Das DSGVO-konforme Löschkonzept

22.05.2019

​

Für die Erfüllung der datenschutzrechtlichen Pflichten zur Löschung von personenbezogenen Daten („gesetzeskonformes Löschen“) sollte die verantwortliche Stelle ein einheitliches Konzept etablieren, welches sowohl die Definition von Löschregeln für sämtliche relevante Datenbestände als auch die Festlegung von Verantwortlichkeiten für die Umsetzung der sich daraus ergebenden Aufgaben beinhaltet.

​

Sämtliche Organisationseinheiten im Geltungsbereich der DSGVO sind verpflichtet für alle relevanten Prozesse bzw. Aktivitäten und damit in Verbindung stehenden Datensätzen, nach Ablauf der Aufbewahrungsfristen und innerhalb der definierten Löschfristen für die nachweisliche Löschung personenbezogener Daten zu sorgen. Damit soll ein gesamthafter Prozess etabliert werden, welcher es ermöglicht nach definierten Kriterien ein einheitliches Löschkonzept innerhalb der Organisation zu verfolgen um eine datenschutzkonforme Verarbeitung personenbezogener Daten von der Erhebung bis zur Vernichtung zu gewährleisten.

 

Personenbezogene Daten gelten dann als gelöscht, wenn diese nicht mehr vorhanden sind bzw. unkenntlich gemacht wurden und somit nicht mehr verwendet werden können. Es besteht daher auch die Möglichkeit Daten zu anonymisieren anstatt diese zu löschen. Besteht kein Personenbezug mehr, gelten auch die datenschutzrechtlichen Löschfristen nicht. In Ausnahmefällen besteht ebenso die Möglichkeit den Zugriff auf personenbezogene Daten einzuschränken, sofern eine Löschung aufgrund der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

 

Ein Löschkonzept lässt sich grob in 3 Phasen unterteilen:

 

1. Im ersten Schritt müssen anhand exemplarischer Datenarten eine möglichste geringe Anzahl an Standardlöschfristen für die Löschung personenbezogener Daten definiert werden. Werden diese Standardlöschfristen mit drei Startzeitpunkten kombiniert, ergeben sich daraus die Löschklassen innerhalb der Organisation. 
    

2. Im nächsten Schritt müssen sämtliche personenbezogene Datenarten in die definierten Löschklassen eingeordnet werden. Daraus lassen sich systematisch konkrete Löschregeln ableiten. 
    

3. Aus der Sammlung aller definierten Löschregeln werden Umsetzungsvorgaben für konkrete Datenbestände abgeleitet und in weiterer Folge implementiert.

 

 

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

(Abbildung: Auszug zum strukturierten Vorgehen im Löschkonzept)

 

 

Die Umsetzung eines Löschkonzepts erfordert die Betrachtung sämtlicher Organisationseinheiten eines Verantwortlichen und ist daher in Abstimmung mit den jeweiligen fachlichen Ansprechpartnern und technischen Applikationsverantwortlichen zu erarbeiten. Jede Organisationseinheit verarbeitet personenbezogene Daten zu unterschiedlichen Zwecken, welche sich wiederum auf unterschiedliche Rechtsgrundlagen stützen und somit verschiedenen Löschfristen unterliegen. Sämtliche für das Löschkonzept relevante Informationen liegen bereits, durch die Erhebung von Verarbeitungstätigkeiten, innerhalb der Organisation vor und müssen lediglich in einer strukturierten Art und Weise miteinander in Verbindung gebracht werden.

 

Unser strukturierter Erhebungsbogen leistet hierbei gute Dienste.

 

Um eine ganzheitliche Umsetzung des Löschkonzepts zu ermöglichen, ist es daher erforderlich klare Verantwortlichkeiten in den Organisationseinheiten zu definieren, welche zentrale Aufgaben im Zuge der Erstellung spezifischer Vorgaben für die Umsetzung wahrnehmen.

​

​secriso Consulting verfügt über alle notwendigen Dokumentationsvorlagen aber auch Tools, damit Unternehmen oder auch öffentliche Stellen der Verpflichtung zur Datenlöschung rechtskonform und vor allem praxistauglich nachkommen können. Orientiert haben wir uns dabei an anerkannten Standards zur Datenlöschung.

​

​

​

Sie brauchen Unterstützung bei Ihrem Löschkonzept?

Kontaktieren Sie uns doch einfach unter 0463/276 376 oder via office@secriso.com.

​

​

 

​