„Recht auf Vergessenwerden“: So funktioniert ein Löschkonzept nach der DSGVO

Das Löschkonzept ist jedem Datenschutz-Verantwortlichen ein Begriff. Die Umsetzung in der Praxis stellt diese jedoch laufend vor Herausforderungen. In diesem Beitrag beschreiben wir die rechtlichen Anforderungen an ein Löschkonzept und wie die Löschpraxis im Unternehmen weitestgehend automatisiert erfüllt werden kann. 

4. Nov 2022 | Datenschutzwissen

Mit der DSGVO hat die Europäische Union 2018 ihren Bürger:innen datenschutztechnisch den Rücken gestärkt.

Insbesondere wurden Regeln zur Speicherbegrenzung von personenbezogenen Daten eingeführt, sowie das sogenannte “Recht auf Vergessenwerden”, das sicherstellt, dass natürliche Personen jederzeit die Löschung der sie betreffenden personenbezogenen Daten verlangen können.

An dieser Stelle kommt das Löschkonzept ins Spiel. Darin regelt ein Unternehmen nämlich genau, wann welche Daten zu löschen sind, wo diese Daten gespeichert werden und wie die Löschung vonstattengeht.

In diesem Beitrag gehen wir darauf ein, was Datenschutzbeauftragte in Unternehmen hinsichtlich des Löschkonzepts beachten müssen und wie die richtige Software diese Arbeit automatisieren und dadurch beschleunigen kann.

So kurz wie möglich und so lang wie nötig: Personenbezogenen Daten zwischen Löschfristen und Aufbewahrungspflichten

Die DSGVO ist die zentrale Grundlage für den Umgang mit personenbezogenen Daten von EU-Bürger:innen in der EU. Hinsichtlich der Löschung personenbezogener Daten ist sie jedoch erstaunlich vage.

Die Notwendigkeit eines Löschkonzepts ergibt sich aus den Artikeln 5 und 17 der DSGVO:

  • Nach Art. 5 gilt der Grundsatz der Speicherbegrenzung. Das heißt, Unternehmen müssen sicherstellen und dokumentieren, dass sie Daten nur so lange verarbeiten, wie es für die vorher bestimmten Zwecke erforderlich ist.
  • Laut Art. 17 haben betroffene Personen ein Recht auf Löschung ihrer personenbezogenen Daten, wenn der Zweck der Datenerhebung erfüllt wurde, sie ihre Einwilligung in die Verarbeitung widerrufen oder eine gesetzliche Löschfrist greift.

Das Problem: Es werden keine klar terminierten Fristen vorgeschrieben, wann Daten gelöscht werden müssen. Stattdessen liegt es an den Unternehmen selbst, ein Löschkonzept zu entwickeln und die Anforderungen der DSGVO in die Praxis umzusetzen.

Denn die Datenschutzbeauftragten und Mitarbeiter:innen der Unternehmen müssen

  1. nachweisen können, dass sie über Prozesse zum Löschen der Personendaten verfügen, und
  2. diese Prozesse auch konsequent anwenden – sonst drohen horrende Strafen.

Und damit nicht genug: Die Löschfristen der DSGVO sind nicht die einzige gesetzliche Vorgabe, die du einhalten musst. Demgegenüber stehen zusätzlich die gesetzlichen Aufbewahrungspflichten, die beispielsweise der Strafverfolgung oder dem Nachweis steuerrechtlicher Ansprüche dienen.

Es kann also auch zu Problemen führen, wenn Daten zu früh gelöscht werden.

Um alle Ansprüche, Vorgaben und Interessen unter einen Hut zu bringen, solltest du in deinem Unternehmen ein praktikables und rechtssicheres Löschkonzept nach der DSGVO aufbauen.

Dieses muss einerseits einheitlich genug sein, um von den Mitarbeiter:innen ohne großen Aufwand in ihrem Arbeitsalltag angewendet werden zu können. Auf der anderen Seite sollte es flexibel genug sein, um mögliche Löschkonflikte zu lösen.

Praxisbeispiel Löschkonzept: Vollzeitjob oder Softwarelösung

Wie komplex die Einhaltung eines Löschkonzepts sein kann, zeigt folgendes Beispiel:

Klassisches Beispiel eines Löschkonflikts

Ein Unternehmen erhebt DSGVO-konform personenbezogene Daten und verwendet diese für zwei Verarbeitungstätigkeiten. Verarbeitungstätigkeit A benötigt diese Daten für 3 Monate und Verarbeitungstätigkeit B für 12 Monate.

