Löschkonzept

 

Worum geht es?

In einer Vielzahl von Geschäftsprozessen spielt die Verarbeitung von personenbezogenen Daten eine elementare Rolle. Um den Vorgaben der Datenschutz-Grundverordnung (DS-GVO), des Bundesdatenschutzgesetzes (BDSG) sowie dem Kirchengesetz über den Datenschutz in der Evangelischen Kirche in Deutschland (DSG-EKD) gerecht zu werden, besteht die Erfordernis eines Löschkonzepts.

Für die Erhebung, Verarbeitung und Weitergabe von personenbezogenen Daten ist eine Rechtsgrundlage genauso erforderlich wie das Bestehen eines Verarbeitungszweckes. Eine weitere Aufbewahrung oder Speicherung von personenbezogenen Daten nach Wegfall eines verarbeitungsabhängigen Zweckes ist grundsätzlich nicht erlaubt und Daten sind zu löschen. Doch auch hier gilt, dass Ausnahmen die Regel bestätigen – es sind einige Faktoren heranzuziehen, bevor sichergestellt werden kann, dass personenbezogene Daten gelöscht werden dürfen bzw. müssen.

Das Recht auf Löschung gem. Art. 17 DS-GVO ist eine komplexe Aufgabe, da sie im Zwiespalt zu den Dokumentationspflichten, den einrichtungsspezifischen Aufbewahrungsfristen und den gesetzlichen Aufbewahrungsfristen stehen kann. Unterschiedliche Herangehensweisen für Papierdokumente, Dateien im Filesystem und Daten in Datenbanken müssen bei dem Recht auf Löschung betrachtet werden.

Als Grundlage für ein Löschkonzept ist es hilfreich sich an der Standard-Norm DIN 66398 zu orientieren.

Regelungsinhalte eines Löschkonzepts

Im Rahmen der Erstellung eines Löschkonzepts sollten u.a. folgende Punkte Beachtung finden:

  • Lebenszyklus von (personenbezogenen) Daten, zweckgebundene Verwendung
  • Harte (gesetzliche vorgegebene) und weiche Aufbewahrungsfristen
  • Standardlöschfristen und Löschregeln
  • Ausnahmen, Sonderfälle (z.B. Beweissicherung, unverhältnismäßig hoher Aufwand etc.)
  • Anforderungen an genutzte Anwendungen, Verfahren zur Löschung

Ihr Nutzen

Die Erstellung eines Löschkonzepts hat mehrere Vorteile:

  1. Verbindliche Vorgaben zur Löschung von Daten durch definierte Aufbewahrungs-/Löschfristen
  2. Festlegung von Verantwortlichkeiten zur Umsetzung der Vorgaben in den Fachabteilungen
  3. Klarheit über die Form der Löschung
  4. Umsetzung der vertraglichen Inhalte in Auftragsverarbeitungsvereinbarungen
  5. Sicherstellung von Betroffenenrechte

Sollten Sie Fragen oder Unterstützung zur Erstellung und Umsetzung eines Löschkonzepts haben, sprechen Sie uns gerne an.

Verfasser: Thorsten Jordan