Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Löschen von Daten in der DSGVO

Löschen von Daten in der DSGVO: Können Sie diese 10 Fragen beantworten?

Löschen von Daten in der DSGVO: Der Überblick

Bei der Verarbeitung von personenbezogenen Daten stellt sich irgendwann die Frage: Wann löschen wir die Daten wieder? Muss unser Unternehmen überhaupt löschen? Wer löscht die Daten in welchen IT-Systemen und aus welchen Aktenordnern und sorgt dafür, dass die Daten nicht mehr rekonstruiert werden? Müssen wir das Löschen auf nachweisen?

Die Löschung von Daten aus IT-Systemen und die Vernichtung von Papierunterlagen ist ein notwendiger Prozess im gesamten Lebenszyklus bei der Verarbeitung von Informationen auf digitalen oder analogen Datenträgern, wie zum Beispiel Papieren, Filmen, DvDs, Festplatten oder SSDs.

Wird die Löschung der Daten nicht durchgeführt, können sich zahlreiche Bedrohungen und Schwach­stellen ergeben. Doch die üblichen Löschvorgänge, die über das Betriebs­systems von Anwendern genutzt werden können, löschen nicht korrekt. Daten können wieder mit einem geringen Aufwand rekonstruiert werden. Daher sind robuste Verfahren erforder­lich, um die Daten wirksam zu löschen.

Folgende Risiken können bei einer falschen oder fehlerhaften Umsetzung beim Löschen von Daten entstehen:

  • – Unzureichende oder übermäßige Löschung von Daten
  • – Unstimmigkeiten im IT-System aufgrund fehlerhafter Datenlöschung
  • – Minderung der Datenqualität oder Verlust durch einen fehlerhaften systemübergreifenden Löschprozess 
  • – Keine, verspätete oder unzureichende Bearbeitung von Löschgesuchen betroffener Personen 
  • – Missachtung anderer Rechtsvorschriften durch voreilige oder verspätete gesetzlich vorgegebene Löschfristen

Wie Sie sehen, ist das Thema sehr umfangreich. Welche Aufgaben Sie im Unternehmen umsetzen müssen – auf dieser Seite erfahren Sie Antworten auf fast alle Fragen.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Löschen von Daten - Definition

Im allgemeinen Sprach­gebrauch beschreibt der Begriff „Löschen“ das Unzugäng­lichmachen von Daten und umfasst damit prinzipiell sowohl reversible wie auch irre­versible Prozesse. Im jurist­ischen Sinne ist Löschen das dauer­hafte „Unkennt­lichmachen“ von gespeich­erten personen­­bezogenen Daten mittels geeigneter Prozesse, die vom irrever­siblen Unzugäng­lich­machen einzelner Daten bis zur physi­kalischen Zerstörung des gesamten Datenträgers (Vernichten) reichen.

Folgende Begriffe spielen beim Löschen von Daten in der DSGVO eine Rolle. Kennen Sie alle Begrifflichkeiten und nutzen Sie diese einheitlich im Unternehmen?

Auf den ersten Blick sehen Sie schon, dass es nicht damit getan ist, eine Speicherdauer im Verzeichnis der Verarbeitungstätigkeiten anzugeben.

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?

Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.

Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist).

In den vergangenen Monaten gab es diverse Bußgelder aufgrund fehlender Konzepte im Bereich Löschen von Daten, die jedoch noch nicht alle rechtskräftig sind.

Denken Sie an die Nachweispflichten!

Ohne die Erstellung eines Löschkonzeptes können Sie die Nachweis­pflichten der DSGVO nicht erfüllen. Die Prüfung, ob das Löschkonzept auch alle Aspekte berücksichtigt, ist daher erforderlich.

10 Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Daten­schutz und beim Löschen von Daten alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutz­beauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

compliance-im-datenschutz

In den meisten Fällen findet man in Unternehmen jedoch weder eine Dokumentation über das Löschen, noch eine Anlehnung an Standards, wie z. B. IT-Grundschutz, das SDM-Modell oder der DIN6639. Kein Wunder, denn für die Erstellung eines Löschkonzeptes muss man sich sehr intensiv mit diesem Themen auseinandersetzen.

