1

Warum Sie noch heute ein Löschkonzept erstellen (lassen) sollten

Hängen Sie an Ihren Daten und haben Sie Sorge, sich zu früh von scheinbar nicht benötigten Daten zu trennen? Vielleicht ist es aber zu spät, wenn Sie erst von anderen erfahren, dass Ihr Unternehmen bestimmte Daten nicht mehr besitzen oder sogar verwenden darf. Ein Löschkonzept beseitigt nicht nur Unsicherheiten über Ihre Pflichten zur Aufbewahrung und Löschung von Daten, es erspart Ihnen auch so manche Hektik und Kopfschmerzen.

„Der Betroffene meldet sich schon, wenn ich seine Daten löschen soll!“

Werden personenbezogene Daten für die Zukunft nicht mehr benötigt, mangelt es an zulässigen Gründen für die Speicherung oder fordern die Eigentümer der Daten (Betroffene) gar die Löschung ihrer Daten, dann müssen Unternehmen aktiv handeln.

Unternehmen haben unter anderem nur einen Monat Zeit, Löschanfragen von betroffenen Personen zu bearbeiten und zu beantworten. Wer die komplexen und vielfach redundanten Datenablagen in Unternehmen kennt, dem ist klar, dass diese Zeit kaum ausreicht, um unvorbereitet die Daten einzelner Personen zu finden, zu prüfen und gegebenenfalls zu löschen. Ob dann eine Standardantwort, dass man schon alles richtig gelöscht habe, ausreicht, damit die betroffenen Personen Ruhe geben?

Besonders deutsche Unternehmen gelten als Datenbewahrer und trennen sich nur ungern von Daten und Akten. Zu groß ist die Sorge, dass man etwas löschen oder vernichten könnte, das später noch für den Vertrieb oder den Steuerprüfer gebraucht wird. Eine Ursache hierfür können sicherlich die sehr umfangreichen und komplexen rechtlichen Anforderungen an die Aufbewahrung von Steuer, Finanz- und Versicherungsunterlagen sein. Aber genau damit sind wir bereits beim Lösungsthema angekommen: das Löschkonzept.

In einem Löschkonzept wird festgelegt, wer wann welche Daten zu löschen hat und wie eine dokumentierte Löschung zu erfolgen hat. Das Löschkonzept beinhaltet aber immer auch, welche Daten das Unternehmen grundsätzlich besitzt und wo diese zu finden sind (Datenlandkarte).

An dieser Stelle lässt sich bereits vermuten, dass ein solches Konzept mehr zu bieten hat, als eine rechtskonforme Löschung von Daten. Wie so oft im Datenschutz, lassen sich Geschäftsprozesse und IT-Systeme durch den Mehrgewinn an Transparenz deutlich effizienter gestalten.

Was sind weitere Vorteile eines Löschkonzepts?

  1. Unsicherheiten über Aufbewahrungs- und Löschfristen werden durch klare Vorgaben beseitigt,
  2. dadurch können die gesetzlichen Aufbewahrungspflichten und Löschanforderungen sicher und rechtskonform umgesetzt werden.
  3. Auch die Unternehmens-eigenen Interessen, Daten noch eine Weile aufzubewahren (z. B. zur Verteidigung von Rechtsansprüchen), können berücksichtigt werden.
  4. Mögliche Anfragen von betroffenen Personen können einfach und schnell bearbeitet werden.
  5. Mit einem Löschkonzept können die datenschutzrechtlichen Rechenschaftspflichten erfüllt werden.

“Braucht mein Unternehmen ein Löschkonzept?”

Wenn Sie sich die Frage stellen, ob Ihr Unternehmen verpflichtet ist, ein Löschkonzept zu erstellen, lautet die Antwort: nein. Verpflichtend ist lediglich die Erfüllung der gesetzlichen Aufbewahrungsfristen und der vorgeschriebenen Löschung von Daten. Die Einhaltung muss weiterhin nachgewiesen werden und einer Überprüfung standhalten. Daher die Gegenfrage: Wie schaffen es Unternehmen ohne Konzept, die vielfältigen gesetzlichen, vertraglichen und unternehmensinternen Anforderungen zu Aufbewahrung und Löschung angemessen umzusetzen?

