Unbenanntes Dokument

Löschfristen und Löschkonzept


Intro: Was ist mit einem Löschkonzept gemeint und welche rechtliche Funktion erfüllt es?

To-Dos: Wie ist bei der Umsetzung eines Löschkonzepts und damit zusammenhängender Pflichten konkret vorzugehen?

Statements: Was haben die Datenschutzaufsichtsbehörden zum Thema Löschkonzept veröffentlicht?






Personenbezogene Daten rechtskonform löschen mit einem Löschkonzept





Was ist mit einem Löschkonzept gemeint und welche rechtliche Funktion erfüllt es?

Ein Löschkonzept dient dazu, festzulegen, wann, wie und von wem personenbezogene Daten im Unternehmen zu löschen sind.

Löschfristen informieren darüber, wann die Daten regelmäßig zu löschen sind. Dabei müssen gesetzliche Aufbewahrungspflichten berücksichtigt werden. Diese sind in der Regel nicht in Datenschutzgesetzen, sondern z.B. in Steuer- oder Handelsgesetzen zu finden. In bestimmten Fällen müssen Daten jedoch auch unabhängig von einer Löschfrist gelöscht werden – etwa dann, wenn die Person eine Einwilligung in Marketingaktivitäten widerruft und die Daten nicht noch rechtmäßig für andere Zwecke verarbeitet werden dürfen.

Ein Löschkonzept kann prinzipiell in verschiedenen Formen erstellt werden (z.B. elektronisch oder auf Papier). Es ist jedoch empfehlenswert, das Konzept für einen Dokumentenexport verfügbar zu machen, um evtl. Anfragen von Aufsichtsbehörden schnell und unkompliziert gerecht werden zu können.

Das Konzept sollte möglichst eingänglich ausgestaltet und geschrieben sein (Fachbegriffe sollten stets erläutert werden), damit sämtliche Personen, die mit der Löschung betraut werden, es als Arbeitsgrundlage nutzen können.

Bzgl. der Art und Weise der Löschung ist entscheidend sicherzustellen, dass die Daten irreversibel gelöscht werden, also nach dem Löschvorgang nicht mehr so wiederherstellbar sind, dass man mit ihnen auf die Person schließen kann.



Wie ist bei der Umsetzung eines Löschkonzepts und damit zusammenhängender Pflichten konkret vorzugehen?

1

Definition und Dokumentation von Aufbewahrungs- und Löschprozessem sowie Speicherfristen Eine Datenlöschrichtlinie sollte darüber informieren, wie personenbezogene Daten zu löschen sind, sofern sie nicht mehr für den legitimen Verarbeitungszweck benötigt werden. Datenlöschkonzepte können die Löschanforderungen für bestimmte Verarbeitungstätigkeiten spezifizieren.


2

Implementierung geeigneter Löschtechnologie Sowohl Daten, die über digitale Medien zugänglich sind als auch Daten in physischer Form müssen in einer sicheren und unrevidierbaren Weise gelöscht werden. Das Unternehmen muss entsprechende Löschtechnologie implementieren.


3

Rechenschaft ablegen Dass eine ordnungsgemäße Löschung im Unternehmen erfolgt, muss im Zweifel nachgewiesen werden können (sog. Rechenschaftspflicht).


Prüfe den anwendbaren Gesetzestext.



Prüfe relevante Gerichtsurteile.



Was haben die Datenschutzaufsichtsbehörden zum Thema Löschkonzept veröffentlicht?

Löschen von Patientendaten (Auslegungshilfe) (15.05.2019)


Antrag auf Unterlassung der Datenverarbeitung – Antrag auf Datenlöschung


Hilfestellungen für Verantwortliche bei der Festlegung von Löschfristen (07.09.2018)



>> Finde heraus, welche anderen Datenschutzpflichten im Einzelfall ggf. zu beachten sind.



Unbenanntes Dokument


Jetzt kostengünstig Datenschutzbeauftragten bestellen

Sie benötigen Unterstützung bei der Implementierung von Datenschutzanforderungen? über unsere Datenschutzpakete.
Unbenanntes Dokument

Wir sind

vertraut mit Eingenarten kleiner und großer Unternehmen

erfahren in der Kommunikation mit Datenschutzbehörden

seit über 10 Jahren im Datenschutz aktiv.