Allgemeines
In einem datenschutzrechtlichen Löschkonzept wird definiert, wie und wann personenbezogene Daten durch die verantwortliche Stelle gelöscht werden.
Bei der Erstellung eines Löschkonzepts müssen verschiedene Aspekte beachtet werden. Hiervon sollen im Folgenden einige zur Orientierung aufgezeigt werden.
Welche Vorgaben gibt es?
Wichtige Rahmenbedingungen für das Löschen personenbezogener Daten sind in Art. 17 der DSGVO vorzufinden – dem sogenannten „Recht auf Vergessenwerden“. In den einzelnen Absätzen der Vorschrift werden Gründe für das Eintreten der Löschfrist (Abs. 1), Maßnahmen des Verantwortlichen (Abs. 2) und Ausnahmen von der Löschfrist (Abs. 3) beschrieben.
Des Weiteren sind die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO zur Zweckbindung, Datenminimierung und Speicherbegrenzung im Rahmen der Erstellung eines Löschkonzepts von Bedeutung.
Vorschläge zum Aufbau eines Löschkonzept werden in der DIN 66398 gemacht. Es handelt sich dabei um eine Leitlinie, die bei der Entwicklung eines Löschkonzepts helfen kann.
Welche Schritte sollten unternommen werden?
Identifizieren der personenbezogenen Daten
Zunächst müssen die verarbeiteten personenbezogenen Daten identifiziert werden. Besondere Aufmerksamkeit sollte auf sensible Daten gelegt werden, da Fehler im Umgang mit diesen Daten erwartungsgemäß schwerer wiegen als solche bei weniger sensible Daten. Es kann hilfreich sein, die Daten nach ihrem Schutzbedarf zu kennzeichnen.
Aufteilung in Datenkategorien
Es ist wichtig, verschiedenen Kategorien von personenbezogenen Daten zu identifizieren, damit im nächsten Schritt die entsprechenden Löschfristen bestimmt werden können.
Definition der Aufbewahrungsfristen
Es müssen die gesetzlichen oder vertraglichen Speicherfristen für die jeweiligen Datenarten herausgearbeitet werden. Die notwendigen Informationen können in der Regel aus dem Verzeichnis von Verarbeitungstätigkeiten (VVT) entnommen werden.
Grundsätzlich sind personenbezogenen Daten mindestens so lange aufzubewahren, wie dies gesetzlich vorgeschrieben ist.
Es muss berücksichtigt werden, zu welchem Zweck die personenbezogenen Daten erhoben wurden und ob dieser Zweck noch besteht (Zweckbindung). Denn nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogenen Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Die maximale Aufbewahrungsdauer richtet sich danach, wie es gegebenenfalls ein berechtigtes Interesse der Verantwortlichen verlangt.
Eine von der gesetzlichen Aufbewahrungsfrist abweichende Löschfrist für eine Datenart erfordert immer eine Begründung. Es dürfen zudem keine gesetzlichen Aufbewahrungsverbote dem berechtigten Interesse des Verantwortlichen entgegenstehen.
Festlegung der Löschverfahren
Für jede Datenkategorie müssen Umsetzungsregeln mit konkreten Handlungsanweisungen definiert werden. Es muss festgelegt sein, wie die Daten zu löschen sind. Die jeweils verantwortlichen Personen für die datenschutzkonforme Umsetzung sind zu benennen.
Es müssen angemessene technische und organisatorische Maßnahmen (TOM) ergriffen werden, um sicherzustellen, dass die Daten tatsächlich gelöscht wurden und nicht mehr wiederhergestellt werden können.
Dokumentation
Das Löschkonzept sollte mit allen Bestandteilen dokumentiert werden, um die Einhaltung der gesetzlichen Vorgaben nachweisen zu können. Dies umfasst auch Informationen wie Datum und Uhrzeit der Löschung, Art der gelöschten Daten und verantwortliche Personen. Außer den Namen der für die Löschung verantwortlichen Personen enthält das Löschprotokoll keine weiteren personenbezogenen Daten.
Überprüfung
Es ist wichtig, dass das Löschkonzept regelmäßig überprüft und aktualisiert wird.
Fazit
Die Erarbeitung eines Löschkonzepts ist eine nicht einfache, aber elementare Aufgabe. Verantwortliche sollten dieses grundlegende Thema daher auch im eigenen Interesse nicht außer Acht lassen.