Löschkonzept erstellen

Personenbezogene Daten müssen regelmäßig oder auf Wunsch der Betroffenen gelöscht werden. Die Umsetzung dieser Löschungen erfolgt auf Basis eines Löschkonzeptes. Das Löschkonzept leitet sich (automatisch) aus den Verarbeitungstätigkeiten ab.

 

Hintergrund

Personenbezogene Daten dürfen nur solange verarbeitet oder gespeichert werden, bis:

• sie von Gesetzes wegen nicht mehr benötigt werden
• der in der Verarbeitungstätigkeit definierte Zweck der Verarbeitung erlischt
• Betroffene gemäß Art. 17 DSGVO eine Löschung ihrer persönlichen Daten verlangen und keine andere rechtliche Verpflichtung gegen diese Löschung spricht

Um einen Überblick darüber zu behalten, welche personenbezogene Daten in einer Organisation verarbeitet werden, sollte jede Organisation ein sogenanntes "Löschkonzept" erstellen.

Da gesetzlich nicht vorgeschrieben ist, wie so ein Löschkonzept aussehen soll, bietet es sich an, dieses auf Basis der DIN 66398 "Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten" umzusetzen.

Im Kern ist das Löschkonzept nach DIN 66398 folgendermaßen aufgebaut:

• Die Basis des Löschkonzeptes sind die Datenarten, die im Verzeichnis der Verarbeitungstätigkeiten erfasst wurden. Datenarten sind in der Regel Kategorien von Dokumenten, wie Geschäftsbriefe, Angebotsunterlagen, E-Mails etc., die in einer Organisation verwendet werden. 
• Für Datenarten sind gesetzliche Aufbewahrungsfristen definiert. Datenarten plus Aufbewahrungsfristen bilden die Grundlage für die Erstellung sogenannter Löschklassen. Beispiel: Die Datenart "Auftragsdaten eines Dachdeckerbetriebes" hat eine gesetzliche Aufbewahrungsfrist von 10 Jahren, welche sich aus dem Handelsgesetzbuch ergibt.
• Löschklassen fassen eine oder mehrere Datenarten zusammen. Die Gemeinsamkeit liegt darin, dass den in einer Löschklasse enthaltenen Datenarten eine gemeinsame Löschfrist zugewiesen wird. Ist die Löschfrist erreicht, müssen die personenbezogenen Daten gelöscht, respektive die vollständigen Dokumente vernichtet werden. Für das obige Beispiel bedeutet dieses, dass die Dachdeckerunterlagen nach 10 Jahren gelöscht werden sollten.
• In vielen Fällen kann es Sinn machen, dass Datenarten über die gesetzliche Aufbewahrungsfrist hinaus gespeichert und verarbeitet werden. Es liegt demnach ein berechtigtes Interesse zur weiteren Verarbeitung vor, das im Löschkonzept explizit begründet werden muss. Im Fall des Dachdeckers kann man ein berechtigtes Interesse damit begründen, dass Dächer in der Regel erst nach 20 oder mehr Jahren Schäden aufweisen und es daher sinnvoll ist, die Auftragsunterlagen zum Dach nicht nach 10 Jahren zu löschen, sondern mindestens 20 oder mehr Jahre aufzubewahren. Dieses Vorgehen ist sicher auch im Sinne des Kunden.
• Zusätzlich wird zu jeder Löschklasse definiert, ab wann der Betrachtungszeitraum für die Berechnung einer Löschklasse läuft. Diese kann sein "Ab Ende einer Vertragsbeziehung", "Ab Ende eines Vorgangs" oder "Ab dem Zeitpunkt der Datenerhebung". Für den Dachdeckerbetrieb würde die Löschfrist beginnen "Ab Ende des Vorgangs", also der Abnahme des Daches.
• Als letztes ist zu betrachten, wie sensibel bzw. schutzbedürftig die Datenarten in der Löschklasse sind. Es ist logisch, dass eine Personalakte einen höheren Schutzbedarf aufweist als eine "normale" geschäftliche E-Mail. Bei der Löschung der Daten ist dieses zu berücksichtigen, zum Beispiel dann, wenn ein professioneller Entsorgungsbetrieb mit der Löschung oder Vernichtung von Daten beauftragt wird. Ein gutes Nachschlagewerk für die Vernichtung von Dokumenten ist die DIN 66399.
• Zusammengefasst beschreibt die Löschklasse also welche Datenarten wann zu löschen sind.
• Um die Löschungen umzusetzen, muss je Löschklasse eine sogenannte Löschregel definiert werden. Die Löschregel beschreibt, wann und wie die zu löschenden Daten zu löschen sind. Im Fall des Dachdeckers könnte die Löschregel z. B. folgendermaßen lauten: "Lösche am 1.2. jeden Jahres alle Auftragsunterlagen zu Dachprojekten, die seit der Dachabnahme mindestens 20 Jahre archiviert sind. Lösche diese Unterlagen über die Entsorgungsfirma Meier und lasse die Löschung bestätigen". 
• Jeder Löschvorgang sollte dabei als Tätigkeit erfasst werden, um nachweisbar zu sein.
  

