Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Löschen von Daten in der DSGVO
Löschen von Daten in der DSGVO: Können Sie diese 10 Fragen beantworten?
Löschen von Daten in der DSGVO: Der Überblick
Bei der Verarbeitung von personenbezogenen Daten stellt sich irgendwann die Frage: Wann löschen wir die Daten wieder? Muss unser Unternehmen überhaupt löschen? Wer löscht die Daten in welchen IT-Systemen und aus welchen Aktenordnern und sorgt dafür, dass die Daten nicht mehr rekonstruiert werden? Müssen wir das Löschen auf nachweisen?
Die Löschung von Daten aus IT-Systemen und die Vernichtung von Papierunterlagen ist ein notwendiger Prozess im gesamten Lebenszyklus bei der Verarbeitung von Informationen auf digitalen oder analogen Datenträgern, wie zum Beispiel Papieren, Filmen, DvDs, Festplatten oder SSDs.
Folgende Risiken können bei einer falschen oder fehlerhaften Umsetzung beim Löschen von Daten entstehen:
- – Unzureichende oder übermäßige Löschung von Daten
- – Unstimmigkeiten im IT-System aufgrund fehlerhafter Datenlöschung
- – Minderung der Datenqualität oder Verlust durch einen fehlerhaften systemübergreifenden Löschprozess
- – Keine, verspätete oder unzureichende Bearbeitung von Löschgesuchen betroffener Personen
- – Missachtung anderer Rechtsvorschriften durch voreilige oder verspätete gesetzlich vorgegebene Löschfristen
Wie Sie sehen, ist das Thema sehr umfangreich. Welche Aufgaben Sie im Unternehmen umsetzen müssen – auf dieser Seite erfahren Sie Antworten auf fast alle Fragen.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Löschen von Daten - Definition
Folgende Begriffe spielen beim Löschen von Daten in der DSGVO eine Rolle. Kennen Sie alle Begrifflichkeiten und nutzen Sie diese einheitlich im Unternehmen?
Auf den ersten Blick sehen Sie schon, dass es nicht damit getan ist, eine Speicherdauer im Verzeichnis der Verarbeitungstätigkeiten anzugeben.
- Aufbewahrungsfrist
- Vorhaltefrist
- Startzeitpunkt
- Löschfrist
- Löschregel
- Löschmethode
- Risikominimierende Maßnahmen
- Speicherorte
- Löschgesuch
- Protokollierung
Beachten Sie mögliche Sanktionen!
Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?
Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahresumsatz oder 10.000.000 Euro, je nachdem was höher ist).
In den vergangenen Monaten gab es diverse Bußgelder aufgrund fehlender Konzepte im Bereich Löschen von Daten, die jedoch noch nicht alle rechtskräftig sind.
- 160.000 Euro Strafe wegen fehlerhafter Löschung von bei einem Taxiunternehmen (Dänemark)
- 200.000 Euro Strafe wegen fehlerhafter Löschung von Daten von 385.000 Kunden bei einem Systemwechsel des Möbelhauses IDDesign (Dänemark)
- 14.500.000 Euro Strafe für die dauerhafte Speicherung sensibler Daten von Mietern (Deutsche Wohnen)
- 1.344.357 Euro Strafe für fehlende Löschnachweise in 400 IT-Systemen der Bank von Kunden (Danske Bank in Dänemark)
Denken Sie an die Nachweispflichten!
Ohne die Erstellung eines Löschkonzeptes können Sie die Nachweispflichten der DSGVO nicht erfüllen. Die Prüfung, ob das Löschkonzept auch alle Aspekte berücksichtigt, ist daher erforderlich.
10 Prüffragen für die Geschäftsleitung
Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz und beim Löschen von Daten alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.
- Wurde eine Richtlinie zur Löschung und Sperrung personenbezogener Daten etabliert und den verantwortlichen Personen veröffentlicht?
- Wurden pro Verarbeitungstätigkeit spezifische Lösch- und Sperrkonzepte entwickelt und dabei Grundsätze Zweckbindung, Datenminimierung und Speicherbegrenzung?
- Werden die Verantwortlichen im Bereich Löschen eindeutig geregelt und die interne bzw. externe IT-Abteilung eingebunden?
- Werden bei Zweckänderungen die Löschkonzepte geprüft?
- Werden die Fristen für die Aufbewahrung, Löschung und Sperren regelmäßig überprüft und aktualisiert?
- Wird die Umsetzung der Löschkonzepte unternehmenübergreifend überprüft?
- Erfolgt die Umsetzung technischer Löschroutinen durch ein Test- und Freigabeverfahren?
- Werden auch physische Datenträger, wie z. B. Aktenordner berücksichtigt?
- Sind Auftragsverarbeiter Teil des Löschkonzeptes?
- Werden bei der Löschung nachgelagerte Systeme, Datenextrakte und externe Empfänger berücksichtigt?
In den meisten Fällen findet man in Unternehmen jedoch weder eine Dokumentation über das Löschen, noch eine Anlehnung an Standards, wie z. B. IT-Grundschutz, das SDM-Modell oder der DIN6639. Kein Wunder, denn für die Erstellung eines Löschkonzeptes muss man sich sehr intensiv mit diesem Themen auseinandersetzen.
Mein Tipp: Suchen Sie sich einen Experten, der sich mit der Erstellung von Löschkonzepten auseinandergesetzt hat.
Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Informationen zum Thema Löschen von Daten
Sie wollen in 4 Schritten ein Löschkonzept in Ihrem Unternehmen umsetzen? Finden Sie hier weitere Informationen.
Sie wünschen eine direkte Kontaktaufnahme und haben Fragen zum Löschen von Daten, die ggf. schnell beantwortet werden können?
Typische Verarbeitungstätigkeiten im Unternehmen
In jedem Unternehmen werden personenbezogene Daten verarbeitet.Diese müssen auch irgendwann gelöscht werden. Das Verzeichnis der Verarbeitungstätigkeiten dient als erste Anlaufstelle. Welche Verarbeitungstätigkeiten haben Sie in Ihrem Unternehmen im Einsatz? Hier finden Sie eine Auswahl typischer Verarbeitungstätigkeiten, deren Daten auch nach Zweckentfall wieder gelöscht werden müssen.
