Beratung zum Lösch- und Aufbewahrungskonzept nach EU-DSGVO

Personenbezogene Daten müssen gemäß den Vorgaben der DSGVO gelöscht werden, wenn diese nicht mehr benötigt werden oder eine betroffene Person die Löschung fordert. Ein Löschkonzept stellt sicher, dass die personenbezogenen Daten entsprechend den Vorgaben gelöscht werden indem es festlegt, wer wann wie welche Daten zu löschen hat.

In einem Unternehmen werden über die Zeit eine Vielzahl an personenbezogenen Daten erhoben. Da die Daten meist nicht an einer zentralen Stelle gespeichert werden, haben die meisten Unternehmen keinen Überblick darüber, welche Daten wo gespeichert sind. Es können nur diejenigen Daten gelöscht werden, über deren Existenz man sich bewusst ist.

Da das Thema Löschen erst seit Einführung der DSGVO an regulatorischer Relevanz gewonnen hat, wurde bei den meisten Systemen eine Maßnahme zur Löschung noch nicht berücksichtigt. Das muss also nun im Nachhinein korrigiert werden. Auch in Zusammenhang mit umfassenden Backups müssen Regelungen und Prozesse das Löschen von personenbezogenen Daten sicherstellen.

Ebenso stellen die Anforderungen an die Nachweise über die Löschung der personenbezogenen Daten sowie die kurzen Fristen zur Beantwortung von Löschbegehren durch betroffene Personen vor viele Herausforderungen.

Ja, aus den Vorschriften der DSGVO lässt sich eine gesetzliche Pflicht ableiten.

Jedes Unternehmen das personenbezogene Daten verarbeitet muss die Vorgaben der DSGVO einhalten und somit Daten regelbasiert und auf Anfrage von betroffenen Personen löschen. Um den Transparenz- und Rechenschaftspflichten aus der DSGVO nachzukommen, ist das Löschvorgehen im Rahmen eines Löschkonzeptes zu dokumentieren.

Unverzüglich, wenn die Datenhaltung nicht mehr erforderlich ist oder das „Recht auf Löschung“ geltend gemacht wird.

Personenbezogene Daten müssen in Einklang mit Artikel 17 DSGVO gelöscht werden, wenn die für die definierten Zwecke der Erhebung und Verarbeitung nicht mehr erforderlich sind und wenn eine betroffene Person die Löschung fordert. Vor einer Löschung ist zu prüfen, ob beispielsweise eine gesetzliche Aufbewahrungsfrist nach dem Handelsgesetzbuch die derzeitige und sofortige Löschung verhindert.

Um eine hohe Akzeptanz des Löschkonzeptes zu erreichen, sollten frühzeitig alle Abteilungen in denen personenbezogene Daten verarbeitet werden eingebunden werden. Die Fachabteilungen können oft einen wertvollen Beitrag bei der Festlegung der Aufbewahrungs- und Löschfristen liefern.

Ebenso sollte die IT-Abteilung konsequent eingebunden werden. Nur so können die Datenbestände und deren Speicher- und Verarbeitungsorte umfassend identifiziert und eine rechtmäßige, vollumfängliche, regelbasierte und antragsbezogene Löschung von personenbezogenen Daten sichergestellt werden.

Ein Löschkonzept hat mehrere Bestandteile, die sich je nach Größe, Gegebenheiten und Risikolage eines Unternehmen in der Ausführung stark unterscheiden können:

• Es ist der gesamte Datenbestand des Unternehmens zu identifizieren. Je nach Größe des Unternehmens und Menge an personenbezogenen Daten kann es sinnvoll sein, die personenbezogenen Daten in Datenarten zusammenzufassen.
• Unter Berücksichtigung gesetzlicher Aufbewahrungsfristen müssen konkrete Löschregeln definiert werden. Die Löschfristen sollten auf Daten- oder Datenartebene ermittelt werden.
• Es ist zu ermitteln, in welchen Systemen die personenbezogenen Daten gespeichert und verarbeitet werden.
• Das Vorgehen zur Löschung sowie das tatsächliche Löschen muss dokumentiert werden. Nur so können die Rechenschaftspflichten der DSGVO erfüllt werden.

Kein Unternehmen kommt um die Erstellung eines Löschkonzeptes herum. Aufgrund der Komplexität des Themas „Löschen“ gibt es leider kein universelles Löschkonzept-Muster. Ein Löschkonzept muss immer auf die unternehmensspezifischen Gegebenheiten und Rahmenbedingungen angepasst werden.

Gerne beraten wir Sie hinsichtlich der Erstellung eines Löschkonzeptes und unterstützen Sie bei der Umsetzung eines individuell auf Ihr Unternehmen abgestimmtes Löschkonzeptes und helfen Ihnen so, die Einhaltung des Datenschutzes in Ihrem Unternehmen sicherzustellen.