Wer muss wann personenbezogene Daten löschen? Wie geht es richtig – und was passiert, wenn nicht? Antworten darauf gibt das Video „Löschkonzept“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BaWü). Das Video ist Teil der Reihe „Datenschutz – zum Luaga fir Dahoim ond Iberall“ des LfDI BaWü, die grundlegende Datenschutz-Themen in auch für „Datenschutz-Laien“ verständlicher Sprache behandelt. 

Wann entsteht die Löschpflicht?

Grundsätzlich müssen Sie Daten dann löschen, wenn Sie für den eigentlichen Zweck nicht mehr erforderlich sind und Ihnen kein Gesetz die Speicherung mehr vorschreibt oder gestattet. Sollten die Daten unrechtmäßig gespeichert worden sein, müssen sie ebenfalls gelöscht werden. Außerdem kann die betroffene Person die Löschung Ihrer Daten verlangen oder der Verarbeitung widersprechen, indem sie eine erteilte Einwilligung zurückzieht. 

Ausgangspunkt VVT

Ausgangspunkt für jedes Löschkonzept ist das Verarbeitungsverzeichnis (VVT), in dem die vorgesehenen Fristen für die Löschung der in den verschiedenen Verarbeitungstätigkeiten relevanten Datenkategorien festgeschrieben sind. Je konkreter und aktueller das Verarbeitungsverzeichnis, desto weniger Arbeit“, lautet die Botschaft im Video.

Empfehlungen der LfDI BaWü 

Der LfDI BaWü empfiehlt daher folgendes Vorgehen:

  1. Erstellen Sie ein Verarbeitungsverzeichnis und erfassen Sie die allgemeinen Datenflüsse.
  2. Prüfen Sie, wann die Verarbeitung endet und erstellen Sie Löschstrategien.
  3. Prüfen Sie, ob es Ausnahmen von der unverzüglichen Löschpflicht gibt.
  4. Erstellen Sie eine Löschregel nach folgendem Schema:
    „für Daten der Kategorie x beträgt die Löschfrist y Jahre“ – und implementieren Sie die Löschregeln in Ihre IT.
  5. Implementieren Sie das Löschkonzept, legen Sie Prüfrhythmen fest und regeln Sie die Zuständigkeiten

Der LfDI BaWü bietet als Hilfsmittel zur Umsetzung in der Praxis überdies eine Excel-Tabelle zur Erstellung von Verarbeitungsverzeichnissen und Löschkonzepten zum Download an.

Daten richtig löschen, aber wie?

Ist das Löschkonzept erstellt, steht irgendwann das konkrete Löschen von Daten an. Es ist abhängig vom Schutzbedarf, von der Menge der Daten und von der Art der Datenträger und reicht vom Überschreiben einzelner Datenfelder mit Löschprogrammen über das Überschreiben ganzer Datenträger bis hin zur physikalischen Zerstörung von Datenträgern durch Schreddern, Einschmelzen oder Verbrennen. Wichtig dabei, ist, dass nicht nur aktive Daten, sondern auch Sicherungskopien und Protokolldaten gelöscht werden.

Fazit

Wer ein Löschkonzept erstellt und umsetzt, beugt aktiv Sanktionen vor. Defizite können von den Aufsichtsbehörden mit einer Verwarnung oder Löschanordnung nach Art, 58 DSGVO und mit einem Bußgeld nach Art. 83 DSGVO (nur nicht-öffentl. Stellen) sanktioniert werden.

Um das Risiko einer Datenpanne überhaupt zu minimieren, sollten nur die Daten erhoben werden, welche für den eigentlichen Zweck erforderlich sind (Prinzip der Datenminimierung).

Bei der Erstellung und Umsetzung eines datenschutzkonformen Löschkonzeptes beraten wir Sie gerne.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more