Mein Tipp: Suchen Sie sich einen Experten, der sich mit der Erstellung von Löschkonzepten auseinandergesetzt hat.

Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Informationen zum Thema Löschen von Daten

Sie wollen in 4 Schritten ein Löschkonzept in Ihrem Unternehmen umsetzen? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontakt­aufnahme und haben Fragen zum Löschen von Daten, die ggf. schnell beant­wortet werden können?

Typische Verarbeitungstätigkeiten im Unternehmen

In jedem Unternehmen werden personenbezogene Daten  verarbeitet.Diese müssen auch irgendwann gelöscht werden. Das Verzeichnis der Verarbeitungstätigkeiten dient als erste Anlaufstelle. Welche Verarbeitungstätigkeiten haben Sie in Ihrem Unternehmen im Einsatz? Hier finden Sie eine Auswahl typischer Verarbeitungstätigkeiten, deren Daten auch nach Zweckentfall wieder gelöscht werden müssen.

In 4 Schritten zur Umsetzung eines Löschkonzeptes

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie das Thema „Löschen von Daten“ im Unternehmen umsetzen und aktuell halten können.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.

Vorweg: Das Thema der Löschen von Daten kann je nach Unternehmen ein sehr umfangreiches Thema sein. Die DSGVO gibt nur wenig konkrete Hinweise, was Unternehmen in diesem Bereich beachten müssen. 

Das ist auch nachvollziehbar, weil Prozesse in jedem Unternehmen unterschiedlich sind und die Technik sich ständig weiterentwickelt. Die folgenden Fragen ergeben sich schon beim Anfang:

Zunächst holen Sie sich einen Spezialisten, der sich seit vielen Jahren permanent mit dem Löschen von Daten in der DSGVO beschäftigt. Mit einem geringen Zeitaufwand bei Ihren internen Fach­bereichen und externen Dienstleistern werden die erforder­lichen Informationen abgefragt, um einen ersten Über­blick zu erstellen. Zunächst ist eine Bestandsaufnahme erforderlich, um die Datenverarbeitung im Unternehmen zu verstehen. Dann werden die verwendeten analogen und digitalen Informationssysteme, externe Dienstleister sowie die jeweiligen Ansprechpartner zugeordnet.

Beachten Sie das Risiko für die betroffenen Personen!

Die Intensität der Umsetzung eines Löschkonzeptes ist abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Frei­heiten der betroffenen Personen. Das Wissen für die Erstellung von fachge­recht erstellten Konzepten sollten Sie nicht durch interne Beschäftigte oder durch externe Dienst­leister ohne Unter­stützung erstellen. Diese Erfahrung ist neben­beruflich nur schwer zu erlangen.

Eine gute Planung ist notwendig!

Grundsätzlich sind folgende Punkte im ersten Schritt umzusetzen:

  1. Bestimmen Sie einen Projektleiter für das Projekt „Löschen von Daten“, der die notwendigen fachlichen und persönliche Kenntnisse im Projektmanagement, Managementwissen, Produkte, Dienstleistung, Prozesse, Ausdauer und Belastbarkeit, ganzheitliche und nachhaltige Denkweise oder zwischenmenschliche und kommunikative Fähigkeiten mit bringt.
  2. Definieren Sie im Unternehmen Ihre Erwartungen sowie die Aspekte Projektdauer, Termine, Kosten, Inhalt, Umfang und Qualität der Ergebnisse.
  3. Definieren Sie da Projektteam in Zusammenarbeit mit dem Projektleister
  4. Definieren Sie die Vorgehensweise und Art der Dokumentation.
  5. Lassen Sie einen Projektplan erstellen, aus dem die Aufgaben, Abläufe, Termine, Kapazitäten, Kommunikation, Qualität und Risiken hervorgehen.

Schritt 2: Löschkonzept, Inventur und Festlegung der Löschregeln

Nach der Planung des Projektes erfolgt je nach Ablaufplan die Phase der Inventur der Informationen, die zur Erstellung und Umsetzung eines Löschkonzeptes erforderlich sind. Die folgenden Schritte haben sich in der Praxis bewährt.

