Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
07. Mai 2021

Löschkonzept: Personenbezogene Daten richtig löschen

Video zum Löschkonzept von LfDI BaWü veröffentlicht
4,80 (5)
drucken
Wer muss wann personenbezogene Daten löschen? Warum und wie sollte das gemacht werden? Und was passiert, wenn das nicht ordentlich geschieht? Antworten darauf gibt das Video „Löschkonzept“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BaWü).

Das Video ist Teil der Reihe „Datenschutz – zum Luaga fir Dahoim ond Iberall“ des LfDI BaWü. Die Reihe greift grundlegende Datenschutz-Themen auf und gibt Tipps für die Praxis.

Tipps für ein Löschkonzept

In der aktuellen Folge gibt die Stabstelle Europa des baden-württembergischen LfDI konkrete Tipps für ein Löschkonzept.

Denn personenbezogene Daten dürfen laut Europäischer Datenschutz-Grundverordnung (DSGVO) nur so lange gespeichert werden, wie sie einem bestimmten Zweck dienen. Danach muss jedes Unternehmen und jede Organisation die Daten löschen und das „Recht auf Vergessenwerden“ umsetzen.

Datenminimierung erleichtert die Löschung

Am konkreten Beispiel eines Kaufvertrags erklärt das Video anschaulich, was das in der Praxis bedeutet. „Personenbezogene Daten müssen dem Zweck angemessen verarbeitet werden“, betont die Mitarbeiterin der Stabstelle Europa in dem Video.

Um das Risiko einer Datenpanne zu minimieren sollten Sie schon bei der Erfassung der Daten darauf achten, dass nur die Daten erhoben werden, welche für den eigentlichen Zweck – also den Kaufvertrag – erforderlich sind. Das nennt sich Datenminimierung.

Welche Daten sind bei einem Kaufvertrag erfoderlich?

Bei einem Kaufvertrag sind die erforderlichen Daten laut LfDI zum Beispiel „die Zahlungsdaten zur Abwicklung des Kaufvertrages“.

Aber „ich darf jetzt nicht einfach noch weitere Daten der Person, deren Daten ich verarbeite, mit dazu nehmen, obwohl sie für die Abwicklung des Kaufvertrages nicht erforderlich oder irrelevant sind.“, erklärt die Sprecherin im Video.

Wann müssen die Daten gelöscht werden?

Grundsätzlich sollten Sie Daten dann löschen, wenn Sie für den eigentlichen Zweck nicht mehr erforderlich sind. Sollten die Daten unrechtmäßig gespeichert worden sein, müssen sie natürlich auch gelöscht werden.

Außerdem kann die betroffene Person die Löschung Ihrer Daten verlangen oder der Verarbeitung widersprechen, indem sie eine erteilte Einwilligung zurück zieht. Auch dann müssen Sie die personenbezogenen Daten löschen.

Achtung
Ausnahmen von der Löschverpflichtung

Wenn eine rechtliche Aufbewahrungspflicht (z.B. nach dem Handelsgesetzbuch) gilt oder ein Anspruch geltend gemacht wurde, müssen die Daten natürlich nicht gelöscht werden.

Bei einem Kaufvertrag gilt: Ist der Vertrag verjährt, muss das Unternehmen alle personenbezogenen Daten löschen, die zu diesem Zweck erfasst worden sind. Dafür empfiehlt die Datenschutzbehörde ein Löschkonzept.

Verarbeitungsverzeichnis ist Grundlage für jedes Löschkonzept

Ausgangspunkt für jedes Löschkonzept ist ein Verarbeitungsverzeichnis, in dem die vorgesehenen Fristen für die Löschung verschiedenen Datenkategorien festgeschrieben sind. „Je konkreter und aktueller das Verarbeitungsverzeichnis, desto weniger Arbeit“, heißt es in dem Video.

