Die Unternehmensberatung für Datenschutz, Audit und BCM
DSGVO konform und sicher

Löschkonzept

Sicheres Löschen - was will die DSGVO?

Unternehmen müssen personenbezogene Daten so speichern, dass sie eine Person nur so lange identifizieren können, wie es für den Verarbeitungszweck notwendig ist. Wichtig ist dabei: Es muss um einen Zweck gehen, der es auch erlaubt, die Daten zu verarbeiten. Alle anderen vermeintlichen Zwecke führen dazu, die Daten unzulässig zu verarbeiten.

Fällt dieser Zweck weg, etwa weil etwas verjährt oder weil das Vertragsverhältnis endet, sind die Daten zu löschen. Eine Ausnahme gilt, wenn der Gesetzgeber andere Aufbewahrungs- oder Dokumentationspflichten vorschreibt. Zieht der Betroffene seine Zustimmung zurück, dass ein Unternehmen seine Daten verarbeiten darf, ist dies ebenfalls Anlass, die Informatio­nen zu löschen.

Die DSGVO schreibt zwar vor, personenbezogene Daten zu löschen. Sie beantwortet aber nicht die Frage, welche Verfahren dafür geeignet sind. Und sie empfiehlt auch kein bestimm­tes Vorgehen.

Was ist ein Löschkonzept und wer muss es anwenden?

Ein Löschkonzept ist ein Regelwerk oder Fahrplan, welches festlegt wann in einem Unterneh­men oder einer Organisation die vorhandenen personenbezogenen Daten wieder gelöscht werden. Die Lösung der personenbezogenen Daten gibt die DSGVO explizit vor.

Sobald er Zweck für die Verarbeitung, und damit auch für die Speicherung entfallen ist, sind Unternehmen in der Regel dazu verpflichtet, diese auch wieder zu löschen. Ohne ein syste­matisches Löschkonzept verliert man häufig schnell den Überblick über die Löschpflichten. Hier ist es durchaus sinnvoll diesem mit der Erstellung eines Löschkonzeptes vorzubeugen.

Oftmals erscheint uns die DSGVO als nicht in sich schlüssig. So ist auf der einen Seite ein Löschkonzept durch die DSGVO nicht zwingend vorgeschrieben. Auf der anderen Seite be­sagt Art. 30 Abs. 1 lit f DSGVO aber, dass das verpflichtend zu erstellende Verarbeitungsver­zeichnis „wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Daten­kategorien“ zu beinhalten hat.

Wenn der Verantwortliche kein Löschkonzept parat hat, kann es sich als sehr schwerwiegend erweisen, den Überblick über die Löschfristen zu behalten. Es ist daher sehr ratsam ein sol­ches zu erarbeiten und damit auch die Dokumentationsfrist ernst zu nehmen.

E-Mail
Anruf