Vier Schritte zum Löschkonzept

Author

Dr. Thomas Helbing

Date Published

Post-Standardbild

Zusammenfassung

  • Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für ihren Verarbeitungszweck erforderlich ist; mit Wegfall der Rechtsgrundlage entsteht eine implizite Löschpflicht.
  • Ein dokumentiertes Löschkonzept stellt die DSGVO-konforme Löschung für die jeweiligen Verarbeitungstätigkeiten sicher.
  • Das Konzept entsteht in vier Schritten: Datenbestand in Datenarten aufteilen, je Datenart eine Löschregel festlegen, Umsetzungsvorgaben definieren und Ausnahmen berücksichtigen.
  • Zur Begrenzung der Komplexität werden Löschregeln aus einem zentral gepflegten Katalog von Löschklassen ausgewählt und unternehmensweit wiederverwendet.

1. Pflicht zur Löschung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 Buchstabe e DSGVO).

Eine Verarbeitung (einschließlich Speicherung) personenbezogener Daten ist zudem nur zulässig, wenn eine Rechtsgrundlage dies gestattet (Art. 6, 7 DSGVO). Mit Wegfall der Rechtsgrundlage entsteht damit eine implizite Pflicht zur Löschung.

Betroffene können nach Art. 17 DSGVO zudem in bestimmten Fällen die Löschung sie betreffender personenbezogener Daten verlangen.

2. Erstellung eines Löschkonzepts

Zur Sicherstellung der DSGVO-konformen Löschung muss das Unternehmen ein Löschkonzept für die jeweiligen Verarbeitungstätigkeiten entwerfen und dies dokumentieren.

Bei der Festlegung eines Löschkonzeptes kann grob wie folgt vorgegangen werden. Weiterführende Hinweise finden sich im Beitrag Löschkonzepte – typische Fehler und Tipps zur Umsetzung.

2.1 Schritt 1: Datenbestand in Datenarten aufteilen

Der Datenbestand ist in einzelne Datenarten zu untergliedern. Eine Datenart umfasst diejenigen personenbezogenen Daten, die einem einheitlichen rechtlichen oder fachlichen Zweck dienen.

Beispiele für Datenarten: Bewerberdaten, Antworten zu einer Mitarbeiterzufriedenheitsumfrage, Daten aus Newsletteranmeldungen, Akten zum betrieblichen Eingliederungsmanagement.

2.2 Schritt 2: Für jede Datenart eine Löschregel festlegen

Für jede Datenart ist im Unternehmen genau eine Löschregel festzulegen. Eine Löschregel besteht aus einer Regellöschfrist und einem Startzeitpunkt.

Beispiel für eine Löschfrist bei Bewerberdaten: Regellöschfrist 90 Tage, Startzeitpunkt: Auswahlentscheidung für einen Kandidaten wurde getroffen.

Beispiel für eine Löschfrist bei Daten aus einer Mitarbeiterzufriedenheitsumfrage: 12 Monate, Startzeitpunkt: Ende der Frist zur Teilnahme an der Umfrage.

Um die Zahl der Löschregeln im Unternehmen überschaubar zu halten, soll eine Löschregel aus dem Anhang „Katalog der Löschregeln (Löschklassen)" ausgewählt werden. Es ist dort eine Regellöschfrist zu wählen (z. B. 90 Tage, 4 Jahre) und ein Startzeitpunkt. Beim Startzeitpunkt ist dieser zu konkretisieren (z. B. Ende eines Vorgangs: „Vorgang" ist die Bewerberauswahlentscheidung; Ende der Beziehung zum Betroffenen: „Ende des Arbeitsverhältnisses").

2.3 Schritt 3: Umsetzung der Löschregeln festlegen (Umsetzungsvorgaben)

Es ist sodann festzulegen, wie die Umsetzung der Löschregeln erfolgt (Umsetzungsvorgaben). Für jede Datenart ist die zugehörige Löschregel heranzuziehen und festzulegen, wie die Löschung konkret erfolgt.

Umsetzungsvorgaben können

  • für übergreifende Aspekte festgelegt werden (z. B. Löschung in Backups oder Löschung von IT-Protokollen)
  • systemspezifisch festgelegt werden, d. h. für alle Datenarten in einem IT-System (z. B. E-Mail-Server, digitale Personalakte)
  • in Form von manuellen Prozessen umgesetzt werden (z. B. Arbeitsanweisungen zum händischen Löschen von Dateien oder zur Vernichtung konkreter Unterlagen)
  • durch Dienstleister umzusetzen sein (z. B. Auftragsverarbeiter, die Postsendungen an Kunden verschicken)

Bei der Festlegung der Umsetzungsvorgaben ist auch zu berücksichtigen:

  • wie der Startzeitpunkt konkret identifiziert werden kann
  • mit welchem Mechanismus gelöscht werden soll (z. B. händisch, automatisch, überschreiben, in den „Papierkorb" verschieben)
  • ob und wie die Löschung dokumentiert wird
  • ob die Regellöschfrist voll ausgenutzt werden soll oder eine frühere Löschung möglich ist, weil die Daten z. B. in einem anderen System noch länger vorgehalten werden

2.4 Schritt 4: Ausnahmen berücksichtigen

In dem Löschkonzept sind Sonderfälle und deren Umsetzung zu berücksichtigen, insbesondere:

  • Daten werden im Einzelfall länger benötigt als üblich und dürfen daher nicht gelöscht werden (z. B. konkreter Rechtsstreit).
  • Daten sollen für Auswertungszwecke anonymisiert (vergröbert oder aggregiert) länger gespeichert werden.
  • Störungen im IT-Betrieb können eine vorübergehende Aussetzung der Löschung erforderlich machen.
  • Ein Betroffener macht im Einzelfall ein Löschbegehren in Bezug auf einen einzelnen ihn betreffenden Datensatz geltend.

3. Anhang: Katalog der Löschregeln (Löschklassen)

Die Löschklassen muss das Unternehmen festlegen; dies hier ist nur ein abstraktes Beispiel. Der Anhang sollte zentral kontinuierlich fortgeschrieben und gepflegt werden, sodass in den einzelnen Feldern festgehalten wird, welche Datenarten welcher Löschregel zugeteilt werden. Eine einmal vorgenommene Zuteilung kann so unternehmensweit übernommen werden.

Über den Autor

Über den Autor

Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Newsletter

  • Over 5,000 satisfied subscribers
  • Tools, templates, checklists and explanations on data protection and IT law.
  • Unsubscribe anytime.