weka-manager-verarbeitungstaetigkeiten

Verarbeitungsverzeichnis DSGVO-konform führen und nachweisen

In kurzer Zeit erstellen Sie mit der Software „WEKA Manager Verarbeitungstätigkeiten“ eine lückenlose, rechtssichere Dokumentation über alle Verarbeitungstätigkeiten (inkl. 100 Muster-Tätigkeiten & DSFA-Tool)

 

➜ Jetzt Verarbeitungsverzeichnis einfach erstellen

In fünf Schritten ein Löschkonzept erstellen

Das Verarbeitungsverzeichnis ist der erste von fünf Schritten auf dem Weg zu einem Löschkonzept. Das LfDI BaWü empfiehlt in dem Video folgendes Vorgehen:

  1. Erstellen Sie ein Verarbeitungsverzeichnis und erfassen Sie die allgemeinen Datenflüsse.
  2. Prüfen Sie, wann die Verarbeitung endet und erstellen Sie Löschstrategien.
  3. Prüfen Sie, ob es Ausnahmen von der unverzüglichen Löschpflicht gibt.
  4. Erstellen Sie eine Löschregel nach folgendem Schema „für Daten der Kategorie x beträgt die Löschfrist y Jahre“ – und implementieren Sie die Löschregeln in Ihre IT.
  5. Implementieren Sie das Löschkonzept, legen Sie Prüfrhythmen fest und regeln die Zuständigkeiten

Daten richtig löschen

Ist das Löschkonzept erstellt, steht irgendwann das konkrete Löschen von Daten an. Es ist abhängig vom Schutzbedarf, von der Menge der Daten und von der Art der Datenträger und reicht

  • vom Überschreiben einzelner Datenfelder mit Löschprogrammen
  • über das Überschreiben ganzer Datenträger
  • bis hin zur physikalischen Zerstörung von Datenträgern durch Schreddern, Einschmelzen oder Verbrennen.

Wichtig dabei, ist, dass nicht nur aktive Daten, sondern auch Sicherungskopien und Protokolldaten gelöscht werden.

Sanktionen vorbeugen durch Datenlöschung

Wer ein Löschkonzept erstellt und umsetzt, beugt aktiv Sanktionen vor. Denn wenn Daten nicht richtig gelöscht werden, müssen

  • öffentliche und nichtöffentliche Stellen mit einer Verwarnung oder Löschanordnung nach Artikel 58 DSGV
  • und Unternehmen mit einem Bußgeld nach Artikel 83 DSGVO

rechnen.

Mehr Informationen:

Elke Zapf

Elke Zapf
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Elke Zapf
Elke Zapf
ist freiberufliche Kommunikationsexpertin und Journalistin. Ihre Schwerpunkte sind Wissenschaft, Forschung, nachhaltiger Tourismus und Datenschutz.
Verwandte Beiträge
22. November 2024
DP+
Die personenbezogenen Daten, die die Fahrzeugsysteme verarbeiten, reichen von einfachen Kontaktinformationen im Infotainmentsystem bis hin zu komplexeren Daten in der Fahrzeugtechnik, die Rückschlüsse auf die individuelle Nutzung und das Fahrverhalten zulassen
Bild: iStock.com/studio-fi

Datenschutzkontrolle im technischen Fuhrpark

Praxisbericht
22. November 2024
DP+
Neuer Microsoft-Servicevertrag: Datenschutzfragen zu Windows, Office, OneDrive und Teams im Fokus – was Nutzer jetzt wissen sollten.
Bild: iStock.com/bubaone

Viele Fragen beim Servicevertrag von Microsoft

Ratgeber
KI Microsoft 365
22. November 2024
DP+
Büroflächenverkleinerungen scheinen zunächst simpel, bieten aber hinsichtlich des Datenschutzes eine Vielzahl von Fallstricken. Vorteilhaft sind hier ein Zeitplan, eine Checkliste und eine sorgfältige Dokumentation der ergriffenen Maßnahmen.
Bild: iStock.com/onurdongel

Datenschutzfalle Büroflächenverkleinerung

Ratgeber
Checklisten
21. November 2024
DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks

Auftragsverarbeitung von Patientendaten

Ratgeber
Checklisten
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.