  1. Erstellen und kommunizieren Sie ein übergreifendes Löschkonzept
    In diesem Löschkonzept wird u. a. die generelle Vorgehensweise dargestellt, verwendete Begrifflichkeiten für das gesamte Unternehmen erklärt, die Rollen und Verantwortlichkeiten und Art und Umfang der Dokumentation festgelegt. Das Löschkonzept wird im Projektteam präsentiert, Aufgaben werden verteilt und das Projekt wird offiziell gestartet. Der Projektleiter begleitet die unterschiedlichen Fachbereiche gem. Projektplanung mit den folgenden Schritten.
  2. Identifizieren Sie personenbezogene Daten der Daten / Datenkategorien 
    Das Verzeichnis der Verarbeitungstätigkeiten des Fachbereiches gilt meist als Einstieg in die Thematik. Dokumentiert werden sollte separat die Kategorien von (besonderen) personenbezogenen Daten, Dauer der Verarbeitung, z. B. gesetzliche oder vertragliche Aufbewahrungsfristen, Angaben zum Datenfluss (Abteilungen, IT-Systeme, analoge Datenträger) und Schnittstellen (weitere Empfänger oder IT-Systeme). Diese Angaben bilden die Basis für die weitere Vorgehensweise.
  3. Zusammenfassung
    Fassen Sie gleiche Datenkategorien und Löschfristen zusammen. Überlegen Sie, ob eine Gliederung von Verarbeitungstätigkeiten, die von Ihnen oder von Auftragsverarbeitern erbracht werden, Sinn ergibt, um die Anzahl der Löschprozesse zu minimieren.
  4. Definieren Sie Löschregeln 
    Definieren Sie für jede Datenverarbeitung Startzeitpunkte, Bearbeitungsphasen und Aufbewahrungsfristen. Schauen Sie, ob Ausnahmen berücksichtigt werden müssen, z. B. bei offenen vertraglichen oder gesetzlichen Themen.
  5. Berücksichtigen Sie Datensicherungen und Archivierung
    Prüfen Sie, ob Datensicherungen und Archivierungen erstellt werden und berücksichtigen Sie diese im Gesamtkontext.
  6. Berücksichtigen Sie Sonderfälle
    Berücksichtigen Sie die Sonderfälle auf Art. 17 DSGVO (z. B. Löschgesuche)
  7. Protokollierung der IT-Systeme
    Vergessen Sie nicht die Protokollierung von Daten, die aufgrund der Datenschutzkontrolle erstellt werden.
  8. Definieren Sie Testläufe, die tatsächliche Umsetzung und die Protokollierung
    Je nach Löschregel ist es erforderlich, einen Testablauf und die tatsächliche Umsetzung durchzuführen. Dokumentieren Sie, wie sichergestellt wird, dass nur die richtigen Daten gelöscht werden, außerplanmäßige Löschungen möglich sind, Rücksicherungen aus dem Backup und dem Archiv berücksichtigt werden und die Löschung (revisionssicher bei Daten mit einem hohen Schutzbedarf) protokolliert wird.
  9. Kontrolle durch den Datenschutzbeauftragten
    Wenn bislang der Datenschutzbeauftragte nicht involviert gewesen sein, sollte vor der Umsetzung die Analyse und Festlegung geprüft werden. Feststellungen können dann noch berücksichtigt werden.

Schritt 3: Umsetzung der Löschregeln

Ob manuelle und automatische Regelungen verwendet werden – nach der Festlegung der Löschregeln erfolgt die Umsetzung. Prüfen Sie, ob die Löschregeln wirksam sind und nicht mehr zu einer Wiederherstellung führen können.

Wenn ein Löschen nicht umsetzbar ist, prüfen Sie, ob Sie durch weitere Maßnahmen die Risiken für betroffene Personen einschränken können, wie z. B. Vernichtung von Schlüsseln, Anonymisierung, Zugriffssperrung, Pseudonymisierung oder das Löschen von Referenzen.

Dokumentieren Sie dann, ob der Löschprozess erfolgreich ist, einschl. des Löschprotokolls. So wissen Sie auch noch in ein paar Monaten, was Sie im Bereich der Löschung der Daten gemacht gaben.

