Muster für ein Löschkonzept

Der berüchtigte Schrank am Ende des Flurs, das Archiv auf dem Dachboden - überall lauern Datenberge.

Auf der Suche nach einem geeigneten Muster für ein Löschkonzept stößt man häufig auf sperrige Vorlagen. Folgender Beitrag stellt die Anforderungen für die Erstellung eines Löschkonzepts zusammen.

zerknülltes Paier als Sinnbild für den Löschvorgang

Brauche ich ein Löschkonzept?

Unternehmen müssen sämtliche Daten löschen, die sie nicht mehr brauchen und für die es keine Aufbewahrungspflichten gibt. Die Geschäftsführung muss daher geeignete Maßnahmen treffen oder delegieren, die ein rechtzeitiges Löschen sicherstellen (Art. 24 Abs. 1 DSGVO). Dies allein reicht jedoch noch nicht aus. Das Löschen muss zudem auch in nachweisbarer Form erfolgen (Art. 5 Abs. 2 DSGVO) und regelmäßig überprüft werden (Erwägungsgrund 39 S. 10).

Ohne ein schriftliches Löschkonzept ist das kaum möglich.

Die Kunst des Löschens

 

Neben dem subjektiven Recht des Betroffenen, die Löschung seiner personenbezogenen Daten zu verlangen, gibt es für den Verantwortlichen auch eine objektive Pflicht zur Löschung.

Daten von Betroffenen müssen also auch ohne ihr Tätigwerden gelöscht werden. Es reicht daher nicht einfach abzuwarten, bis mal ein Betroffener seine Rechte geltend macht. Vielmehr ist regelmäßig in eigener Verantwortung zu prüfen, ob die vorhandenen Daten zu löschen sind.

Dies kann nur mithilfe eines Löschkonzepts bewerkstelligt werden.

Für die Löschung von Daten gibt es daher grundsätzlich zwei verschiedene Anlässe:

 

 

 

 

Ein Löschkonzept muss die Frage beantworten, welche Daten wann und wie zu löschen sind.

Muster für ein Löschkonzept

Die schlechte Nachricht voran: Es gibt kein für alle Branchen vordefiniertes und vollständiges Muster für ein Löschkonzept. Dieses muss vielmehr auf das Unternehmen selbst angepasst und fortlaufend weiterentwickelt werden.

Das bedeutet aber nicht, dass Sie jetzt mit einem leeren weißen Blatt Papier starten müssen. Für die Erstellung eines Löschkonzeptes steht mit der DIN 66398 eine geeignete Leitlinie zur Verfügung. Basierend auf dieser Leitlinie finden Sie im Folgenden die wesentlichen Anforderungen für ein Löschkonzept.

Erstellung eines Löschkonzepts

Grundsätzlich sollten für die Erstellung eines Löschkonzeptes folgende sechs Schritte umgesetzt werden:

Schritt 1: Bestandaufnahme und Kategorisierung der Datenarten
Zunächst müssen alle vorhandenen Daten im Unternehmen kategorisiert werden.

Schritt 2: Festlegen von Löschregeln
Prüfen Sie für jede Datenart/ Kategorie, ob gesetzliche Aufbewahrungspflichten eingreifen und wann diese zu laufen beginnen.

 

Schritt 3: Ausnahmen zu Löschfristen prüfen
Prüfen Sie für jedes Datum, ob dieses noch für die Verteidigung oder Ausübung von Rechtsansprüchen (gerichtlich oder außergerichtlich) erforderlich ist

Schritt 4: Festlegung von Standardlöschfristen
Datenarten mit gleicher Löschfrist und gleichem Fristbeginn können zusammengefasst werden.

Schritt 5: Planung des Löschvorgangs
Nach Ablauf der jeweiligen Aufbewahrungspflicht hat die Löschung der Daten unverzüglich stattzufinden. Die Zeit zwischen Ablauf der Aufbewahrungsfrist und dem eigentlichen Löschvorgang sollte so kurz wie möglich sein.

Schritt 6: Verantwortung übertragen
Übertragen Sie die Verantwortung für die Einhaltung der Vorgaben aus dem Löschkonzept.

Schritt 1: Bestandsaufnahme

Zunächst ermitteln Sie alle vorhandenen Datenarten. Eine Datenart oder Datenkategorie ist ein Teil des Datenbestandes, der für einen einheitlichen Zweck verarbeitet wird.

Nehmen sie hierfür das eigene Verzeichnis der Verarbeitungstätigkeiten zur Hand. In diesem finden Sie Ihre Verarbeitungstätigkeiten. Eine Verarbeitungstätigkeit ist nicht gleichzusetzen mit der entsprechenden Datenart. Aber mithilfe des Verzeichnisses erhalten Sie einen guten Überblick über die vorhandenen Datenarten.

Die Ausarbeitung bzw. Abgrenzung der Datenarten sollte anhand von unterschiedlichen Zwecken und Betroffenen erfolgen.

VerarbeitungstätigkeitBeispiel für Datenart
PersonaldatenverarbeitungStammdaten von Beschäftigten

Abmahnungen

 

FinanzbuchhaltungBuchhaltungsdaten

Buchungsbelege

Rechnungen

Handels- oder Geschäftsbriefe.

Lohn- und GehaltsabrechnungBuchungsbelege

 

BewerbermanagementBewerberdaten
KommunikationStammdaten von Kunden

Kernstammdaten von Lieferanten

Ergänzende Stammdaten von Lieferanten

Schritt 2: Festlegen von Löschregeln

Es macht keinen Sinn, jede Datenart als Einzelfall zu betrachten. Im zweiten Schritt werden daher für die zuvor ermittelten Datenarten entsprechende Löschregeln festgelegt. Diese bestimmen, wann eine Datenart generell zu löschen ist.