- Bewerbungsdaten, wie z.B. Lebenslauf oder Schriftverkehr
- Daten von Mietinteressenten oder Mietern und im Mietverhältnis entstandenen Daten
- Bestell-, Vertrags- und Rechnungsdaten
- Protokolldaten von IT-Systemen (Hard- und Software)
- Anfragen aus Kontaktformularen
- Daten aus einer Videoüberwachungsanlage
- Fotos von Veranstaltungen
- Auskunftsbegehren von betroffenen Personen
- Abgelehnte Angebote
- Beschäftigtendaten im Arbeitsverhältnis, wie z. B. Personalakte, Urlaubsübersichten, Zutrittskontrolle, Gehaltsabrechnungen, Unfallmeldungen oder Arbeitsunfähigkeitsbescheinungen
In 4 Schritten zur Umsetzung eines Löschkonzeptes
Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie das Thema „Löschen von Daten“ im Unternehmen umsetzen und aktuell halten können.
Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.
Vorweg: Das Thema der Löschen von Daten kann je nach Unternehmen ein sehr umfangreiches Thema sein. Die DSGVO gibt nur wenig konkrete Hinweise, was Unternehmen in diesem Bereich beachten müssen.
Das ist auch nachvollziehbar, weil Prozesse in jedem Unternehmen unterschiedlich sind und die Technik sich ständig weiterentwickelt. Die folgenden Fragen ergeben sich schon beim Anfang:
- Welche Daten werden in welchen Systemen und Prozessen von welchen betroffenen Personen verarbeitet?
- Welche Daten werden im Prozess an welche IT-Systeme kopiert?
- Welche Personen mit systemübergreifenden Kenntnissen betrauen wir mit der Aufgabe, ein Löschkonzept zu erstellen?
- Wie soll das Löschkonzept dokumentiert werden?
- Welche Aufbewahrungs- und Löschfristen gibt es?
Zunächst holen Sie sich einen Spezialisten, der sich seit vielen Jahren permanent mit dem Löschen von Daten in der DSGVO beschäftigt. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen und externen Dienstleistern werden die erforderlichen Informationen abgefragt, um einen ersten Überblick zu erstellen. Zunächst ist eine Bestandsaufnahme erforderlich, um die Datenverarbeitung im Unternehmen zu verstehen. Dann werden die verwendeten analogen und digitalen Informationssysteme, externe Dienstleister sowie die jeweiligen Ansprechpartner zugeordnet.
Beachten Sie das Risiko für die betroffenen Personen!
Die Intensität der Umsetzung eines Löschkonzeptes ist abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Das Wissen für die Erstellung von fachgerecht erstellten Konzepten sollten Sie nicht durch interne Beschäftigte oder durch externe Dienstleister ohne Unterstützung erstellen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.
Eine gute Planung ist notwendig!
Grundsätzlich sind folgende Punkte im ersten Schritt umzusetzen:
- Bestimmen Sie einen Projektleiter für das Projekt „Löschen von Daten“, der die notwendigen fachlichen und persönliche Kenntnisse im Projektmanagement, Managementwissen, Produkte, Dienstleistung, Prozesse, Ausdauer und Belastbarkeit, ganzheitliche und nachhaltige Denkweise oder zwischenmenschliche und kommunikative Fähigkeiten mit bringt.
- Definieren Sie im Unternehmen Ihre Erwartungen sowie die Aspekte Projektdauer, Termine, Kosten, Inhalt, Umfang und Qualität der Ergebnisse.
- Definieren Sie da Projektteam in Zusammenarbeit mit dem Projektleister
- Definieren Sie die Vorgehensweise und Art der Dokumentation.
- Lassen Sie einen Projektplan erstellen, aus dem die Aufgaben, Abläufe, Termine, Kapazitäten, Kommunikation, Qualität und Risiken hervorgehen.
Schritt 2: Löschkonzept, Inventur und Festlegung der Löschregeln
Nach der Planung des Projektes erfolgt je nach Ablaufplan die Phase der Inventur der Informationen, die zur Erstellung und Umsetzung eines Löschkonzeptes erforderlich sind. Die folgenden Schritte haben sich in der Praxis bewährt.
- Erstellen und kommunizieren Sie ein übergreifendes Löschkonzept
In diesem Löschkonzept wird u. a. die generelle Vorgehensweise dargestellt, verwendete Begrifflichkeiten für das gesamte Unternehmen erklärt, die Rollen und Verantwortlichkeiten und Art und Umfang der Dokumentation festgelegt. Das Löschkonzept wird im Projektteam präsentiert, Aufgaben werden verteilt und das Projekt wird offiziell gestartet. Der Projektleiter begleitet die unterschiedlichen Fachbereiche gem. Projektplanung mit den folgenden Schritten. - Identifizieren Sie personenbezogene Daten der Daten / Datenkategorien
Das Verzeichnis der Verarbeitungstätigkeiten des Fachbereiches gilt meist als Einstieg in die Thematik. Dokumentiert werden sollte separat die Kategorien von (besonderen) personenbezogenen Daten, Dauer der Verarbeitung, z. B. gesetzliche oder vertragliche Aufbewahrungsfristen, Angaben zum Datenfluss (Abteilungen, IT-Systeme, analoge Datenträger) und Schnittstellen (weitere Empfänger oder IT-Systeme). Diese Angaben bilden die Basis für die weitere Vorgehensweise. - Zusammenfassung
Fassen Sie gleiche Datenkategorien und Löschfristen zusammen. Überlegen Sie, ob eine Gliederung von Verarbeitungstätigkeiten, die von Ihnen oder von Auftragsverarbeitern erbracht werden, Sinn ergibt, um die Anzahl der Löschprozesse zu minimieren. - Definieren Sie Löschregeln
Definieren Sie für jede Datenverarbeitung Startzeitpunkte, Bearbeitungsphasen und Aufbewahrungsfristen. Schauen Sie, ob Ausnahmen berücksichtigt werden müssen, z. B. bei offenen vertraglichen oder gesetzlichen Themen. - Berücksichtigen Sie Datensicherungen und Archivierung
Prüfen Sie, ob Datensicherungen und Archivierungen erstellt werden und berücksichtigen Sie diese im Gesamtkontext. - Berücksichtigen Sie Sonderfälle
Berücksichtigen Sie die Sonderfälle auf Art. 17 DSGVO (z. B. Löschgesuche) - Protokollierung der IT-Systeme
Vergessen Sie nicht die Protokollierung von Daten, die aufgrund der Datenschutzkontrolle erstellt werden. - Definieren Sie Testläufe, die tatsächliche Umsetzung und die Protokollierung
Je nach Löschregel ist es erforderlich, einen Testablauf und die tatsächliche Umsetzung durchzuführen. Dokumentieren Sie, wie sichergestellt wird, dass nur die richtigen Daten gelöscht werden, außerplanmäßige Löschungen möglich sind, Rücksicherungen aus dem Backup und dem Archiv berücksichtigt werden und die Löschung (revisionssicher bei Daten mit einem hohen Schutzbedarf) protokolliert wird. - Kontrolle durch den Datenschutzbeauftragten
Wenn bislang der Datenschutzbeauftragte nicht involviert gewesen sein, sollte vor der Umsetzung die Analyse und Festlegung geprüft werden. Feststellungen können dann noch berücksichtigt werden.
