hierfür könnten Sie eine Löschroutine verwenden, also automatisierte Löschprozesse nach Ende der Aufbewahrungsfristen. Achten Sie penibel darauf, dass die vorgeschriebenen Fristen eingehalten und die Daten nicht zu früh gelöscht werden, aber nach Fristablauf möglichst sofort! Die Löschprotokolle sind übrigens selbst auch 3 Jahre lang aufzubewahren.

Schritt für Schritt zum eigenen Löschkonzept

So kommen Sie zu einem praxisnahen, individuellen Löschkonzept:

  1. Legen Sie einen Verantwortlichen und einen Stellvertreter für das Löschkonzept und die Durchführung der darin beschriebenen Prozesse fest. Einzelne Aufgaben können auch delegiert werden, benennen Sie dann die einzelnen Zuständigkeiten und die Berichts- und Überwachungswege. Bei Mitarbeiterdaten ist der Betriebsrat zu informieren oder auch zu beteiligen.
  2. Stellen Sie fest, welche Datenarten es in Ihrem Unternehmen gibt – das könnten Sie beispielsweise anhand des Verzeichnisses der Verarbeitungstätigkeiten ermitteln. Gleiche Datenarten können Sie für das Löschkonzept in Gruppen (Mitarbeiterstammdaten, Kundenstammdaten, Geschäftspartnerdaten, Bewerberdaten, Buchungsbelege etc.) zusammenfassen. Bestimmte Daten gehören beispielsweise zu den besonders schützenswerten personenbezogenen Daten und müssen daher gesondert entsorgt/gelöscht werden, sie bilden eines eigene Datenart.
  3. Ermitteln Sie dann den aktuellen Weg der Datenströme in Ihrem Internehmen und auch nach extern – wo werden personenbezogene Daten verarbeitet, wo (teil-)dupliziert, wo gespeichert? Welche Dienstleister müssen informiert werden, wenn Löschanforderungen eintreffen?
  4. Unterscheiden Sie nach Unternehmensbereichen – Mitarbeiterdatensätze im HR-Bereich sehen anders aus als Kundendatensätze im Servicebereich, es besteht z.B. unterschiedlicher Bedarf an Ansteuerbarkeit einzelner Felder.
  5. Ermitteln Sie zunächst die Datengruppen, für die bestimmte AufbewahrungsfristenB. nach HGB, AO, SV- oder Steuerrecht gelten, diese sind für Sie bindend.
  6. Legen Sie für die übrigen Daten die Löschfristen Auf diese Daten ist auch die sofortige Löschung nach Verlangen des Nutzers bzw. nach Wegfall der Erhebungsgrundlage anzuwenden. Entwickeln Sie eine Kennzeichnung von daten, die trotz Ablaufs der Aufbewahrungsfristen weiter aufbewahrt werden müssen, etwa wegen ausstehender Reklamations- oder Gerichtsverfahren.
  7. Beschreiben Sie nun die Löschregeln pro Datenart und Daten(-gruppe). Geben Sie dabei an, welche Objekte (Dateien, Datensätze, Dokumente ö.Ä.) aus welcher Datenart wie lange aufzubewahren und wann auf welche technische Art und Weise und durch wen zu löschen sind. Hier empfiehlt sich eine Löschvorgehensbeschreibung in zwei Schritten:
    1. Nutzerverlangen (z. B. sofortige manuelle Löschung)
    2. Ablauf des Erhebungszwecks (z. B. automatisiertes Vorgehen)
  8. Legen Sie die technischen Abläufe der Datenlöschung in einer Löschanweisung in Form konkreter Umsetzungsregeln fest. Dabei müssen die personenbezogenen Daten aus allen relevanten IT-Systemen, Datenbanken und Anwendungen unwiderruflich gelöscht werden. Beschreiben Sie das Vorgehen bei der zentralen und ggf. auch der dezentralen Datenhaltung, greifen Sie hierbei auf die Mithilfe und Informationen aus Ihrer IT-Abteilung zurück. Entwickeln und dokumentieren Sie auch ein Rollen- und Rechtesystem, wer welche personenbezogenen Daten löschen darf.
  9. Beschreiben Sie das Protokollierungsverfahren. Sie müssen die Löschvorgänge in geeigneter Form dokumentieren.
  10. Im Löschkonzept müssen auch alle eingebundenen externen Dienstleister bei der Verarbeitung und Löschung personenbezogener Daten benannt und mit ihrem Auftragsverarbeitungsvertrag (AVV) aufgeführt werden, die personenbezogene Daten für Ihr Unternehmen verarbeiten oder vernichten. Natürlich müssen auch die externen Dienstleister Ihrem Löschkonzept folgen. Geben Sie ihnen die vorzunehmenden Löschprozesse vor und prüfen Sie die Einhaltung der Löschprozesse bei Ihren Dienstleistern. Lassen Sie sich zudem die Löschprotokolle zu allen für Ihr Unternehmen durchgeführten Löschvorgängen übermitteln, Sie müssen sie gegenüber der betroffenen Person nachweisen können.
  11. Überprüfen Sie das gesamte Löschkonzept regelmäßig – z. B. jährlich – und überarbeiten Sie die Beschreibung aufgrund der realen Löschprozesse.

