Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

„Recht auf Vergessen­werden“: So funktioniert ein Löschkonzept nach der DSGVO

Das Löschkonzept ist jedem und jeder Datenschutz-Verantwortlichen ein Begriff. Die Umsetzung in der Praxis stellt diese jedoch laufend vor Herausforderungen. In diesem Beitrag beschreiben wir die rechtlichen Anforderungen an ein Löschkonzept und wie die Löschpraxis im Unternehmen weitestgehend automatisiert erfüllt werden kann.

von Dennis Kurpierz, Co-Founder & COO
04. November 2022
 | 
Das Löschkonzept nach DSGVO in einfachen Schritten umsetzen.

Mit der DSGVO hat die Europäische Union 2018 ihren Bürger:innen datenschutztechnisch den Rücken gestärkt.

Insbesondere wurden Regeln zur Speicherbegrenzung von personenbezogenen Daten eingeführt sowie das sogenannte „Recht auf Vergessenwerden“, das sicherstellt, dass natürliche Personen jederzeit die Löschung der sie betreffenden personenbezogenen Daten verlangen können.

An dieser Stelle kommt das Löschkonzept ins Spiel. Darin regelt ein Unternehmen nämlich genau, wann welche Daten zu löschen sind, wo diese Daten gespeichert werden und wie die Löschung vonstattengeht.

In diesem Beitrag gehen wir darauf ein, was Datenschutzbeauftragte in Unternehmen hinsichtlich des Löschkonzepts beachten müssen und wie die richtige Software diese Arbeit automatisieren und dadurch beschleunigen kann.

So kurz wie möglich und so lang wie nötig: Personen­b­ezogene Daten zwischen Löschfristen und Aufbewahrungs­pflichten

Die DSGVO ist die zentrale Grundlage für den Umgang mit personenbezogenen Daten von EU-Bürger:innen in der EU. Hinsichtlich der Löschung personenbezogener Daten ist sie jedoch erstaunlich vage.

Die Notwendigkeit eines Löschkonzepts ergibt sich aus den Artikeln 5 und 17 der DSGVO:

Nach Art. 5 gilt der Grundsatz der Speicherbegrenzung. Das heißt, Unternehmen müssen sicherstellen und dokumentieren, dass sie Daten nur so lange verarbeiten, wie es für die vorher bestimmten Zwecke erforderlich ist.

Laut Art. 17 haben betroffene Personen ein Recht auf Löschung ihrer personenbezogenen Daten, wenn der Zweck der Datenerhebung erfüllt wurde, sie ihre Einwilligung in die Verarbeitung widerrufen oder eine gesetzliche Löschfrist greift.

Das Problem: Es werden keine klar terminierten Fristen vorgeschrieben, wann Daten gelöscht werden müssen. Stattdessen liegt es an den Unternehmen selbst, ein Löschkonzept zu entwickeln und die Anforderungen der DSGVO in die Praxis umzusetzen.

Denn die Datenschutzbeauftragten und Mitarbeiter:innen der Unternehmen müssen

nachweisen können, dass sie über Prozesse zum Löschen der Personendaten verfügen, und

diese Prozesse auch konsequent anwenden – sonst drohen horrende Strafen.

Und damit nicht genug: Die Löschfristen der DSGVO sind nicht die einzige gesetzliche Vorgabe, die du einhalten musst. Demgegenüber stehen zusätzlich die gesetzlichen Aufbewahrungspflichten, die beispielsweise der Strafverfolgung oder dem Nachweis steuerrechtlicher Ansprüche dienen.

Es kann also auch zu Problemen führen, wenn Daten zu früh gelöscht werden.

Um alle Ansprüche, Vorgaben und Interessen unter einen Hut zu bringen, solltest du in deinem Unternehmen ein praktikables und rechtssicheres Löschkonzept nach der DSGVO aufbauen.

Dieses muss einerseits einheitlich genug sein, um von den Mitarbeiter:innen ohne großen Aufwand in ihrem Arbeitsalltag angewendet werden zu können. Auf der anderen Seite sollte es flexibel genug sein, um mögliche Löschkonflikte zu lösen.

Praxisbeispiel Löschkonzept: Vollzeitjob oder Softwarelösung

Wie komplex die Einhaltung eines Löschkonzepts sein kann, zeigt folgendes Beispiel:

Klassisches Beispiel eines Löschkonflikts

Ein Unternehmen erhebt DSGVO-konform personenbezogene Daten und verwendet diese für zwei Verarbeitungstätigkeiten. Verarbeitungstätigkeit A benötigt diese Daten für 3 Monate und Verarbeitungstätigkeit B für 12 Monate.

Nach den rechtlichen Vorgaben müssten die personenbezogenen Daten für Tätigkeit A also nach 3 Monaten gelöscht werden. Das geht aber nicht, weil sie für die Tätigkeit B noch weitere 9 Monate benötigt werden.

In dem Unternehmen müssen die Verantwortlichen sicherstellen, dass beide Fristen bekannt sind, die personenbezogenen Daten nach 3 Monaten für die Tätigkeit A gesperrt werden und die endgültige Löschung nach insgesamt 12 Monaten stattfindet.

Es ist essenziell für eine effiziente und verlässliche Arbeit mit personenbezogenen Daten, dass die beteiligten Mitarbeiter:innen bei allen Unternehmensprozessen den Überblick behalten und Löschkonflikte erkennen und beheben.

Je nach Umfang der Datenlage wird dies schnell zu einem Vollzeitjob – und dadurch teuer für dein Unternehmen.