Schritt 3: Umsetzung der Löschregeln
Ob manuelle und automatische Regelungen verwendet werden – nach der Festlegung der Löschregeln erfolgt die Umsetzung. Prüfen Sie, ob die Löschregeln wirksam sind und nicht mehr zu einer Wiederherstellung führen können.
Wenn ein Löschen nicht umsetzbar ist, prüfen Sie, ob Sie durch weitere Maßnahmen die Risiken für betroffene Personen einschränken können, wie z. B. Vernichtung von Schlüsseln, Anonymisierung, Zugriffssperrung, Pseudonymisierung oder das Löschen von Referenzen.
Dokumentieren Sie dann, ob der Löschprozess erfolgreich ist, einschl. des Löschprotokolls. So wissen Sie auch noch in ein paar Monaten, was Sie im Bereich der Löschung der Daten gemacht gaben.
Schritt 4: Regelmäßige Aktualisierung der Löschkonzepte
Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass das Löschkonzept im Unternhemen aktuell bleiben. Legen Sie sich das Thema einmal im Jahr auf Wiedervorlage. Je nach Risiko der Verarbeitung für die betroffenen Personen können Sie auch festlegen, dass eine Aktualisierung für bestimmte Bereiche nur alle zwei Jahre erfolgt.
Veränderungen innerhalb des Kalenderjahres
Sofern sich unterjährig Informationssysteme, interne und externe Beteiligte, Risiken oder Unternehmensziele, der Stand der Technik oder sonstige Rahmenbedingungen ändern, ist ggf. eine unterjährige Anpassung der Löschregeln zwingend erforderlich.
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
IT Grosshandel
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Testexperten KLE GmbH
Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!
Öffentliche Verwaltung
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Rechtsanwaltskanzlei
Fachkunde
Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.
- Zertifizierter Datenschutzbeauftragter (TÜV)
- Zertifizierter IT-Grundschutzpraktiker
- Diplom-Ingenieur (FH) Systemanalyse
- Über 20 Jahre Berufserfahrung
- Pragmatische und schnelle Umsetzung
Weitere Details zum Löschen der Daten
Ziele im Datenschutz bei dem Löschen von Daten
Im Datenschutz spielt das Löschen von Daten eine besondere Rolle. Im Lebenszyklus der Daten ist der Abschluss der Datenverarbeitung ein wichtiger Schritt, damit keine Datenfriedhöfe entstehen.
Für betroffene Personen können diverse Nachteile entstehen, wenn der Verantwortliche der Datenverarbeitung keinen Überblick über die Datenverarbeitung mehr hat und nicht mehr benötigte Daten in verschiedenen Systemen ohne Grund speichert. Finden Sie hier die Ziele von Löschkonzepten aus Sicht des Datenschutzes.
- Vertraulichkeit: Kontrollverlust durch fehlende Regelungen oder unzureichende Löschmethoden können zu unbefugten Zugriffen auf die Daten führen.
- Verfügbarkeit: Fehlerhaft etablierte Löschprozesse können zu unbeabsichtigten Löschunen führen, die zu einem Nachteil der betroffenen Personen oder dem Unternehmen führen.
- Datenminimierung: Reduzierung der Daten auf das Notwendige der Datenverarbeitung.
- Nichtverkettung: Nicht mehr vorhandene Daten können nicht mehr mit anderen Ketten für weitere Verarbeitungen zweckentfremdet werden.
- Transparenz: Durch die Umsetzung eines Löschkonzeptes wird deutlich, auf welchen IT-Systemen Daten von betroffenen Personen gespeichert werden. Dies ist erforderlich, um betroffene Personen transparent über die Nutzung der personenbezogenen Daten zu informieren.
- Intervenierbarkeit: Machen betroffene Personen ihr Recht auf Datenlöschung geltend, kann dieses Gesuch fachgerecht umgesetzt werden. Weitere Verarbeitungen in weiteren IT-Systemen oder durch andere Abteilungen wird dadurch unterbunden.
Privacy by Design – Löschen der Daten
Schon bevor Sie personenbezogene Daten oder sonstige Informationen verarbeiten oder verarbeiten lassen, sollten Sie sich fragen, wie lange Sie die Daten verarbeiten dürfen und wie Sie die Dauer begründen. IT-Systeme und Prozesse müssen so gestaltet sein, dass der Datenschutz berücksichtigt wird.
Der Vorgang des Löschens sorgt dafür, dass aus den gelöschten Daten selbst mit hohem Aufwand keine Informationen über bestimmte oder bestimmbare Personen mehr gewonnen werden können. Der Informationsgehalt gelöschter Daten darf somit nicht oder nur mit unverhältnismäßig hohem Aufwand reproduzierbar sein.
Die Löschung einer Information ist erst dann vollzogen, wenn auch keine Kopie (wie z.B. Backup oder Datenarchiv) mehr bei dem Verantwortlichen oder einem möglichen Auftragsverarbeiter gespeichert ist. Die Pflicht zur Löschung betrifft daher nicht nur den aktiven Datenbestand, sondern auch personenbezogene Daten in Sicherungskopien.
Soweit Protokolldaten personenbezogene Daten enthalten, unterliegen diese ebenso der Löschpflicht. Schließlich ist auch darauf zu achten, dass aus verarbeitungstechnischen Gründen erzeugte temporäre Daten gelöscht werden, soweit diese nicht ohnehin ihrer temporären Natur gemäß vorher automatisch gelöscht werden.
