Löschkonzepte - Typische Fehler und Tipps zum Inhalt

Die Darstellung gibt meine Erfahrungen aus der externen Plausibilitätskontrolle eine vielzahl von Fachkonzepten wieder und soll als Anregung für die Erstellung  von öschkonzepte dienen. Die Liste ist nicht abschließend in dem Sinne, dass alle für ein Fachkonzept/Löschkonzept notwendigen Punkte aufgeführt werden!

Zur Erstellung eines Löschkonzepts: Siehe mein Beitrag "In vier Schritten zum Löschkonzept"

1) Ist der Umfang des Fachkonzeptes korrekt angegeben?

Das Löschkonzept sollte die DSGVO-Regelungen bzw. Themenbereiche konkret bezeichnen, deren Umsetzung das Löschkonzept dient. Dabei kann es auch sinnvoll sein, konkret darzulegen, welche DSGVO Bestimmungen nicht geprüft wurden. Wichtig ist auch, das deutlich wird, welche Prozesse (z.B. Bewerbung; nur online auch auch papier-baisert), welche Software bzw Systeme (z.B. Online-Bewerberplattform oder auch Bewerbungen im E-Mail Postfach) und Hardware konkret von dem Löschkonzept abgedeckt sind.

Typischerweise haben Löschkonzepte (nur) die Löschung von Daten zu Gegenstand. Hierbei sollte differenziert werden zwischen der „routinemaßigen“ Löschung und der Löschung im Einzelfall, die auf einem vom Betroffenen ausgeübten Recht nach Art. 17 DSGVO erfolgt (z.B. Löschung aufgrund eines Widerspruchs des Betroffenen wegen seiner besonderen Situation im Falle einer Interessenabwägung). Wenn in den Löschkonzepten auch weitere Anforderungen der DSGVO behandelt werden, sollte im Fachkonzept dargestellt werden, welche dies sind und ggf. in welchem Umfang.

Insbesondere sollte vermieden werden, dass ein Löschkonzept den Anschein erweckt, die vollständige DSGVO-Konformität zum Gegentand zu haben, wenn dies faktisch nicht erfolgt.

2) Sind die Datenarten aus dem Fachkonzept ersichtlich?

Aus dem Löschkonzept sollten die verschiedenen Datenarten ersichtlich sein. Eine Auflistung aller Felder ist bei kleinen Anwendungen sinnvoll, empfehlenswert ist aber – jedenfalls bei größeren Anwendungen  –  eine sinnvolle Gruppierung in Datenarten (z.B. Stammdaten, Kontaktdaten, Vertragsdaten, Krankheitsfehlzeiten etc.). Die Daten sollten mit Blick auf den Nutzungszweck (s.u.) gruppiert werden.

3) Sind die Nutzungszwecke aus dem Fachkonzept ersichtlich?

Da die Speicherfrist vom Nutzungszweck abhängig ist, muss aus dem Fachkonzept ersichtlich sein, wofür die Datenarten jeweils genutzt werden.

Bei sehr kleinen Anwendungen kann sich der Nutzungszweck aus der Systembeschreibung ergeben. Es bietet sich jedoch immer an, die Nutzungszwecke konkret zu benennen und zwischen Datenarten zu differenzieren (z.B. Kontaktdaten werden auch zur werblichen Ansprache genutzt und nicht nur zur Vertragserfüllung).

4) Sind Dauer und Beginn der Löschregel festgelegt?

Bei der Löschregel sind die Dauer (z.B. 6 Jahre) und der konkrete Beginn anzugeben. Bei der Angabe „Ende einer Geschäftsbeziehung“ sollte dies konkretisiert werden, z.B. „Ende des Kundenabonnements/Arbeitsvertrags“.

5) Ist die Löschfrist begründet?

Die gewählte Löschfrist ist zu begründen. Wenn z.B. eine gesetzliche Aufbewahrungsfrist als Grundlage dienen soll, muss die konkrete Norm angegeben werden, etwa:

• Bei Handelsbriefen: § 257 Abs. 1 Nr. 2,3, Abs. 4, 5 HGB (sechs Jahre ab Ende des Kalenderjahres, in dem der Handelsbrief empfangen/abgesendet wurde)
• Bei Buchungsbelegen: § 147 Abs. 1 Nr. 3, Abs. 3, 4 AO (10 Jahre ab Ende des Kalenderjahres, in dem der Buchungsbeleg entstanden ist)

Auch ist darzulegen, warum eine bestimmte Datenart unter eine bestimmte Aufbewahrungsrist fällt, also z.B. warum es sich bei den Daten um Handelsbriefe oder Buchungsbelege handelt.

Wird die Löschfrist nicht mit einer gesetzliche Aufbewahrungsfrist begründet, müssten die Erwägungen dargestellt werden, aus der die Speicherfrist abgeleitet wird (z.B. bei Daten zu Mitarbeitergesprächen, dass die entsprechenden Protokolle nach X Jahren für Bewertungen und Vergütung keine Relevanz mehr haben).

