Leitlinien zur Entwicklung eines Löschkonzepts


"Mehr Muss als Kann." Die DSGVO sieht eine gesetzliche Verpflichtung vor Daten zu löschen, sobald sie für den Zweck erforderlich sind und keine Aufbewahrungsfristen der Löschung entgegenstehen. Dementsprechend wären im Unternehmen Löschroutinen zu erstellen, die den Umgang mit zu löschenden Daten umsetzt. Die Löschung von personenbezogenen Daten basieren auf Bundesdatenschutzgesetz (BDSG n. F.) und den Art 35 Abs. 2 sowie Art. 5 Abs. 1 sowie 17 DSGVO.


Idealerweise geht es bei der Verarbeitung personenbezogener Daten um die automatische Löschung. Hilfreich zum Aufbau eines Löschkonzepts ist die DIN 66398, sie definiert ein Modell zur Entwicklung und Etablierung des besagten Löschkonzepts, und gibt Vorgehensweisen für Löschregeln vor. Dabei werden die Dantenbestände des Unternehmens in Datenarten aufgeteilt, für jede dieser Datenarten sodann Löschregeln definiert. Wobei die Löschregeln aus zwei Angaben bestehen:


  • Löschregelfrist und

  • Startzeitpunkt, ab dem die Regellöschfrist läuft sowie

  • die rechtzeitige Löschung der betroffenen Daten

Konkrete Löschfristen sind in der DIN-Form jedoch nicht festgelegt, die vielmehr von spezellen Vorgaben des Unternehmens abhängen. Damit bleibt für die verantwortliche Stelle die Pflicht, ein sog. Allheilmittel bezüglich der Datenarten festzulegen. Was in der Regel einer Herkules-Aufgabe gleichkommen kann.


Es drohen hohe Bussgelder

Mit bis zu 20 Millionen bzw. 4% des weltweiten Jahresumsatzes sind Verstösse gegen die Verpflichtung zur Erstellung eines Löschkonzeptes bewehrt. Geldbußen von 10 Millionen Euro können für Verstöße gegen Art. 25 (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) bzw.. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) ausgesprochen werden. Ausnahmen für die Verarbeitung besonderer Kategorien personenbezogener Daten sind in Art. 9 DSGVO festgelegt und entsprechend zu beachten.

Für Löschregeln und alle damit verbundenen Datenarten besteht eine Dokumentationsverpflichtung.


Welche Elemente eines Löschkonzepts sind noch zu beachten?

Neben der Beschreibung der Vorgehensweisen für die Entwicklung des Löschkonzets gibt es noch weitere Maßnahmen, die zu implementieren sind. Dazu zählen die Übersicht über die Dokumente, die Umsetzungsvorgaben sowie die Zuweisung von Verantwortlichen zur Durchführung der Löschung. Aus diesen Elementen entstehen letztendlich die erforderlichen Umsetzungsvorgaben in Verbindung mit der genannten DIN-Norm.


Die Entwicklung von Löschklassen

Eine Regellöschfrist trägt diese Bezeichnung, weil sie für die datenschutztrechtliche Löschung personenbezogener Daten angewandt wird. Damit verbunden sind die sog. Startzeitpunkte, insbesondere folgende drei Typen:


  • ab Erhebung von personenbezogenen Daten

  • ab dem Ende eines Verarbeitungsvorgangs

  • ab dem Ende der Beziehung zu den betroffenen Personen


Aus diesen drei Typen ergibt sich auch das Werkzeug einer Matrix, um den Katalog der Löschregeln zu erarbeiten und dort die Datenarten einzuarbeiten.


Anmerkung:

Die DIN-Norm 66398 ist als eine Empfehlung zu verstehen, um die rechtlichen Verpflichtungen zur Löschung personenbezogener Daten zu erfüllen.





0 Ansichten

Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.