Ohne konzeptionellen Ansatz können diese Verpflichtungen schlichtweg nicht umgesetzt werden. Es besteht ein deutliches Risiko, dass Daten entweder zu früh gelöscht werden oder Daten, die längst nicht mehr da sein dürften, doch noch verwendet werden (am besten für alle sichtbar in Form von – dann unzulässiger – werblicher Nutzung).

Zugegeben: Wie jedes Konzept ist auch ein Löschkonzept eine Investition. Im Rahmen der Erstellung eines Löschkonzepts müssen erst einmal die Datenbestände überprüft und dokumentiert werden. Auch könnten Sie jemand gebrauchen, der Ihnen erklärt, welche gesetzlichen Anforderungen Ihr Unternehmen zu beachten hat….

Welche Inhalte hat ein typisches Löschkonzept?

Ein Löschkonzept kann in zwei Bereiche unterteilt werden – das fachliche und das technisch-organisatorische Löschkonzept.

Das fachliche Löschkonzept beinhaltet eine Aufstellung und Kartierung der (personenbezogenen) Daten im Unternehmen. Dazu werden die Anforderungen an die Aufbewahrung der Daten aus verschiedenen Perspektiven ermittelt. In der Regel sind das vertragliche, gesetzliche und unternehmensinterne Anforderungen.

Einfach ausgedrückt ist die fachliche Grundlage eines Löschkonzepts, die Zusammenstellung aller „guten“ (legitimen) Gründe, warum Daten noch nicht gelöscht werden dürfen. Gibt es keinen Grund zur Aufbewahrung mehr, sind die Daten zu löschen. (Das klingt fast zu einfach.)

Typische Inhalte des fachlichen Löschkonzepts:

  • Eine Dokumentation aller Daten/Datenarten/Dokumentarten,
  • deren Verwendungszweck sowie
  • die Orte, an denen sich diese Daten befinden.
  • Eine Beschreibung, wie lange die Daten operativ benötigt werden,
  • die geltenden gesetzlichen Aufbewahrungsfristen,
  • vertragliche Anforderungen zu Aufbewahrung und Löschung sowie
  • die unternehmensinternen Anforderungen zu Aufbewahrung und Löschung.
  • Die aus diesen Anforderungen abgeleiteten Fristen und Regeln zur Löschung (kann man in DIN 66398 nachlesen).

Auf Grundlage des fachlichen Löschkonzepts wird die Umsetzung im technisch-organisatorischen Löschkonzept festgelegt. Diese kann die vollständige Bandbreite an Umsetzungsmöglichkeiten, angefangen mit einer manuellen Löschung auf Grundlage eines Serientermins in Outlook, bis hin zur voll automatisierten Löschung in den IT-Systemen beinhalten.

Welche Schritte beinhaltet die Erstellung eines Löschkonzepts?

  • Schritt 1: Bestandsaufnahme und Kartierung der Unternehmensdaten
  • Schritt 2: Festlegen der Anforderungen zur Verwendung und Aufbewahrung
  • Schritt 3: Alles sortieren = Ableitung von Löschklassen und Löschregeln
  • Schritt 4: Festlegung der technisch-organisatorischen Umsetzung

Sie benötigen Unterstützung bei der Erstellung Ihres Löschkonzepts?

Wir geben Ihnen gerne Starthilfe mit einem Löschkonzept-Workshop und erklären Ihnen und Ihren Mitarbeitern, wie Sie ein eigenes Löschkonzept erstellen.

Sie benötigen mehr als nur Starthilfe und wollen das Rad nicht neu erfinden? Wir unterstützen Sie aktiv bei der Erstellungen eines Löschkonzeptes nach DIN 66398 und der anschließenden Konzeption einer technisch-organisatorischen Umsetzung.

Sie wissen noch nicht, wo Sie genau stehen? Vielleicht machen Sie bereits vieles richtig? Mit unseren Datenschutz-Audits erhalten Sie eine unabhängige fachliche Beurteilung.

Vertrauen Sie auf unsere langjährige Erfahrung und vereinbaren Sie noch heute einen kostenfreien Informationstermin.

Bildquellen:

  • pexels-christina-morillo-1181345: pexels.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.