Schritt 4: Regel­mäßige Aktual­isierung der Löschkonzepte

Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass das Löschkonzept im Unternhemen aktuell bleiben. Legen Sie sich das Thema einmal im Jahr auf Wiedervorlage. Je nach Risiko der Verarbeitung für die betroffenen Personen können Sie auch festlegen, dass eine Aktualisierung für bestimmte Bereiche nur alle zwei Jahre erfolgt. 

Veränderungen innerhalb des Kalenderjahres

Sofern sich unterjährig Informationssysteme, interne und externe Beteiligte, Risiken oder Unternehmensziele, der Stand der Technik oder sonstige Rahmenbedingungen ändern, ist ggf. eine unterjährige Anpassung der Löschregeln zwingend erforderlich.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Weitere Details zum Löschen der Daten

Ziele im Datenschutz bei dem Löschen von Daten

Im Datenschutz spielt das Löschen von Daten eine besondere Rolle. Im Lebenszyklus der Daten ist der Abschluss der Datenverarbeitung ein wichtiger Schritt, damit keine Datenfriedhöfe entstehen.

Für betroffene Personen können diverse Nachteile entstehen, wenn der Verantwortliche der Datenverarbeitung keinen Überblick über die Datenverarbeitung mehr hat und nicht mehr benötigte Daten in verschiedenen Systemen ohne Grund speichert. Finden Sie hier die Ziele von Löschkonzepten aus Sicht des Datenschutzes.

Privacy by Design – Löschen der Daten

Schon bevor Sie personenbezogene Daten oder sonstige Informationen verarbeiten oder verarbeiten lassen, sollten Sie sich fragen, wie lange Sie die Daten verarbeiten dürfen und wie Sie die Dauer begründen. IT-Systeme und Prozesse müssen so gestaltet sein, dass der Datenschutz berücksichtigt wird.

Der Vorgang des Löschens sorgt dafür, dass aus den gelöschten Daten selbst mit hohem Aufwand keine Informationen über bestimmte oder bestimmbare Personen mehr gewonnen werden können. Der Informationsgehalt gelöschter Daten darf somit nicht oder nur mit unverhältnismäßig hohem Aufwand reproduzierbar sein.

Die Löschung einer Information ist erst dann vollzogen, wenn auch keine Kopie (wie z.B. Backup oder Datenarchiv) mehr bei dem Verantwortlichen oder einem möglichen Auftragsverarbeiter gespeichert ist. Die Pflicht zur Löschung betrifft daher nicht nur den aktiven Datenbestand, sondern auch personenbezogene Daten in Sicherungs­kopien.

Soweit Protokolldaten personenbezogene Daten enthalten, unterliegen diese ebenso der Löschpflicht. Schließlich ist auch darauf zu achten, dass aus verarbeitungstechnischen Gründen erzeugte temporäre Daten gelöscht werden, soweit diese nicht ohnehin ihrer temporären Natur gemäß vorher automatisch gelöscht werden.

Löschen nach Art. 17 DSGVO: Nach Artikel 17 DSGVO sind personenbezogene Daten ohne Verzögerung zu löschen, wenn z. B. einer der folgenden Punkte zutrifft:

Gibt es gesetzliche Umsetzungsfristen, wie z. B. beim Infektionsschutzgesetz oder bei der Abgabenordnung, sind die Daten unaufgefordert zu löschen, es sei denn, ein weiteres Speichern der Daten kann begründet werden.

Sie haben Verarbeitungen mit einem höheren Schutzbedarf? Dies sollte sich auch im Löschkonzept widerspiegeln. Eine gewissenhafte Planung, Umsetzung und Protokollierung stellt sicher, dass die Löschung der Daten fachgerecht erfolgt. Der Aufwand für z. B. Löschung von Gesundheitsdaten, biometrischen Daten, Daten von Minderjährigen oder Daten, die dem Berufsgeheimnis gem. § 203 StGB unterliegen wird jedoch deutlich höher sein.