Zur Erstellung einer Löschregel benötigen wir den Fristbeginn und die Löschfrist (auch Regellöschfristen genannt).

Beispiel: Für Handels- und Geschäftsbriefe, wie E-Mails oder Briefe, beginnt die Frist mit dem Schluss des Jahres, in dem diese empfangen oder abgesandt wurden (§ 147 Abs. 4 AO). Die Löschfrist für Geschäftsbriefe, die im Jahr 2019 empfangen wurden, beginnt mithin am 31.12.2019.

Neben dem Fristbeginn brauchen wir jetzt noch die Frist, bis zu welcher die jeweilige Datenart zu löschen ist. Diese setzt sich aus der sogenannten Vorhaltefrist und der Gestaltung des Löschprozesses zusammen.

Regellöschfrist setzt sich aus Vorhaltefrist und Zeit für Löschprozesse zusammen

Beispiel: Handels- und Geschäftsbriefe sind 6 Jahre aufzubewahren (§ 147 Abs. 1 Nr. 2, Abs. 3 AO). Die Vorhaltefrist beträgt also 6 Jahre. Die Gestaltung des Löschprozesses sollte nicht länger als ein Jahr dauern. Dadurch ergibt sich eine Regellöschfrist von 7 Jahren.

Die Gestaltung des Löschprozesses sollte in Bezug auf die jeweilige Datenart verhältnismäßig sein. Unter bestimmten Umständen oder bei besonders sensiblen Daten kann die Vorhaltefrist auch der Regellöschfrist entsprechen.

Schritt 3: Prüfung von Ausnahmen zu Löschfristen

Nach Ablauf einer Aufbewahrungsfrist greift nicht automatisch eine Löschpflicht ein. Vielmehr kann weiterhin ein berechtigtes Interesse an der Archivierung bestehen. In manchen Fällen werden Daten noch für die Verteidigung oder Ausübung von Rechtsansprüchen gebraucht. Dann sollten Sie die betroffenen Daten einer längeren Löschfrist zuordnen.

Umgekehrt kann bei Massendaten von Endkunden teilweise schon vor Ablauf der gesetzlichen Aufbewahrungsfrist eine weitgehende Pseudonymisierung oder gar Anonymisierung durchgeführt werden.

Die Entscheidung, welche Daten nach welcher Frist gelöscht werden sollten, ist daher keine rein rechtliche Frage. Sie sollte daher unter Einbeziehung der Geschäftsleitung, der „Datenowner“ und der IT getroffen werden.

Schritt 4: Festlegung von Standardlöschfristen

Nach Durchführung der ersten drei Schritte kommen Sie für Ihre Datenarten zu einer Vielzahl an Löschregeln. Dies wirkt zunächst wenig übersichtlich. Datenarten, für welche die gleiche Löschfrist und der gleiche Fristbeginn gelten, können jedoch in sogenannten Löschklassen zusammengefasst werden.

Im Ergebnis erhalten Sie eine überschaubare Anzahl an Löschklassen. Jeder Löschklasse ist eine Standardlöschfrist zugeordnet.

Beispiel: Neben Handels- und Geschäftsbriefen wurden Preislisten als Datenart „Sonstige Unterlagen“ bestimmt. Auch für die Datenart „Sonstigen Unterlagen“ beginnt die Regellöschfrist von 7 Jahren mit Schluss des Jahres ihrer Entstehung. Beide Datenarten können daher zu einer Löschklasse zusammengefasst werden.

Schritt 5: Planung des Löschvorgangs

Nach Festlegung der Löschregeln und Standardfristen muss deren Umsetzung geplant werden.

Die in Schritt 1 bestimmten Datenarten werden gewöhnlich in unterschiedlichen Stellen, Prozessen und IT-Systemen gespeichert.

Beispiel: Handels- und Geschäftsbriefe werden im CRM-System, auf dem E-Mail Server und auf mobilen Geräten gespeichert.

Die zu treffenden Umsetzungsvorgaben müssen daher sicherstellen, dass sämtliche Daten einer Datenart in jedem einzelnen IT-System gelöscht werden.

Für jede Datenart sollte insbesondere festgelegt werden,

• in welchen IT-Systemen diese gespeichert sind.
• welche Mechanismen für die Löschung durchgeführt werden müssen
• welche Schutzstufen bzw. Sicherheitsanforderungen ggf. zu berücksichtigen sind.

Muster für Löschkonzept

Schritt 6: Verantwortung übertragen

Das Löschkonzept sollte auch klar definieren, wer verantwortlich ist für die
• Entwicklung und Fortschreibung des Löschkonzeptes
• Einhaltung und tatsächliche Durchführung des Löschens.
• Kontrolle des ordnungsgemäßen Löschens.
• Beantwortung von Löschbegehren.

Das eigene Löschkonzept

Auch wenn es kein fertiges Muster für ein Löschkonzept geben kann, müssen Sie das Rad nicht neu erfinden. Gern unterstütze ich Sie beim Entwurf und der Umsetzung eines eigenen Löschkonzeptes.

Hierfür erhalten Sie von mir branchenspezifische Vorlagen und Anleitungen. Im Rahmen der nachfolgenden Projektphasen erarbeiten wir zusammen ein für Ihr Unternehmen passendes Löschkonzept.

Vertrauen Sie gern auf meine Expertise. Ich stehe Ihnen in Dresden, aber auch gern deutschlandweit, zur Verfügung.