Zusammengefasst besteht ein Löschkonzept aus folgenden Bestandteilen:

• Löschklassen mit Datenarten, Löschfristen und dem Schutzbedarf der zu löschenden Daten
• Startzeitpunkt, ab dem die Löschfrist berechnet wird
• Ggf. Begründung einer von der gesetzlichen Aufbewahrungsfrist abweichenden Löschfrist einer Datenart 
• Löschregel je Löschklasse, die anhand des Schutzbedarfs z. B. auf Basis der DIN 66399 definiert, wie entsprechende Daten zu löschen sind

In der Robin Data ComplianceOS® sind obige Informationen so kompakt und einfach wie möglich festzuhalten.

 

Löschkonzept verwalten

1. Klicken Sie im Hauptmenü auf Datenschutz: Es öffnet sich ein Dropdown-Menü.
2. Klicken Sie im Dropdown-Menü auf Löschkonzept: Es öffnet sich die Tabellenansicht. In der Tabellenansicht sehen Sie im ersten Tab die Übersicht der bereits angelegten Löschklassen, im zweiten Tab sehen Sie die bereits angelegten Löschregeln. 

Die allgemeine Funktionalität der Tabellensicht wird in dem Artikel Tabellensicht verwenden beschrieben.

Löschkonzept erstellen

Das Löschkonzept ergibt sich aus den zu definierenden Löschklassen (inkl. Datenarten, Löschfristen sowie Schutzbedarf der zu löschenden Daten), dem Startzeitpunkt (ab dem die Löschfrist berechnet wird),  ggf. einer Begründung einer von der gesetzlichen Aufbewahrungsfrist abweichenden Löschfrist einer Datenart sowie der Löschregel je Löschklasse die definiert wie entsprechende Daten zu löschen sind.

1. Klicken Sie im Hauptmenü auf Datenschutz: Es öffnet sich ein Dropdown-Menü.
2. Klicken Sie im Dropdown-Menü auf Löschkonzept: Es öffnet sich die Tabellenansicht in der Tab Löschklasse.
3. Klicken Sie auf den Button +Löschklasse: Es öffnet sich ein Zwischenfenster, indem die Bezeichnung erfasst wird.
   
4. Geben Sie die Bezeichnung der Löschklasse ein.
5. Klicken Sie auf Bearbeiten, wenn Sie die Felder der Eingabemaske ausfüllen möchte: Es öffnet sich eine leere Eingabemaske.
6. Füllen Sie die Felder der geöffneten Eingabemaske aus. Die einzelnen Felder des linken Formularbereiches und des rechten Formularbereiches sind nachfolgend beschrieben.
7. Klicken Sie auf Speichern: Die Löschklasse wurde erstellt.

Datenbereiche der Eingabemaske

Der linke Formularbereich weist folgende Datenbereiche auf:

• Dokumenten-ID: Weisen Sie der Verarbeitungstätigkeit eine Dokumenten-ID zu, die Verwendung von Dokumenten-IDs dient der systemweit eindeutigen Kennzeichnung und Identifikation von Dokumenten (mehr Informationen auf der Hilfeseite "Dokumentierte Information").
• Spezifikation: Wichtige Basisdaten zur Löschklasse gemäß DIN 66398, wie die Aufbewahrungs- und Löschfrist die von Robin Data bereitgestellt wird
• Löschfrist des Verantwortlichen: Ein wiederkehrender Zeitpunkt an dem die Daten gelöscht werden müssen.
• Organisationsspezifische rechtliche Bewertung: Spezielle Rechtsgrundlagen, die Abweichungen der Löschfrist von der gesetzlichen Aufbewahrungsfrist begründen
• Umsetzungsregel: Ein wiederkehrender Zeitpunkt an dem die Daten gelöscht werden müssen und Informationen darüber, mit welcher Technik oder Dienstleistung die Löschung erfolgt.