Nach den rechtlichen Vorgaben müssten die personenbezogenen Daten für Tätigkeit A also nach 3 Monaten gelöscht werden. Das geht aber nicht, weil sie für die Tätigkeit B noch weitere 9 Monate benötigt werden.

In dem Unternehmen müssen die Verantwortlichen sicherstellen, dass beide Fristen bekannt sind, die personenbezogenen Daten nach 3 Monaten für die Tätigkeit A gesperrt werden und die endgültige Löschung nach insgesamt 12 Monaten stattfindet.

Es ist essenziell für eine effiziente und verlässliche Arbeit mit personenbezogenen Daten, dass die beteiligten Mitarbeiter:innen bei allen Unternehmensprozessen den Überblick behalten und Löschkonflikte erkennen und beheben.

Je nach Umfang der Datenlage wird dies schnell zu einem Vollzeitjob – und dadurch teuer für dein Unternehmen.

Eine Softwarelösung hingegen kann die wichtigsten Prozesse im Hintergrund automatisch ausführen und ihre Erkenntnisse dann in einem Dashboard so übersichtlich darstellen, dass Fehler minimiert und Prozesse beschleunigt werden.

Einheitlichkeit + Übersichtlichkeit = DSGVO-Compliance

Das operative Datenschutzmanagement ist in den meisten Unternehmen eine wichtige Stellschraube, um Geschäftsprozesse zu beschleunigen.

Die Aufgabe von Entscheider:innen und Datenschutzverantwortlichen ist es, den Mitarbeiter:innen die richtigen Werkzeuge an die Hand zu geben, um Datenschutz-Compliance effizient zu erreichen.

Datenschutzkonform zu handeln, lebt vor allem von intuitiven Prozessen.

Die Arbeit deines Unternehmens leidet, wenn sich die Mitarbeiter:innen drei Gesetzestexte, fünf Excel-Sheets und ein 20-seitiges-Manual durchlesen müssen, um den richtigen Umgang mit bestimmten Daten herauszufinden.

Stattdessen sollten sie mit klaren Handlungsanweisungen versorgt werden. Wenn diese auch noch in einer zentralen Übersicht festgehalten werden, minimiert dies Abstimmungsaufwände zwischen den Fachabteilungen und beschleunigt die Prozesse in deinem Unternehmen nachhaltig.

Compliance durch dein automatisiertes Löschkonzept

Die Datenschutzmanagementsoftware von caralegal ermöglicht es dir, das Löschkonzept vollautomatisch und DSGVO-konform zu erstellen. Dabei werden gesetzliche Aufbewahrungsfristen genauso berücksichtigt wie die Speicher- und Löschfristen verschiedener Personengruppen und Datenkategorien.

Mögliche Löschkonflikte wie in unserem Beispiel werden auf einen Blick ersichtlich und die nächsten Handlungsschritte klar und verständlich dargelegt.

Ein Löschkonzept sollte in jedem Unternehmen zentraler Bestandteil im Umgang mit personenbezogenen Daten sein.

Nur so kann das Recht auf Löschung personenbezogener Daten angemessen gewahrt werden. Mit der richtigen Software werden dazu alle Unternehmensprozesse koordiniert und in einer Anwendung festgehalten, die den verschiedenen Fachbereichen deines Unternehmens passgenaue Handlungsanweisungen gibt.

Durch caralegal behältst du die Kontrolle über deine Datenschutzmaßnahmen, sodass alle Mitarbeiter:innen jederzeit erkennen, wie sie mit Daten umzugehen haben.

Dadurch minimierst du das Risiko, dass personenbezogene Daten aus Versehen früher als nötig oder später als erlaubt gelöscht werden. Mit unserer Datenschutzsoftware besteht also endlich Gewissheit über die DSGVO-konforme Löschung von personenbezogenen Daten.

Dank umfangreicher Exportmöglichkeiten kann dein caralegal Löschkonzept auch bei einer Behördenanfrage unkompliziert vorgelegt werden. So gelingt dir die sorgenfreie, gesetzeskonforme und schnelle Arbeit mit den Daten deiner Kund:innen.

Weiterführende Informationen:

Diese Beiträge könnten Sie auch interessieren