Löschen nach Art. 17 DSGVO: Nach Artikel 17 DSGVO sind personenbezogene Daten ohne Verzögerung zu löschen, wenn z. B. einer der folgenden Punkte zutrifft:
- Die Notwendigkeit der Datenverarbeitung zur Erreichung des Zweckes ist entfallen.
- Eine Einwilligung für die Verarbeitung personenbezogener Daten wurde widerrufen.
- Für bestimmte Zwecke wurde einen Widerspruch gegen die Datenverarbeitung geltend gemacht und – außer bei Direktwerbung - liegen keine überwiegenden Interessen des Verantwortlichen vor.
- Die Daten wurden unrechtmäßig verarbeitet.
- Die Datenschutzaufsichtsbehörde ordnet die Löschung der Daten an.
Gibt es gesetzliche Umsetzungsfristen, wie z. B. beim Infektionsschutzgesetz oder bei der Abgabenordnung, sind die Daten unaufgefordert zu löschen, es sei denn, ein weiteres Speichern der Daten kann begründet werden.
Sie haben Verarbeitungen mit einem höheren Schutzbedarf? Dies sollte sich auch im Löschkonzept widerspiegeln. Eine gewissenhafte Planung, Umsetzung und Protokollierung stellt sicher, dass die Löschung der Daten fachgerecht erfolgt. Der Aufwand für z. B. Löschung von Gesundheitsdaten, biometrischen Daten, Daten von Minderjährigen oder Daten, die dem Berufsgeheimnis gem. § 203 StGB unterliegen wird jedoch deutlich höher sein.
Beachten Sie das Risiko bei der Auswahl der Löschmethodik
Für die Löschung kommen, je nach Verarbeitung und dem Schutzbedarf , der Menge der zu löschenden Daten und der Art der Datenträger verschiedene Methoden in zur Löschung in Betracht. Nicht jede Methode ist gleich wirksam. Nachfolgend finden Sie gute und weniger gute Beispiele für Löschmethoden in absteigender Wirksamkeit.
Bei der Durchführung der Löschung ist es wichtig, dass die Daten nicht mehr rekonstruiert werden können. Einige Fragestellen ergeben sich in der täglichen Praxis. Diese Informationen sind eine hervorragende Ergänzung zu den Bausteinen des IT-Grundschutzes und dem SDM-Baustein.
- Austragen aus elektronischen Verzeichnissen bzw. Tabellen und anschließender Reorganisation
- Mehrfaches Überschreiben einzelner Datenfelder durch geeignete Löschprogramme
- Komplettes Überschreiben ganzer Datenträger mit speziellen Lösch- oder Anwendungsprogrammen.
- Physikalische Zerstörung des Datenträgers (bspw. Papier, Festplatten, SSD-Speicher) durch mechanisches Zerkleinern, Einschmelzen oder Verbrennen.
- Austragen aus elektronischen Verzeichnissen bzw. Tabellen bspw. durch Löschbefehle auf Betriebssystemebene.
- Schnellformatieren von Datenträgern.
- Freigabe von Datenträgern (z. B. eines USB-Sticks) zur Wiederverwendung durch Organisationsanweisung.
- Verbot, personenbezogene Daten nicht mehr für unbefugte Zwecke verwenden zu dürfen.
- Zusage, Daten nicht mehr verwenden zu wollen.
- Unterstützt das Löschprogramm alle verwendenten Endgeräte und Betriebssysteme?
- Hat das Löschprogramm zur Zeitpunkt der Löschung immer Zugriff auf alle Daten?
- Unterstützt das Löschprogramm gängige Standards, die anerkannter Weise dem Stand der Technik entsprechen?
- Erzeugt das Löschprogramm ein aussagekräftiges Löschprotokoll?
- Wird das Löschprogramm aktuell gehalten?
- Kann die Funktion des Löschprogrammes kontrolliert werden?
- Kann das Löschprogramm die Anforderungen Ihres Unternehmens überhaupt umsetzen, wie z. B. verschiedene Zeitpunkte und Unterscheidung in verschiedene Datenkategorien?
- Führt das Löschprogramm zu Inkonsistenzen in Ihrem Unternehmen?
- Sorgt das Löschprogramm dafür, das rekonstruierte Daten aus dem Backup wieder gelöscht werden?
Verschiedene Ebenen der Löschung
Um ein Löschen von Daten fachgerecht zu gestalten, sind verschiedene Ebenen zu betrachten, wie die Datenebene, die Ebene der Systeme und Dienste und die Ebene der dazugehörigen Prozesse. In der folgenden Übersicht aus dem SDM-Modell „Löschen und Vernichten“ finden Sie einzelne Merkmale pro Ebene und was dabei zu beachten ist.
Sorgen Sie dafür, dass ein gezieltes Löschen von Datenfeldern, -sätzen und definierter Gruppen von Daten möglich ist.
Löschen Sie nur die notwendigen Daten aus den Systemen gem. Löschkonzept.
Sorgen Sie dafür, dass ein Löschen ohne Integritätsverlust des Datenbestandes stattfindet.
Löschen Sie keine Daten, wenn dadurch das IT-System nicht mehr korrekt funktioniert.
Beachten Sie die Zweckbindung.
Löschen Sie keine Daten, die noch benötigt werden, z. B. Protokolldaten für die Kontrollle der Datenverarbeitung.
Seien Sie sehr genau, wenn Sie Daten mit einem höheren Schutzbedarf löschen.
Überschreiben Sie, wenn möglich, Daten, Datenfelder- und -attribute oder komplette Datenträger mit speziellen Löschprogrammen.
Nutzen Sie Schreddern zur Vernichtung von Datenträgern jeder Art. Die Vorgaben dafür finden Sie in der DIN-Vorschrift 66399. Ein Einschmelzen oder Verbrennen von Datenträgern jeder Art verringert die Chancen auf Wiederherstellung.
Sorgen Sie auch bei Systemen und Diensten, dass diese nach dem Löschen noch funktionieren.
Protokollieren Sie den Löschprozess.
Gestalten Sie Protokollierung von Löschungen, dass keine personenbezogenen Daten im Protokoll gespeichert werden.
Überwachen Sie die Durchführung der Löschfristen unter Nutzung von Zeitstempelsystemen oder Auswertungen entsprechender Löschattribute durch technische Systeme.
Dokumentieren Sie die Löschfristen und die dazugehörige Begründung im Verzeichnis der Verarbeitungstätigkeiten.
Erstellen Sie ein übergreifendes Löschkonzept.
Berücksichtigen Sie Protokolldaten und die Aufbewahrungs- und Zweckbindungsvorgaben
Vergessen Sie nicht, Vorgaben im Löschen bei eingesetzten Auftragsverarbeitern zu etablieren.
Richten Sie Prozesse zur zeitgesteuerten, automatisierten Löschung ein.
Dokumentieren Sie den jeweiligen Löschgrund (z. B. Löschgesuch).
Etablieren Sie Prozesse zur Überwachung der Rücksicherung hinsichtlich möglicher Löschpflichten.
Schaffen Sie Regelungen zum Umgang mit Verschlüsselungsschlüsseln von zu löschenden (verschlüsselten) Daten.
Regeln Sie die Dokumentation von veröffentlichten von Daten, z. B. im Internet.
Regeln Sie die Protokollierung der Übermittlung personenbezogener Daten an Dritte, damit diese über Löschgesuche informiert werden können.
Verschaffen Sie sich einen Überblick über die verschiedenen Datenträgern (Anzahl und Speicherorte, z. B. Cloud-Backups).
Die meisten Datenverarbeitungen durchlaufen mehrere Phasen. Von der Erhebung bis zur Vernichtung. Für jede Phase mag es Eigenheiten geben. Danach richten sich auch die Startzeitpunkte oder Löschfristen. An diesem Beispiel werden die unterschiedlichen Phasen bei einem Immobilienmakler schematisch vereinfacht dargestellt.
Löschen von Daten: Begriffsdefinitionen
Legen Sie im Unternehmen Begriffe zentral fest, die von allen Fachbereichen einheitlich verstanden und abgewendet werden sollten. Nur wenn alle sich an die entsprechenden Regeln halten, kann ein ganzheitliches und wirksames Löschverzeichnis erstellt werden. Im folgenden werden ein paar Begrifflichkeiten erklärt und mit Beispielen ergänzt
Fristen beginnen zu unterschiedlichen Startzeitpunkten, die einmalig festgelegt und dann einheitlich in den Verarbeitungstätigkeiten angewendet werden.
Beispiele:
- – „sofort“ – Die Löschung erfolgt direkt.
- – 14 Tage – Löschung von nicht bestätigten Interaktionen
- – 6 Wochen für die Speicherung der Logfiles der Webseite
- – 6 Monate (für abgesagte Bewerbungen im Unternehmen, wenn der Zeitraum für einen Rechtsanspruch gem. Allgemeinen Gleichbehandlungsgesetz vergangen ist)
- – 4 Jahre (die sich aus dem BGB ergebende dreijährige Verjährungsfrist oder aus dem Ordnungswidrig-keitengesetz, die mit Schluss des Kalenderjahrs beginnt)
- – 6 Jahre (Abgabenordnung)
- – 10 Jahre (steuer- und handelsrechtliche Aufbewahrungspflicht von sechs bzw. zehn Jahren, beginnend ab Ende des Kalenderjahres).
- – 30 Jahre (Darlehensverträge nach Vertragsende, Urteile und Prozessakten)
Können Daten aus IT-Systemen nicht sofort gelöscht werden, werden risikoreduzierende Maßnahmen getroffen. Dabei werden folgende Faktoren berücksichtigt:
- – Risiko für Betroffene
- – Umfang der Personendaten / Anzahl Betroffene
- – Aufwand der Vernichtung
- – Wirksamkeit der risikoreduzierenden Maßnahmen
- – Dauer der maximalen Aufbewahrungsdauer
Finden Sie anbei ein paar Beispiele für Maßnahmen zur Risikominimierung:
Anonymisieren | Beim Anonymisieren wird der Personenbezug der Daten entfernt. Dadurch können die Daten nicht oder nur mit einem unverhältnismäßig hohen Aufwand einer Person zugeordnet werden. Daten vollständig zu anonymisieren ist teilweise nicht möglich. Im Zeitalter von Big Data beziehungsweise der Verfügbarkeit umfassender zusätzlicher Informationen lässt sich der Personenbezug oft wiederherstellen (De-Anonymisierung). Dem Vernichten ist immer Vorrang zu geben. |
Schlüssel zur Entschlüsselung vernichten | Die Vernichtung aller vorhandenen Schlüssel zur Entschlüsselung der entsprechenden Daten ist eine vorübergehende Maßnahme, bis der Datenträger entsprechend physisch vernichtet wird. Das Restrisiko einer Datenwiederherstellung ist von der Stärke der Verschlüsselung (Algorithmus, Schlüssellänge etc.) abhängig. |
Zugriff sperren | Der Zugriff wird auf wenige Personen beschränkt (zum Beispiel Systemadministrator). Zusätzlich wird eine umfassende Protokollierung und deren Kontrolle implementiert, um den Zugriff auf die Daten kontrollieren zu können. |
Pseudonymisieren | Beim Pseudonymisieren werden die personenbezogenen Daten durch geheime Identifikatoren ersetzt. Dadurch kann der Personenbezug nur über den Pseudonymisierung-Schlüssel wiederhergestellt werden. |
Referenzen löschen | Eine weitere Maßnahme ist die Löschung der Referenzen. Dadurch können die Personendaten über die Suchmechanismen nicht mehr gefunden werden, sind im System aber noch vorhanden. |
Für jede Löschung wird die Vernichtungsmethode angegeben, die dafür sorgt, dass die Daten mit angemessenem Aufwand und nachweisbar nicht mehr hergestellt werden können. Beim Vernichten von Daten müssen alle Speicherorte und auch die Art verwendeten Datenträger berücksichtigt werden. Bei der Anschaffung von Systemen und Anwendung werden – sofern mit dem Hersteller umsetzbar – die Vernichtung der Daten bereits in den IT-Systemen geplant. Der Hersteller hat entsprechende Unterlagen zur Verfügung zu stellen.
Beispiele:
Physische Vernichtung
| Durch die physische Vernichtung des Datenträgers (z. B. durch mechanisches Zerkleinern (Schreddern oder Einschmelzen) werden die Daten vollumfänglich vernichtet. Bei der Weitergabe an Dritte zur Entsorgung (wie auch bei einem Austausch oder bei einer Reparatur von Festplatten) ist durch entsprechende Maßnahmen zu gewährleisten, dass die ausgetauschte Festplatte nicht weiterverwendet wird und so Daten möglicherweise durch eine Drittperson wieder rekonstruiert werden können. Weitere Informationen hierzu finden sich in der DIN – Norm 66399 (Büro – und Datentechnik – Vernichten von Datenträgern). |
Magnetische Löschung | Spezielle Löschgeräte ermöglichen durch eine spezifische Magnetisierung das Löschen der Informationen ganzer Festplatten, so dass die Reproduktion von Daten unmöglich oder weitgehend erschwert wird. Solche Löschgeräte können selbst bei defekten Festplatten noch wirksam eingesetzt werden, funktionieren hingegen bei optischen oder nicht flüchtigen Speichermedien nicht. |
Technisches Überschreiben (Wipen) | Einzelne Dateien oder auch ganze wieder beschreibbare Speichermedien können durch mehrmaliges Überschreiben mit zufälligen Zeichenfolgen (Wipen) nachhaltig gelöscht werden. Die Daten sind mehrmalig zu überschreiben, da beim einmaligen Überschreiben noch eine magnetische Restladung auf dem Datenträger gemessen werden kann, die für eine Rekonstruktion der ursprünglichen Daten ausreicht. |
Löschen nicht flüchtiger elektronischer Speichermedien (Solid State Disks) | Moderne Systeme sind oft mit nicht flüchtigen elektronischen Speichermedien, den Solid State Disks (SSD) ausgestattet. Bedingt durch den Aufbau einer SSD – Festplatte lassen sich die gespeicherten Daten nicht mehr im herkömmlichen Sinn durch mehrmaliges Überschreiben (Wipen) oder Magnetisierung löschen. Die meisten SSD-Festplatten unterstützen für die Löschung sämtlicher Daten entsprechende Befehle (z. B. ATA Secure Erase). Ist eine SSD – Festplatte ohne Unterstützung des Löschbefehls im Einsatz, so sind die Daten vorgängig zu verschlüsseln und die Festplatte ist bei der Aussonderung physisch zu vernichten (Schreddern). |
Logische Löschung | Unter der logischen Löschung ist die Vernichtung des Zugriffsschlüssels (Index) auf die Daten zu verstehen. Bei Dateien, die mit einem Delete – Befehl entfernt, bzw. in den elektronischen Abfalleimer gelegt werden, wird nur die Indexdatei der Datei entfernt. Durch Wiederherstellen der Indexdatei kann wieder auf die Datei zugegriffen werden. |
Vorhaltefrist: Für jede Datenart ist zu klären, wie lange sie in der Verarbeitungstätigkeit erforderlich ist. Der Zeitraum, in der die Daten aufgrund fachlicher Anforderungen oder gesetzlicher Aufbewahrungspflichten mindestens verfügbar sein muss, wird als Vorhaltefrist bezeichnet. Nach Ende der Vorhaltefrist entfällt der Zweck der Datenverarbeitung. Sie müssen dann innerhalb einer datenschutzrechtlichen vertretbaren Frist gelöscht werden.
Aufbewahrungsfrist: Frist, für die eine Datenart nach rechtlichen Vorgaben in der verantwortlichen Stelle verfügbar sein muss.
Regellöschfrist: Die Regellöschfrist ist die Summe der Vorhaltefrist und der datenschutzrechtlich vertretbaren Frist für die Gestaltung der Löschprozesse.
Nach Ende der Regellöschfrist müssen die entsprechenden Bestände der Datenart in allen analogen und digitalen Systemen des Unternehmens gelöscht sein. Dies schließt die Löschung bei Auftragsverarbeitern ein.
Die Löschregel ist eine Kombination aus Löschfrist und der jeweiligen Bedingung für den Startzeitpunkt. Finden Sie hier einige Beispiele:
Beispiel | Mögliche Löschregel |
Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege und Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union, | 11 Jahre nach dem Ende des jeweiligen Geschäftsjahres, in dem die Buchung in der Bilanz berücksichtigt wurde, sofern keine kürzere Aufbewahrungfristen zugelassen sind. |
Interessentendaten | 1 Jahr nach Bearbeitung der Anfrage |
E-Mail-Newsletter | 1 Monat nach nicht erfolgtem Double-Opt-In Sofort nach einem „Hard-Bounce“-Signal (z. B. E-Mail-Adresse ungültig), 2 Jahre bei ersichtlicher Inaktivität des Empfängers, Sofort bei Widerruf des Betroffenen |
Kontinuierliche Verbesserung
Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unternehmens permanent infrage und startet im Unternehmen einen wiederkehrenden Regelkreis zur Verbesserung der Abläufe und Prozesse.
Auch beim Löschen von Daten gibt es einen stetigen Verbesserungsprozess durch regelmäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.
Bleiben SIe aktuell!
Erstellen auch Sie einen Regelkreis, damit Ihr Löschkonzept vollständig ist, bleibt und gelebt wird, den richtigen Detailgrad hat und aktuell gehalten wird.
Sie benötigen Unterstützung bei dem „Fundament des Datenschutzes“ ?
Festlegung von Art, Umfang und Form des Löschkonzeptes
Umsetzung und Dokumentation des Löschkonzeptes, Planung und Priorisierung offener Themen
Aktualisierung und Anpassung des Löschkonzeptes
Prüfung auf Aktualität und Vollständigkeit des Löschkonzeptes
Weitere Informationen zum Löschen von Daten
Weitere vertiefende Informationen zum Thema „Löschen und Vernichten“ finden Sie beim Bundesamt für Sicherheit in der Informationstechnik und im SDM-Modell der DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder). Auf dieser Seite wurden teilweise Informationen entnommen und vereinfacht dargestellt.
Quellenvermerk
Leistungen
Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen verschiedener Branchen und an verschiedenen Standorten, wie z. B. im Großraum Hamburg seit vielen Jahren zur Verfügung stelle.
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.
Datenschutzbeauftragter DSGVO
Als externer Datenschutzbeauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetzlichen Vorgaben. Nutzen Sie vom ersten Tag an meine langjährige Erfahrung.
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik.
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz-Veranstaltungen, Webinare und E-Learning-Kurse.
Clever sein – das Löschen der dATEN effizient und praxisnah umsetzen
Ich unterstütze Sie bei der Erstellung Ihrer Löschkonzepte. Nutzen Sie meine mehrjährige Expertise, um zügig ein erstes Löschkonzept zu erstellen und auf die erste Verarbeitungstätigkeit anzuwenden.
Buchen Sie ein entsprechendes Modul oder punktuell zur Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen.
Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung von Löschkonzepten fester Bestandteil.
- Praxisnahe Erstellung
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
10 Fragen zum Löschen von Daten
Jedes Unternehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, ein für jede Verarbeitung personenbezogener Daten ein Löschkonzept zu erstellen und in der Praxis umzusetzen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:
Unternehmen müssen personenbezogene Daten so speichern, dass sie eine Person nur so lange identifizieren können, wie es für den Verarbeitungszweck notwendig ist.
Wichtig: Es muss um einen Zweck gehen, der es auch erlaubt, die Daten zu verarbeiten. Alle anderen vermeintlichen Zwecke führen dazu, die Daten unzulässig zu verarbeiten. Fällt dieser Zweck weg, etwa weil etwas verjährt oder weil das Vertragsverhältnis endet, sind die Daten zu löschen, wenn kein berechtigtes Interesse des Unternehmens oder Dritten vorliegt. Ausnahmen finden Sie oben im Text.
Kein Anspruch auf Löschung besteht grundsätzlich dann, wenn die personenbezogenen Daten (weiterhin) erforderlich sind,
- - um das Recht auf freie Meinungsäußerung und Information auszuüben,
- - um eine rechtliche Verpflichtung zu erfüllen, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder
- - um eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
- - um das öffentliche Interesse im Bereich der öffentlichen Gesundheit zu wahren,
- - um Archivzwecke, die im öffentlichen Interesse liegen, zu erfüllen, oder
- - für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder
- um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.
Das Recht auf Löschung kann eingefordert werden, wenn die Daten ohne Rechtsgrundlage oder unrechtmäßig erhoben wurden, nicht mehr benötigt werden, die Löschung nach dem Unionsrecht erforderlich ist, der Datennutzung von der betroffenen Person widersprochen oder eine Einwilligung widerrufen wird.
Grundsätzlich können betroffene Personen nach der DSGVO die Löschung ihrer beim Verantwortlichen gespeicherten personenbezogenen Daten verlangen. Allerdings besteht kein unbeschränkter Löschanspruch. Von Gesetzes wegen sind Unternehmen dazu verpflichtet, bestimmte Datensätze sechs bzw. zehn Jahre lang aufzubewahren (z. B. bei steuerlichen Aufbewahrungsfristen gem. §257 Handelsgesetzbuch bzw. §47 Abgabenordnung). Die Löschpflicht gilt nicht, wenn die personenbezogenen Daten (weiterhin) erforderlich sind,
- - um das Recht auf freie Meinungsäußerung und Information auszuüben,
- - um eine rechtliche Verpflichtung zu erfüllen, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder
- - um eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
- - um das öffentliche Interesse im Bereich der öffentlichen Gesundheit zu wahren,
- - um Archivzwecke, die im öffentlichen Interesse liegen, zu erfüllen, oder
- - für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder
- um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.
Gem. Art. 5 Abs. 2 DSGVO ist es erforderlich, nachweisen zu können, dass Daten gem. Löschkonzept rechtzeitig und wirksam gelöscht werden.
Grundsätzlich gibt es dabei keine Vorgaben, Sie sollten im Konzept pro Löschvorgang notieren, wie die Löschung protokolliert wird.
Es dürfen in den Protokollen auch keine Daten der betroffenen Personen vorhanden sein.
Je höher das Risiko für betroffene Personen ist, z. B. bei Gesundheitsdaten, desto wichtiger ist es, revisionssichere Nachweise zu haben. Die Protokolle sollten auf jeden Fall nicht zu löschen sein.
Bei personenbezogenen Daten mit einen normalen Schutzbedarf ist auch denkbar, dass eine Einsicht in dem System ausreichend ist, was einmal im Jahr protokolliert wird.
Für nicht-öffentliche Unternehmen gibt es keine Vorgaben, so dass eine Speicherfrist von 3 Jahren gem. §31 Ordnungswidrigkeitengesetz vertretbar wäre.
Im Bundesdatenschutzgesetz wird im §76 BDSG (Protokollierung) folgende Vorgabe gemacht (jedoch nicht für nicht-öffentliche Unternehmen)
(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren: 1. Erhebung, 2.Veränderung, 3.Abfrage, 4.Offenlegung einschließlich Übermittlung, 5. Kombination und 6. Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.
(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen. |
Empfehlenswert ist auf der Baustein OPS.1.1.5 Protokollierung des IT-Grundschutzes des BSI. Hier erhalten Sie weitere Informationen zum Thema Protokollierung.
Im Internet gibt es eine Vielzahl von Aufbewahrungsfristen, die jährlich auf einschlägigen Webseiten veröffentlicht werden.
Ich halte von solchen Listen nicht viel, weil sie nicht immer auf das Unternehmen in den Bereichen passen. Im Rahmen der Ausarbeitung des Löschkonzeptes sollten Sie sich immer genau anschauen, ob die Werte in dem Listen korrekt sind. Bei steuerlichen Fragestellungen sollten Sie immer Ihre Steuerberatung mit einbinden.
Nehmen Sie diese Angaben in den Listen als Ausgangspunkt, um die Anforderungen in Ihrem Unternehmen noch einmal zu prüfen.
- Übersicht relevanter Aufbewahrungsfristen 2022 – REISSWOLF
- Aufbewahrungsfristen von A - Z - IHK Regensburg für Oberpfalz / Kelheim
- Gesetzliche Aufbewahrungsfristen mit Rechtsgrundlagen von A bis Z (Tabelle) (juraforum.de)
- - welche Daten für
- - welche Zwecke und aufgrund
- - welcher Rechtsgrundlage verarbeitet werden,
- - welche IT-Systeme eingesetzt werden,
- - wie die Aufbau- und Ablauforganisation gestaltet ist,
- - welche digitalen und analogen Datenträger (z. B. Papier-Personalakte) und
- - welche Empfänger im Einsatz sind,
wird das Löschkonzept unterschiedlich aussehen. Es kann dabei notwendig sein, z. B. Abmahnungen nach einem Jahr aus bestehenden Personalakten zu löschen oder die Personalakte nach dem Austritt zu verschlanken und steuerlich relevante Unterlagen im Archiv zu speichern. Insbesondere bei dem Thema "Betriebliche Altersversorgung" kann es notwendig sein, Daten auch für Erben dauerhaft zu speichern, um Rentenansprüche aus vertraglichen Gründen erfüllen zu können.
1. | Wird aus dem Löschkonzept generell klar, warum und wann eine Löschung personenbezogener Daten erfolgen muss? |
2. | Werden Sonderfälle beim Löschkonzept berücksichtigt? a) Ein Betroffener macht Gebrauch von seinem „Recht auf Vergessen werden“ b) Ein Datensatz wurde rechtswidrig erhoben. c) Eine Aufsichtsbehörde verlangt dies vom Unternehmen. Das Unternehmen kann verpflichtet werden, alle Löschungen und Änderungen der Daten zu stoppen, wenn z.B. die steuerrechtlichen Dokumente noch in einem ausstehenden Gerichtsverfahren benötigt werden. |
3. | Bei Auftragsverarbeitern: Wenn Sie selbst als Auftragsverarbeiter für ein anderes Unternehmen tätig sind: Bestehen Vorgaben für die Löschung von Datensätzen fest und werden diese in einem Löschprotokoll dokumentiert und dem Verantwortlichen (auf Anfrage) übermittelt? |
4. | Werden alle Datenkategorien, die in der Verarbeitungstätigkeit aufgelistet sind, Teil des Löschkonzeptes? |
5. | Wurden Löschregeln pro Datenkategorien festgelegt? Wie lange werden welche Daten gespeichert bzw. wie wird die Frist festgelegt? |
6. | Wurde die Löschfrist an eine gesetzliche Frist gekoppelt? Wenn nein, ist die festgelegte Löschfrist angemessen und nachvollziehbar begründet worden? |
7. | Wurden Vorgaben für die Umsetzung der Löschregeln festgelegt? Wie wird konkret gelöscht? |
8. | Enthält das Konzept Vorgaben für die Dokumentation? Wie wird die Löschung dokumentiert? Beispiel: Der Verantwortliche dokumentiert die Durchführung des Löschkonzepts und legt es z.B. in einem DMS (digitales Archiv) ab. |
9. | Wurden im Konzept Verantwortlichkeiten festgelegt? Wer ist dafür verantwortlich, dass die Löschung durchgeführt wird? Wer führt die Löschung operativ durch? Wer prüft, ob die Protokollierung umfassend / korrekt und auch durchgeführt worden ist? |
10. | Wurde die konkrete Löschmethodik der Daten beschrieben (Physische Vernichtung, Magnetische Löschung, Technisches Überschreiben/Wipen, Löschen nicht flüchtiger elektronischer Speichermedien bei Solid State Disks, Logische Löschung, Prozess für die Löschung)? |
11. | Wurde technisch sichergestellt und geprüft, dass die Löschung nicht rückgängig gemacht werden kann? |
12. | Sofern Daten zurückgesichert werden können, wird sichergestellt, dass die Daten im nächsten Löschlauf wieder gelöscht werden (Backup)? Wird die Datensicherung / Rücksicherung ebenfalls im Löschprotokoll dokumentiert? |
13. | Wurden ein Gesamtlöschkonzept definiert und einheitliche Begrifflichkeiten, Standardlöschfristen und Löschmethoden über alle Verarbeitungstätigkeiten definiert? |
14. | Wurde der Datenfluss über ggf. unterschiedliche Datenträger (Ordner/Papier, IT-Systeme, Anwendungen, Sicherungskopien, Serverlaufwerke, Lokale Geräte, Archiv, Datenbanken, Logdateien, mobile Datenträger oder Geräte, Cloud-Daten, Privatgeräte) berücksichtigt? |
15. | Sind im Löschkonzept Testläufe durchgeführt worden, um die Methodik zu prüfen, damit keine Daten unrechtmäßig gelöscht werden? |
16. | Sind Auftragsverarbeiter und Dritte im Löschkonzept berücksichtigt worden? |
17. | Sofern eine Löschung nicht möglich ist, wurden risikominimierende Maßnahmen getroffen (z.B. Anonymisierung, Pseudonymisierung, Schlüsselvernichtung, Zugriffssperrung, Referenzlöschung)? |
18. | Wurden die Beschäftigten in den Lösch- oder Vernichtungsprozess eingewiesen? |
19. | Ist die Struktur der Daten und die Art der Speicherung so gestaltet, dass das Löschen der Inhalte einzelner Datenfelder, Datensätze oder vorher definierter Gruppen von Daten mit beherrschbarem Aufwand möglich ist. Das Löschen muss möglich sein, ohne die Integrität des verbleibenden Datenbestandes und ohne besondere Zweckbindungsregelungen (bspw. von Protokolldaten, die der Datenschutzkontrolle dienen) zu beeinträchtigen. |
20. | Wird die Löschung protokolliert? Ist sichergestellt, dass keine unnötigen Daten im Protokoll enthalten sind? Wird sichergestellt, dass das Protokoll nicht manipuliert werden kann? (z.B. Logserver) |
Personenbezogene Daten gelten dann als gelöscht, wenn diese nicht mehr rekonstruiert werden können und die Verarbeitung einer betroffenen Person nicht mehr möglich ist. Die Löschmethode muss so gewählt werden, dass eine Wiederherstellung mit angemessenem Aufwand nicht mehr möglich ist. Der Aufwand richtet sich dabei am Risiko der Verarbeitung, der für die Daten zu bestimmen ist. Je höher das Risiko ist, desto sicherer muss die Löschmethode sein.
Kontakt
- Direkte Betreuung
- Zeitnahe Erstellung von Löschkonzepten
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Löschkonzept sprechen.
Aktuelle News zum Thema Datenschutz und Informationssicherheit
In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.
Arbeitszeiterfassung und Datenschutz
Wie passt die elektronische Zeiterfassung und der Datenschutz zusammen? Ich zeige Ihnen die wesentlichen Punkte, die Sie beachten müssen.
Nachfolger Privacy Shield auf dem Weg?
Die Präsidentin der EU-Kommission Ursula von der Leyen twitterte heute, dass Europa und die USA einen Nachfolger zum Privacy Shield auf den Weg gebracht haben.
Kommt das Verbot der Cookies und der Echtzeitwerbung?
Kommt jetzt das Verbot der Cookies und der Echtzeitwerbung? Was sollten Betreiber von Webseiten mit dem TCF-Standard jetzt tun?
Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?