cherezoff - stock.adobe.com

Ein Löschkonzept nach Datenschutz-Grundverordnung erstellen

Die Löschpflichten nach DSGVO sollten in einem Löschkonzept abgebildet werden. Dadurch lassen sich Löschfristen nachvollziehbar und zuverlässig umsetzen.

Umfragen zeigen, dass viele Unternehmen weiterhin Probleme mit der Umsetzung und Einhaltung der Datenschutz-Grundverordnung (DSGVO/GDPR) haben. In der Praxis schwierig umzusetzen, ist zum Beispiel das neue Recht auf Datenportabilität – also der Übertragbarkeit der Daten. Laut DSGVO haben betroffene Personen das Recht, die Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigem und maschinenlesbarem Format zu erhalten oder an einen anderen Dienst senden zu lassen. „Für viele Unternehmen ist immer noch nicht geklärt, welche Daten davon umfasst sind und ab wann die Rechte anderer Betroffener verletzt werden könnten“, so Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Doch nicht nur neue Betroffenenrechte nach DSGVO stellen eine Herausforderung dar. Auch Rechte der Betroffenen, die es in ähnlicher Form bereits im früheren Bundesdatenschutzgesetz (BDSG) gab, sind für Unternehmen nicht leicht umzusetzen. Dazu gehört das Recht auf Löschung, das zu einem Recht auf Vergessenwerden (Artikel 17 DSGVO) erweitert wurde.

Es ist jetzt wichtig, nach Modellen zu suchen, wie sich ein Löschkonzept nach DSGVO/GDPR im eigenen Unternehmen erstellen und implementieren lässt.

Leitlinie zur Entwicklung eines Löschkonzepts

In der Datenschutz-Grundverordnung findet man (wie in Gesetzen und Verordnungen üblich) kein konkretes Löschkonzept, sondern Vorgaben, die mit einem solchen Konzept umzusetzen sind:

  • Speicherbegrenzung nach Artikel 5 DSGVO: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“
  • Recht auf Löschung / Recht auf Vergessenwerden (Artikel 17 DSGVO) nennt insbesondere diese Gründe für das Löschen:
    • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
    • Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
    • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
    • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
    • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

Grundsätzlich müssen dabei aber auch Gründe beachtet werden, die gegen eine Löschung sprechen, insbesondere rechtliche und vertragliche Aufbewahrungspflichten. Die DSGVO besagt dazu in Artikel 17: Die Löschverpflichtung gilt nicht, „soweit die Verarbeitung erforderlich ist

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (…);
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke (…), oder
  5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“

Um die richtige Frist für die Löschung zu finden, müssen also die Gründe für die Löschung und die Aufbewahrung gleichzeitig beachtet werden. Hilfreich ist hierbei insbesondere die Norm DIN 66398 (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten).

Inhalte der Norm DIN 66398

In der Norm findet man Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten in einem Löschkonzept für personenbezogene Daten. Die Norm nennt ein Vorgehen, mit dem Löschfristen bestimmt werden können. Dazu gehören folgende Schritte:

  • Man bestimmt die verschiedenen Datenarten (Daten, die zu einem gemeinsamen Zweck verarbeitet werden), die es im Unternehmen gibt.
  • Man ermittelt die Löschfristen (die verschiedenen Zeitspannen, nach der die Daten gelöscht werden sollen, unter Beachtung der Aufbewahrungsfristen).
  • Man legt fest, wann die jeweiligen Löschfristen beginnen sollen (in der Norm Startzeitpunkt genannt).
  • Die Datenarten werden in Löschklassen (Matrix nach Löschfrist und Startzeitpunkt) zusammengefasst.
  • Für jede Löschklasse definiert man eine Löschregel. Die konkrete, technische Umsetzung spezifiziert man in einer Umsetzungsregel.
  • Abschließend legt man die Verantwortlichkeiten für die Umsetzung fest und dokumentiert die Festlegungen. Dabei muss auch an die regelmäßige Kontrolle und Pflege des Löschkonzeptes gedacht werden.

Die wesentliche Vereinfachung ist also, Gemeinsamkeiten bei der Löschung bei verschiedenen Datenarten zu nutzen, also gemeinsame Löschfristen, Startzeitpunkte und Löschverfahren (Umsetzungsregeln).

Das Löschen von Daten wird dadurch transparenter und weniger komplex, eine wichtige Hilfe bei der Umsetzung der DSGVO/GDPR.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Betroffenenrechte der DSGVO umsetzen

Kostenloser E-Guide: Cloud Storage und die EU-DSGVO/GDPR

Erfahren Sie mehr über Datensicherheit