Beachten Sie das Risiko bei der Auswahl der Löschmethodik

Für die Löschung kommen, je nach Verarbeitung und dem Schutzbedarf , der Menge der zu löschenden Daten und der Art der Datenträger verschiedene Methoden in zur Löschung in Betracht. Nicht jede Methode ist gleich wirksam. Nachfolgend finden Sie gute und weniger gute Beispiele für Löschmethoden in absteigender Wirksamkeit.

Bei der Durchführung der Löschung ist es wichtig, dass die Daten nicht mehr rekonstruiert werden können. Einige Fragestellen ergeben sich in der täglichen Praxis. Diese Informationen sind eine hervorragende Ergänzung zu den Bausteinen des IT-Grundschutzes und dem SDM-Baustein.

Verschiedene Ebenen der Löschung

Um ein Löschen von Daten fachgerecht zu gestalten, sind verschiedene Ebenen zu betrachten, wie die Datenebene, die Ebene der Systeme und Dienste und die Ebene der dazugehörigen Prozesse. In der folgenden Übersicht aus dem SDM-Modell „Löschen und Vernichten“ finden Sie einzelne Merkmale pro Ebene und was dabei zu beachten ist.

Löschen von Daten: Begriffsdefinitionen

Legen Sie im Unternehmen Begriffe zentral fest, die von allen Fachbereichen einheitlich verstanden und abgewendet werden sollten. Nur wenn alle sich an die entsprechenden Regeln halten, kann ein ganzheitliches und wirksames Löschverzeichnis erstellt werden. Im folgenden werden ein paar Begrifflichkeiten erklärt und mit Beispielen ergänzt

Begriffsdefinitionen

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch beim Löschen von Daten gibt es einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit Ihr Löschkonzept vollständig ist, bleibt und gelebt wird, den richtigen Detailgrad hat und aktuell gehalten wird.

Sie benötigen Unterstützung bei dem „Fundament des Datenschutzes“ ?

Plan

Festlegung von Art, Umfang und Form des Löschkonzeptes

Do

Umsetzung und Dokumentation des Löschkonzeptes, Planung und Priorisierung offener Themen 

Act

Aktualisierung und Anpassung des Löschkonzeptes

Check

Prüfung auf Aktualität und Vollständigkeit des Löschkonzeptes

Weitere Informationen zum Löschen von Daten

Weitere vertiefende Informationen zum Thema „Löschen und Vernichten“ finden Sie beim Bundesamt für Sicherheit in der Informationstechnik und im SDM-Modell der DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder). Auf dieser Seite wurden teilweise Informationen entnommen und vereinfacht dargestellt. 

Quellenvermerk

„Konferenz der unabhängigen Datenschutz­aufsichts­behörden des Bundes und der Länder (Datenschutz­konferenz). Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereit­gestellten Daten sind mit einem Veränderungs­hinweis im Quellen­vermerk zu versehen. Daten­lizenz Deutschland – Namensnennung – Baustein Löschen und Vernichten (www.govdata.de/dl-de/by-2-0).

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen verschiedener Branchen und an verschiedenen Standorten, wie z. B. im Großraum Hamburg seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – das Löschen der dATEN effizient und praxisnah umsetzen

Ich unterstütze Sie bei der Erstellung Ihrer Löschkonzepte. Nutzen Sie meine mehrjährige Expertise, um zügig ein erstes Löschkonzept zu erstellen und auf die erste Verarbeitungstätigkeit anzuwenden.

Buchen Sie ein entsprechendes Modul oder punktuell zur Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung von Löschkonzepten fester Bestandteil.

10 Fragen zum Löschen von Daten

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, ein für jede Verarbeitung personenbezogener Daten ein Löschkonzept zu erstellen und in der Praxis umzusetzen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Unternehmen müssen personenbezogene Daten so speichern, dass sie eine Person nur so lange identifizieren können, wie es für den Verarbeitungszweck notwendig ist.

 

Wichtig: Es muss um einen Zweck gehen, der es auch erlaubt, die Daten zu verarbeiten. Alle anderen vermeint­lichen Zwecke führen dazu, die Daten unzulässig zu verarbeiten. Fällt dieser Zweck weg, etwa weil etwas verjährt oder weil das Vertrags­verhältnis endet, sind die Daten zu löschen, wenn kein berechtigtes Interesse des Unternehmens oder Dritten vorliegt. Ausnahmen finden Sie oben im Text.