6) Wird die Umsetzung der Löschregel erläutert?

Anzugeben ist auch, wie die Umsetzung der definierten Löschfrist konkret erfolgt. Folgende Kategorien können dabei helfen

• Automatische systemseitiges Löschen (im System kann die Löschfrist hinterlegt werden und das System löscht eigenständig)
• Manuelle Löschung: die Löschung muss manuell „angestoßen“ werden. In diesem Fall sollte angegeben werden:
  • wer intern für das „Anstoßen“ verantwortlich ist
  • wie die Umsetzung sichergestellt ist (z.B. interne Anweisung)
  • wie die Umsetzung konkret erfolgt (Nutzung einer Löschfunktion für einzelne Datensätze, Löschung auf Datenbankebene, Löschen durch Aufruf eines individuellen Skripts etc.)

Von einem Löschen sollte nur gesprochen werden, wenn die Daten endgültig nicht wieder herstellbar sind. In Datenbanken stehen Objekte oft in Beziehung zueinander, sodass das Löschen eines Datensatzes Auswirkungen auf andere Tabellen und Datensätze haben kann. In diesen Fällen werden die unmittelbar personenidentifizierenden Angaben (z.B. Name, E-Mail, Anschrift, Personal-/Kundennummer) häufig lediglich überschrieben, der Datensatz aber beibehalten. Wenn hierdurch eine Widerherstellung des Personenbezugs der Daten mit verhältnismäßigem Aufwand unmöglich wird, liegt ein Anonymisieren vor. Nur wenn dies der Fall ist dies einem Löschen gleichgesetzt werden. Ist ein Personenbezug (ggf. mittels Zusatzinformationen) möglich und nicht völlig unrealistisch, so liegt lediglich ein Pseudonymisieren vor; dies kann dem Löschen nicht gleichgesetzt werden.

Im Löschkonzept ist deshalb darzustellen wie die Löschung konkret erfolgt (z.B. endgültiges Löschen des ganzen Datensatzes, überschreiben bestimmter Felder zur Anonymisierung).

Das Verschieben von Daten in ein Archiv oder die Einschränkung der Verarbeitung oder der Sichtbarkeit für bestimmte Nutzergruppen ist kein Löschen im Sinne der DSGVO.

7) Wird das Sperren von Daten erläutert?

Sperren meint das Einschränken der Verarbeitung. Eine Sperrung erfolgt typischerweise wenn die Daten nicht mehr „produktiv“ genutzt werden, aber aufgrund gesetzlicher Aufbewahrungsfristen noch nicht gelöscht werden können (z.B. Daten über Reklamationen werden nach der Abarbeitung durch den Kundensupport gesperrt, aber erst gelöscht, wenn die gesetzlichen Aufbewahrungsfristen oder Verjährungsfristen enden; der „gesperrte“ Datensatz wird in ein anderes System übertragen, wo er nur von einem Administrator, nicht aber von einem Sachbearbeiter aufgerufen werden kann).

Wenn eine Sperrung erfolgt, ist im Löschkonzept anzugeben:

• Wie erfolgt die Sperrung (z.B. Ändern von Nutzungsrechten, Setzen eines Merkmals, Übertragung in ein Archivsystem)?
• Welche Folge hat die Sperrung (z.B. nur noch sichtbar für Administratoren oder Einschränkung der Bearbeitungsrechte).  
• Wann werden die gesperrten Datensätze endgültig gelöscht (Sperren ist kein Löschen!)?

Die Sperrung von Daten kann sich aus dem Grundsatz der Zweckbindung ergeben (z.B. wenn Daten nicht mehr „produktiv“ genutzt werden, müssen auch nicht alle darauf zugreifen könne). Zudem kann eine Sperrung von Daten auch im Einzelfall nötig sein, wenn ein Betroffener sein Recht nach Art. 18 DSGVO ausübt. In Hinblick auf Letzteres sollte geprüft werden, welche Fallgruppen des Art. 18 DSGVO für das konkrete System relevant erscheinen und welche Anforderungen an eine Sperrung daraus folgen.

8) Ist das Löschen in Archiven und Backups dargestellt?

Es sollte dargestellt werden, wann Daten in Backups gelöscht werden (z.B. rollierendes Überschreiben nach 24 Stunden) und wann Daten in Archiven gelöscht werden.

9) Wird das Löschen bei etwaigen Auftragsverarbeitern erläutert?

Werden die Daten (auch) bei externen Auftragsverarbeitern gespeichert sollte dargestellt werden, wie die Löschung dort konkret umgesetzt wird (z.B. Implementierung einer systemseitigen automatischen Löschung oder Einzelweisung für jede Löschung im Einzelfall/pro Jahr; Wer stößt die Löschung wie an?).

10) Weiterführende Informationen

Wer vertieft in die Materie der Löschkonzepte einsteigen will, dem sei eine Lektüre der DIN 66398/Leitlinie Löschkonzept empfohlen.