Eine Softwarelösung hingegen kann die wichtigsten Prozesse im Hintergrund automatisch ausführen und ihre Erkenntnisse dann in einem Dashboard so übersichtlich darstellen, dass Fehler minimiert und Prozesse beschleunigt werden.

Einheitlichkeit + Übersichtlichkeit = DSGVO-Compliance

Das operative Datenschutzmanagement ist in den meisten Unternehmen eine wichtige Stellschraube, um Geschäftsprozesse zu beschleunigen.

Die Aufgabe von Entscheider:innen und Datenschutzverantwortlichen ist es, den Mitarbeiter:innen die richtigen Werkzeuge an die Hand zu geben, um Datenschutz-Compliance effizient zu erreichen.

Datenschutzkonform zu handeln, lebt vor allem von intuitiven Prozessen.

Die Arbeit deines Unternehmens leidet, wenn sich die Mitarbeiter:innen drei Gesetzestexte, fünf Excel-Sheets und ein 20-seitiges Manual durchlesen müssen, um den richtigen Umgang mit bestimmten Daten herauszufinden.

Stattdessen sollten sie mit klaren Handlungsanweisungen versorgt werden. Wenn diese auch noch in einer zentralen Übersicht festgehalten werden, minimiert dies Abstimmungsaufwände zwischen den Fachabteilungen und beschleunigt die Prozesse in deinem Unternehmen nachhaltig.

Compliance verbessern durch dein automatisiertes Löschkonzept

Die Datenschutzmanagement-Software von caralegal ermöglicht es dir, das Löschkonzept vollautomatisch und DSGVO-konform zu erstellen. Dabei werden gesetzliche Aufbewahrungsfristen genauso berücksichtigt wie die Speicher- und Löschfristen verschiedener Personengruppen und Datenkategorien.

Mögliche Löschkonflikte wie in unserem Beispiel werden auf einen Blick ersichtlich und die nächsten Handlungsschritte klar und verständlich dargelegt.

Ein Löschkonzept sollte in jedem Unternehmen zentraler Bestandteil im Umgang mit personenbezogenen Daten sein.

Nur so kann das Recht auf Löschung personenbezogener Daten angemessen gewahrt werden. Mit der richtigen Software werden dazu alle Unternehmensprozesse koordiniert und in einer Anwendung festgehalten, die den verschiedenen Fachbereichen deines Unternehmens passgenaue Handlungsanweisungen gibt.

Durch caralegal behältst du die Kontrolle über deine Datenschutzmaßnahmen, sodass alle Mitarbeiter:innen jederzeit erkennen, wie sie mit Daten umzugehen haben.

Dadurch minimierst du das Risiko, dass personenbezogene Daten aus Versehen früher als nötig oder später als erlaubt gelöscht werden. Mit unserer Datenschutzsoftware besteht also endlich Gewissheit über die DSGVO-konforme Löschung von personenbezogenen Daten.

Dank umfangreicher Exportmöglichkeiten kann dein caralegal Löschkonzept auch bei einer Behördenanfrage unkompliziert vorgelegt werden. So gelingt dir die sorgenfreie, gesetzeskonforme und schnelle Arbeit mit den Daten deiner Kund:innen.

FAQs zum Löschkonzept nach der DSGVO

Hier findest du Antworten auf häufig gestellte Fragen zum Löschkonzept nach der DSGVO.

1. Was ist ein Löschkonzept nach der DSGVO?

Ein Löschkonzept stellt klar und übersichtlich Regeln auf, um die Anforderungen der DSGVO in Bezug auf Lösch- und Aufbewahrungspflichten von personenbezogenen Daten zu erfüllen. Kurz gesagt: Mit einem Löschkonzept regelt ein Unternehmen genau, wann welche personenbezogenen Daten zu löschen sind, wo diese Daten gespeichert werden und wie die Löschung abläuft.

2. Ist ein Löschkonzept Pflicht?

Unternehmen sind verpflichtet, personenbezogene Daten im Einklang mit der DSGVO und anderen gesetzlichen Fristen so schnell wie möglich, aber so spät wie nötig zu löschen. Um das umzusetzen, müssen Unternehmen angemessene Maßnahmen ergreifen. Dazu gehört auch, ein Löschkonzept zu erstellen.

3. Wer ist für das Löschkonzept verantwortlich?

Zuallererst ist das Unternehmen für die Einhaltung der Löschfristen verantwortlich. Meist liegt es jedoch in der Verantwortung der Datenschutzbeauftragten, ein Löschkonzept einzuführen und alle Mitarbeitenden darüber in Kenntnis zu setzen.

4. Was muss ein Löschkonzept enthalten?

Ein Löschkonzept sollte Informationen über alle geltenden Fristen sowie mögliche Konflikte zwischen ihnen enthalten. Dazu gehören gesetzliche Aufbewahrungsfristen ebenso wie die Speicher- und Löschfristen verschiedener Personengruppen und Datenkategorien. Diese Daten sollten am besten in einem Dashboard übersichtlich dargestellt werden.

5. Wie erstellt man ein Löschkonzept?

Ein Löschkonzept kann analog erstellt werden, besser ist jedoch eine digitale Übersicht. Mit beispielsweise der Datenschutzmanagement-Software von caralegal wird das Löschkonzept vollautomatisch und garantiert DSGVO-konform erstellt.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren
Auflistung der Top 5 Trends im Datenschutz 2024

Datenschutz 2024: Die Top 5 Entwicklungen

Mehr erfahren
PETs sind eine wichtige Unterstützung für deinen Datenschutz.

Privacy Enhancing Technologies für deinen Datenschutz

Mehr erfahren