Kein Anspruch auf Löschung besteht grundsätzlich dann, wenn die personenbezogenen Daten (weiterhin) erforderlich sind,

  • - um das Recht auf freie Meinungsäußerung und Information auszuüben,
  • - um eine rechtliche Verpflichtung zu erfüllen, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder
  • - um eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
  • - um das öffentliche Interesse im Bereich der öffentlichen Gesundheit zu wahren,
  • - um Archivzwecke, die im öffentlichen Interesse liegen, zu erfüllen, oder
  • - für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder
  • um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Das Recht auf Löschung kann eingefordert werden, wenn die Daten ohne Rechtsgrundlage oder unrechtmäßig erhoben wurden, nicht mehr benötigt werden, die Löschung nach dem Unionsrecht erforderlich ist, der Datennutzung von der betroffenen Person widersprochen oder eine Einwilligung widerrufen wird.

Grundsätzlich können betroffene Personen nach der DSGVO die Löschung ihrer beim Verant­wortlichen gespeicherten personen­bezogenen Daten verlangen. Aller­dings besteht kein unbeschränkter Lösch­anspruch. Von Gesetzes wegen sind Unternehmen dazu verpflichtet, bestimmte Daten­sätze sechs bzw. zehn Jahre lang aufzubewahren (z. B. bei steuer­lichen Aufbewahrungs­fristen gem. §257 Handels­gesetzbuch bzw. §47 Abgaben­ordnung). Die Lösch­pflicht gilt nicht, wenn die personen­bezogenen Daten (weiterhin) erforderlich sind,

  • - um das Recht auf freie Meinungsäußerung und Information auszuüben,
  • - um eine rechtliche Verpflichtung zu erfüllen, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder
  • - um eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
  • - um das öffentliche Interesse im Bereich der öffentlichen Gesundheit zu wahren,
  • - um Archivzwecke, die im öffentlichen Interesse liegen, zu erfüllen, oder
  • - für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder
  • um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.
 

Gem. Art. 5 Abs. 2 DSGVO ist es erforderlich, nachweisen zu können, dass Daten gem. Löschkonzept rechtzeitig und wirksam gelöscht werden.

Grundsätzlich gibt es dabei keine Vorgaben, Sie sollten im Konzept pro Löschvorgang notieren, wie die Löschung protokolliert wird.

 

Es dürfen in den Protokollen auch keine Daten der betroffenen Personen vorhanden sein.

Je höher das Risiko für betroffene Personen ist, z. B. bei Gesundheitsdaten, desto wichtiger ist es, revisionssichere Nachweise zu haben. Die Protokolle sollten auf jeden Fall nicht zu löschen sein. 

Bei personenbezogenen Daten mit einen normalen Schutzbedarf ist auch denkbar, dass eine Einsicht in dem System ausreichend ist, was einmal im Jahr protokolliert wird.

 

Für nicht-öffentliche Unternehmen gibt es keine Vorgaben, so dass eine Speicherfrist von 3 Jahren gem. §31 Ordnungswidrigkeitengesetz vertretbar wäre.

 

Im Bundesdatenschutzgesetz wird im §76 BDSG (Protokollierung) folgende Vorgabe gemacht (jedoch nicht für nicht-öffentliche Unternehmen)

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren: 1. Erhebung, 2.Veränderung, 3.Abfrage, 4.Offenlegung einschließlich Übermittlung, 5. Kombination und 6. Löschung.

 

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

 

(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.

 

(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.

 

(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.

Empfehlenswert ist auf der Baustein OPS.1.1.5 Protokollierung des IT-Grundschutzes des BSI. Hier erhalten Sie weitere Informationen zum Thema Protokollierung.

Im Internet gibt es eine Vielzahl von Aufbewahrungsfristen, die jährlich auf einschlägigen Webseiten veröffentlicht werden.

Ich halte von solchen Listen nicht viel, weil sie nicht immer auf das Unternehmen in den Bereichen passen. Im Rahmen der Ausarbeitung des Löschkonzeptes sollten Sie sich immer genau anschauen, ob die Werte in dem Listen korrekt sind. Bei steuerlichen Fragestellungen sollten Sie immer Ihre Steuerberatung mit einbinden.