Damit das Löschkonzept auch in der täglichen Arbeit anwendbar ist, sollte jede betroffene Abteilung einen Auszug daraus erhalten, der die für sie (z. B: Finanzbuchhaltung, HR) vorgegebenen Löschanweisungen enthält.

Ext. Datenschutzbeauftragter für verschiedene Branchen

Jede Branche hat ihre eigenen spezifischen Datenschutzherausforderungen. Bei Cortina Consult bringen wir unsere Expertise ein, um Unternehmen in diesen Herausforderungen zu unterstützen. Wir helfen dabei, datenschutzkonform zu agieren, Risiken zu minimieren und das Vertrauen von Kunden und Partnern zu stärken. Mit uns wird Datenschutz nicht nur zur Pflicht, sondern auch zum Wettbewerbsvorteil.

Wie muss ich löschen, damit es datenschutzkonform ist?

Der Löschvorgang personenbezogener Daten muss protokolliert werden, und zwar aufgeteilt nach automatisierter Routinelöschung und Löschung auf Verlangen einer betroffenen Person bzw. einer Aufsichtsbehörde (Artikel 58 Absatz 2 Buchstabe g DSGVO). In jedem Fall ist zu dokumentieren:

Bei einem Löschverlangen einer betroffenen Person muss zudem aufgenommen werden

Der gesamte Prozess muss spätestens innerhalb eines Monats ab Eingang des Löschverlangens durchlaufen sein, d.h. nach einem Monat muss Ihr Antwortschreiben zum Löschverlangen beim Löschantragsteller eingegangen sein.

Bei der Löschung ganzer Datenträger (Papierakten, USB-Sticks, Festplatten, Server etc.) sollten Sie mit einem qualifizierten Datenvernichtungsunternehmen einen Auftragsverarbeitungsvertrag schließen. Lassen Sie die Vernichtung der Datenträger unter Angabe der Löschmethode in einem Löschprotokoll bestätigen.

Löschkonzept und Negativauskunft

Möglicherweise finden sich in Ihrem Unternehmen keine personenbezogenen Daten zu der Person, die einen Löschantrag gestellt hat. Diese könnten beispielsweise in einem automatisierten Prozess bereits früher gelöscht oder unumkehrbar anonymisiert worden sein oder schlicht nicht vorliegen. In diesem Fall sind Sie dazu verpflichtet, die betroffene Person ebenfalls innerhalb eines Monats über diesen Sachstand zu informieren.

Kein Löschkonzept? Was sind die Konsequenzen?

Die erste Erstellung eines Löschkonzeptes kann sehr aufwändig sein, wenn die bisherige Datenhaltung dezentral organisiert oder nicht klar definiert war. Der Aufwand lohnt sich aber, da die Strafen für Verstöße gegen die DSGVO gerade im Bereich der Datenspeicherung und -löschung sehr hoch ausfallen können (2 bzw. 4 Prozent des weltweiten Jahresumsatzes, mindestens aber 10 Mio. bzw. 20 Mio. Euro, siehe Artikel 83 Absatz 4 und 5 DSGVO). Entsprechend sollte das Löschkonzept auch jederzeit aktuell gehalten werden.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Sie benötigen Support bei der Erstellung eines Löschkonzepts?

Als ext. DSB unterstützen wir Sie bei der Erstellung eines Löschkonzepts unter Berücksichtigung der DSGVO / BDSG-neu.

Die externen Datenschutzbeauftragter der Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Externer Datenschutzbeauftragter
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo