Vier Schritte zum Löschkonzept

Der Beitrag erläutert kurz und knapp, wie in vier Schritten ein Löschkonzept für personenbezogene Daten erstellt werden kann und orientiert sich dabei an der DIN 66398. Zu typischen Fehlern bei Löschkonzepten Siehe auch mein Beitrag "Löschkonzepte - Typische Fehler und Tipps zur Umsetzung".

Pflicht zur Löschung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 Buchstabe e DSGVO).

Eine Verarbeitung (einschließlich Speicherung) personenbezogener Daten ist zudem nur zulässig, wenn eine Rechtsgrundlage dies gestattet (Art. 6, 7 DSGVO). Mit Wegfall der Rechtsgrundlage entsteht damit eine implizite Pflicht zur Löschung.

Betroffene können nach Art. 17 DSGVO zudem in bestimmten Fällen die Löschung sie betreffender personenbezogener Daten verlangen.

Erstellung eines Löschkonzept

Zur Sicherstellung der DSGVO-konformen Löschung muss das Unternehmen ein Löschkonzept für die jeweiligen Verarbeitungstätigkeiten entwerfen und dies dokumentieren.

Bei der Festlegung eines Löschkonzeptes soll kann grob folgt vorgegangen werden:

Schritt 1: Datenbestand in Datenarten aufteilen

Der Datenbestand ist in einzelne Datenarten zu untergliedern. Eine Datenart umfasst diejenigen personenbezogenen Daten, die einem einheitlichen rechtlichen oder fachlichen Zweck dienen.

Beispiel für Datenarten: Bewerberdaten, Antworten zu einer Mitarbeiterzufriedenheitsumfrage, Daten aus Newsletteranmeldungen, Akten zum betrieblichen Eingliederungsmanagement

Schritt 2: Für jede Datenart eine Löschregel festlegen

Für jede Datenart ist im Unternehmen genau eine Löschregel festzulegen. Eine Löschregel besteht aus einer Regellöschfrist und einem Startzeitpunkt.

Beispiel für Löschfrist bei Bewerberdaten: Regellöschfrist 90 Tage, Startzeitpunkt: Auswahlentscheidung für einen Kandidaten wurde getroffen.

Beispiel für Löschfrist bei Daten aus Mitarbeiterzufriedenheitsumfrage: 12, Startzeitpunkt: Ende der Frist zur Teilnahme an der Umfrage.

Um die Zahl der Löschregeln im Unternehmen überschaubar zu halten, soll eine Löschregel aus dem Anhang „Katalog der Löschregeln (Löschklassen)“ ausgewählt werden. Es ist dort eine Regellöschfrist zu wählen (z.B. 90 Tage, 4 Jahre) und ein Startzeitpunkt. Beim Startzeitpunkt ist dieser zu konkretisieren (z.B. Ende eines Vorgangs: „Vorgang“ ist die Bewerberauswahlentscheidung, Ende der Beziehung zum Betroffenen: „Ende des Arbeitsverhältnisses“).

Schritt 3: Umsetzung der Löschregeln festlegen (Umsetzungsvorgaben)

Es ist sodann festzulegen, wie die Umsetzung der Löschregeln erfolgt (Umsetzungsvorgaben). Für jede Datenart ist die zugehörige Löschregel heranzuziehen und festzulegen, wie die Löschung konkret erfolgt.

Umsetzungsvorgaben können

• für übergreifende Aspekte festgelegt werden (z.B. Löschung in Backups oder Löschung von IT-Protokollen)
• systemspezifisch festgelegt werden, d.h. für alle Datenarten in einem IT-System (z.B. E-Mail Server, digitale Personalakte)
• in Form von manuellen Prozessen umgesetzt werden (z.B. Arbeitsanweisungen zum händischen Löschen von Dateien oder zur Vernichten konkreter Unterlagen)
• durch Dienstleister umzusetzen sein (z.B. Auftragsverarbeiter, die Postsendungen an Kunden verschicken)

Bei der Festlegung der Umsetzungsvorgaben ist auch zu berücksichtigen:

• wie der Startzeitpunkt konkret identifiziert werden kann
• mit welchem Mechanismus gelöscht werden soll (z.B. händisch, automatisch, überschreiben, in „Papierkorb“ verschieben)
• ob und wie die Löschung dokumentiert wird
• ob die Regellöschfrist voll ausgenutzt werden soll, oder eine frühere Löschung möglich ist, weil die Daten z.B. in einem anderen System noch länger vorgehalten werden

Schritt 4: Ausnahmen Berücksichtigen

In dem Löschkonzept sind Sonderfälle und deren Umsetzung zu berücksichtigen, insbesondere:

• Daten werden im Einzelfall länger benötigt als üblich und dürfen daher nicht gelöscht werden (z.B. konkreter Rechtsstreit).
• Daten sollen für Auswertungszwecke anonymisiert (vergröbert oder aggregiert) länger gespeichert werden.
• Störungen im IT-Betrieb können eine vorrübergehende Aussetzung der Löschung erforderlich machen.
• Ein Betroffener macht im Einzelfall ein Löschbegehren in Bezug auf einen einzelnen ihn betreffenden Datensatz geltend.

Anhang: Katalog der Löschregeln (Löschklassen):

Die Löschklassen muss das Unternehmen festlegen, dies hier ist nur ein abstraktes Beispiel. Der Anhang sollte zentral kontinuierlich fortgeschrieben und gepflegt werden, sodass in den einzelnen Feldern festgehalten wird, welche Datenarten welcher Löschregel zugeteilt werden. Eine einmal vorgenommene Zuteilung kann so unternehmensweit übernommen werden.