News

Schwachstelle: Löschkonzept

Kategorie: Datenschutz

Warten Sie nicht länger und implementieren Sie ein Löschkonzept

Seit Inkrafttreten der DSGVO werden vermehrt Bußgelder wegen unzureichender Löschroutinen verhängt, wie im Fall der Deutsche Wohnen SE mit einem Rekordbußgeld von 17,7 Millionen Euro. Warten Sie als Unternehmer nicht länger und implementieren Sie ein Löschkonzept.

Gemäß den Grundsätzen für die Verarbeitung personenbezogener Daten besagt Art. 5 Abs. 1 lit. e) DSGVO (Speicherbegrenzung), dass diese nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ausnahmen bestehen unter Anwendung geeigneter technischer und organisatorischer Maßnahmen nur für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke.

I. Art. 17 DSGVO: Das Recht auf Löschung

Wenn die personenbezogenen Daten ihren Zweck erfüllt haben und somit nicht mehr erforderlich sind, müssen diese gelöscht werden. Der Artikel 17 DSGVO, der das Recht auf Löschung bzw. das Recht auf Vergessenwerden regelt, begründet die Löschpflicht unter folgenden Voraussetzungen:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
  • Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

II. Entgegenstehende Aufbewahrungspflichten

Ausnahmen zur Löschpflicht bestehen etwa, wenn die weitere Verarbeitung und Speicherung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind gem. Art. 17 Abs. 3 lit. b) DSGVO. Rechtliche Vorgaben sind in den Aufbewahrungs- und Dokumentationspflichten nach den Vorschriften des deutschen Arbeits-, Handels-, Sozialversicherungs- und Steuerrechts zu finden. Zusätzlich gibt es gem. Art. 17 Abs. 3 lit. e) DSGVO ein Beweissicherungsinteresse des Verantwortlichen an einer längeren Aufbewahrung, etwa bei anhängigen Rechtsstreitigkeiten.

III. Empfehlungen für die Umsetzung / DIN 66398

Um den jeweiligen rechtlichen Vorgaben zur Löschung bzw. Aufbewahrung personenbezogener Daten gerecht zu werden, beinhaltet das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO, die vorgesehenen Fristen für die Löschung in den jeweiligen Datenkategorien zu dokumentieren. Anschließend kann die Norm DIN 66398 als Leitlinie dienen für den Inhalt, Aufbau und Verantwortlichkeiten des Löschkonzepts personenbezogener Daten, die folgende Vorgehensweise vorsieht:

  • Bestimmung der Datenarten;
  • Zusammenfassung der Datenarten in Löschklassen;
  • Definition von Löschregeln;
  • Definition von konkreten Umsetzungsregeln;
  • Definition der jeweils Verantwortlichen für die Umsetzung;
  • Dokumentation der ergriffenen Schritte.

FKC CONSULT: Ihr Partner bei der Entwicklung eines Löschkonzepts

Wir stehen Ihnen tatkräftig und mit der notwendigen Fachkunde zur Seite bei der Entwicklung eines Löschkonzepts. Sprechen Sie uns gerne an, damit wir Ihnen bei einer reibungslosen Umsetzung behilflich sein können. Ihr/e Berater*in steht Ihnen natürlich für Fragen bezüglich der Erstellung zur Verfügung!

datenschutzberatung@fkc-gmbh.de

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download
AI_Datenschutz_0224.pdf02.2024AI_Datenschutz_0224.pdf (481 KB)