Nehmen Sie diese Angaben in den Listen als Ausgangspunkt, um die Anforderungen in Ihrem Unternehmen noch einmal zu prüfen.

- Übersicht relevanter Aufbewahrungsfristen 2022 – REISSWOLF

- Aufbewahrungsfristen von A - Z - IHK Regensburg für Oberpfalz / Kelheim

- Gesetzliche Aufbewahrungsfristen mit Rechtsgrundlagen von A bis Z (Tabelle) (juraforum.de)

Gesetzliche Vorgaben zur Aufbewahrung von Personaldaten während des Vertrages oder nach dem Austritt aus dem Unternehmen gibt es überwiegend nicht.
 
Hier sollten Sie in einem Workshop eine pragmatische Lösung finden, wie die Datenlöschung im Unternehmen umgesetzt werden kann.
Je nachdem,
  • - welche Daten für
  • - welche Zwecke und aufgrund
  • - welcher Rechtsgrundlage verarbeitet werden,
  • - welche IT-Systeme eingesetzt werden,
  • - wie die Aufbau- und Ablauforganisation gestaltet ist,
  • - welche digitalen und analogen Datenträger (z. B. Papier-Personalakte) und
  • - welche Empfänger im Einsatz sind,

wird das Löschkonzept unterschiedlich aussehen. Es kann dabei notwendig sein, z. B. Abmahnungen nach einem Jahr aus bestehenden Personalakten zu löschen oder die Personalakte nach dem Austritt zu verschlanken und steuerlich relevante Unterlagen im Archiv zu speichern. Insbesondere bei dem Thema "Betriebliche Altersversorgung" kann es notwendig sein, Daten auch für Erben dauerhaft zu speichern, um Rentenansprüche aus vertraglichen Gründen erfüllen zu können.

In einem Löschkonzept wird unternehmensintern genau geregelt, wer wann welche Daten (Kundendaten, Mitarbeiterdaten etc.) zu löschen hat, wo die Daten abgespeichert werden (in welchen Anwendungen, Backups, Tabellen etc.) und wie die Löschung durchgeführt und dokumentiert wird.
 
Die Norm DIN 66398 gibt Ihnen dabei eine gute Hilfestellung, wenn Sie sich das Thema selbst erarbeiten wollen. Folgende Fragen sollten Sie mit dem Löschkonzept mindestens beantworten können:
 

1.          

Wird aus dem Löschkonzept generell klar, warum und wann eine Löschung personenbezogener Daten erfolgen muss?

2.      

Werden Sonderfälle beim Löschkonzept berücksichtigt?

a)       Ein Betroffener macht Gebrauch von seinem „Recht auf Vergessen werden“

b)       Ein Datensatz wurde rechtswidrig erhoben.

c)       Eine Aufsichtsbehörde verlangt dies vom Unternehmen.

Das Unternehmen kann verpflichtet werden, alle Löschungen und Änderungen der Daten zu stoppen, wenn z.B. die steuerrechtlichen Dokumente noch in einem ausstehenden Gerichtsverfahren benötigt werden.

3.      

Bei Auftragsverarbeitern: Wenn Sie selbst als Auftragsverarbeiter für ein anderes Unternehmen tätig sind: Bestehen Vorgaben für die Löschung von Datensätzen fest und werden diese in einem Löschprotokoll dokumentiert und dem Verantwortlichen (auf Anfrage) übermittelt?

4.      

Werden alle Datenkategorien, die in der Verarbeitungs­tätigkeit aufgelistet sind, Teil des Löschkonzeptes?

5.      

Wurden Löschregeln pro Datenkategorien festgelegt? Wie lange werden welche Daten gespeichert bzw. wie wird die Frist festgelegt?

6.      

Wurde die Löschfrist an eine gesetzliche Frist gekoppelt? Wenn nein, ist die festgelegte Löschfrist angemessen und nachvollziehbar begründet worden?

7.      

Wurden Vorgaben für die Umsetzung der Löschregeln festgelegt? Wie wird konkret gelöscht?

8.      

Enthält das Konzept Vorgaben für die Dokumentation? Wie wird die Löschung dokumentiert?

Beispiel: Der Verantwortliche dokumentiert die Durchführung des Löschkonzepts und legt es z.B. in einem DMS (digitales Archiv) ab.

9.      

Wurden im Konzept Verantwortlichkeiten festgelegt? Wer ist dafür verantwortlich, dass die Löschung durchgeführt wird? Wer führt die Löschung operativ durch? Wer prüft, ob die Protokollierung umfassend / korrekt und auch durchgeführt worden ist?

10.  

Wurde die konkrete Löschmethodik der Daten beschrieben (Physische Vernichtung, Magnetische Löschung, Technisches Überschreiben/Wipen, Löschen nicht flüchtiger elektronischer Speichermedien bei Solid State Disks, Logische Löschung, Prozess für die Löschung)?

11.  

Wurde technisch sichergestellt und geprüft, dass die Löschung nicht rückgängig gemacht werden kann?

12.  

Sofern Daten zurückgesichert werden können, wird sichergestellt, dass die Daten im nächsten Löschlauf wieder gelöscht werden (Backup)?

Wird die Datensicherung / Rücksicherung ebenfalls im Löschprotokoll dokumentiert?

13.  

Wurden ein Gesamtlöschkonzept definiert und einheitliche Begrifflichkeiten, Standardlöschfristen und Löschmethoden über alle Verarbeitungstätigkeiten definiert?

14.  

Wurde der Datenfluss über ggf. unterschiedliche Datenträger (Ordner/Papier, IT-Systeme, Anwendungen, Sicherungskopien, Serverlaufwerke, Lokale Geräte, Archiv, Datenbanken, Logdateien, mobile Datenträger oder Geräte, Cloud-Daten, Privatgeräte) berücksichtigt?

15.  

Sind im Löschkonzept Testläufe durchgeführt worden, um die Methodik zu prüfen, damit keine Daten unrechtmäßig gelöscht werden?

16.  

Sind Auftragsverarbeiter und Dritte im Löschkonzept berücksichtigt worden?

17.  

Sofern eine Löschung nicht möglich ist, wurden risikominimierende Maßnahmen getroffen (z.B. Anonymisierung, Pseudonymisierung, Schlüsselvernichtung, Zugriffssperrung, Referenzlöschung)?

18.  

Wurden die Beschäftigten in den Lösch- oder Vernichtungsprozess eingewiesen?

19.  

Ist die Struktur der Daten und die Art der Speicherung so gestaltet, dass das Löschen der Inhalte einzelner Datenfelder, Datensätze oder vorher definierter Gruppen von Daten mit beherrschbarem Aufwand möglich ist.

Das Löschen muss möglich sein, ohne die Integrität des verbleibenden Datenbestandes und ohne besondere Zweckbindungsregelungen (bspw. von Protokolldaten, die der Datenschutzkontrolle dienen) zu beeinträchtigen.

20.  

Wird die Löschung protokolliert? Ist sichergestellt, dass keine unnötigen Daten im Protokoll enthalten sind? Wird sichergestellt, dass das Protokoll nicht manipuliert werden kann? (z.B. Logserver)

 

Personenbezogene Daten gelten dann als gelöscht, wenn diese nicht mehr rekonstruiert werden können und die Verarbeitung einer betroffenen Person nicht mehr möglich ist. Die Löschmethode muss so gewählt werden, dass eine Wiederherstellung mit angemessenem Aufwand nicht mehr möglich ist. Der Aufwand richtet sich dabei am Risiko der Verarbeitung, der für die Daten zu bestimmen ist. Je höher das Risiko ist, desto sicherer muss die Löschmethode sein.

Die Daten müssen rückstandslos von allen analogen und digitalen Datenträgern entfernt werden. Eine Anonymisierung ist ebenfalls möglich. Es muss jedoch auch hier sichergestellt werden, dass aufgrund anderer Informationen der Verantwortliche oder andere Empfänger ohne unverhältnismäßigen Aufwand einen Personenbezug wieder herstellen können.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Löschkonzept sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?