Datenbereich: Spezifikation

Dieser Datenbereich weist folgende Formularfelder auf:

• Bezeichnung: Geben Sie eine Bezeichnung der Löschklasse ein. Da es für gleiche Datenarten (z.B. Bewerbungen) prinzipiell mehrere Löschklassen (z.B. Bewerbungen digital, Bewerbung papierbasiert) geben kann, sollte diese ggf. die betroffene Datenart inkludieren.
• Datenart: Geben Sie die Datenart (z.B. Bewerbungen, Geschäftsbrief) an, die in dieser Löschklasse behandelt werden soll.
• Schutzbedarf: Der Schutzbedarf der Datenart. Dieser wurde zuvor in der Datenart definiert und wird automatisch übernommen. 
• Gesetzliche Aufbewahrungsfrist: Die sich ggf. jährlich ändernde, gesetzliche Aufbewahrungsfrist, die in der Datenart definiert wird. Robin Data passt diese Aufbewahrungsfrist für von Robin Data vorgegebene Datenarten bei gesetzlichen Änderungen automatisch an.

Datenbereich: Löschfrist des Verantwortlichen

• Startzeitpunkt: Wählen Sie, ab welchem Zeitpunkt die Berechnung der Löschfrist starten soll.
• Wiederholen alle: Passen Sie die Löschfristen, ggf. abweichend von den gesetzlich Vorgaben, an die Bedürfnisse Ihrer Organisation an. Die Löschfrist soll gesetzliche Aufbewahrungsfristen nicht unterschreiten. Begründen Sie die Abweichungen in den folgenden Formularfeldern.
• Periode: Die Betrachtungsperiode in der wiederholt Daten gelöscht werden müssen.
• Beschreibung: Fügen Sie der Löschfrist eine Beschreibung hinzu.

Datenbereich: Organisationsspezifische rechtliche Bewertung

Dieser Datenbereich weist folgende Formularfelder auf:

• Spezielle Rechtsgrundlage: Wählen Sie eine spezielle Rechtsgrundlage, die eine Abweichung der Löschfrist von der gesetzlichen Aufbewahrungsfrist erlaubt oder erfordert.
• Ergänzende Rechtliche Hinweise: Ergänzen Sie weitere rechtsspezifische Hinweise zur von der gesetzlichen Aufbewahrungsfrist abweichenden Löschfrist.

Datenbereich: Umsetzungsregel

Dieser Datenbereich weist folgende Formularfelder auf:

• Löschregel: Diese Daten wurden zum Matcher-Tab hinzugefügt und sind dort zu bearbeiten. Weisen Sie der Löschklasse eine definierte Löschregel zu. Die Löschregel definieren Sie unter Datenschutz > Löschkonzept > Zweiter Tab der Tabelle: Löschregel > Löschregel erstellen.
• Umsetzung durch: Diese Daten wurden zum Matcher-Tab hinzugefügt und sind dort zu bearbeiten. Wählen Sie eine Dienstleistung aus, mit dem Sie die Datenarten dieser Löschklasse löschen wollen. Eine Dienstleistung erstellen Sie unter Datenschutz > Dienstleistungen.
• Hinweis zum Löschvorgang: Fügen Sie dem Löschvorgang einen Hinweis hinzu.

Der rechte Formularbereich weist folgende Datenbereiche auf:

• Matcher: Über den Matcher können Sie Dokumente (wie z.B. Tätigkeiten oder technische und organisatorische Maßnahmen) verknüpfen sowie verknüpfte Dokumente einsehen. Über den Matcher können weitere Dokumente erstellt werden, die mit dem geöffneten Datensatz verknüpft werden können. Eine nähere Erläuterung dazu finden Sie im Artikel Matcher verwenden.
• Status Tab: In diesem Tab ist es möglich, den Status eines Dokumentes zu verwalten und Notizen zur Löschklasse zu hinterlegen.
• Governance Tab: Der Governance Tab ist in mehreren Dokumenten in der Robin Data ComplianceOS® gleichermaßen verfügbar. Es bietet die Möglichkeit, diverse grundlegende Parameter für das jeweilige Dokument festzuhalten. eine nähere Erläuterung dazu finden Sie im Artikel Governance Inhalte verwalten.
• Anlagen Tab: In diesem Tab können Sie über den Button Anlage hinzufügen zugehörige Dokumente hinterlegen. 

• Externe Links Tab: In diesem Tab können Sie über den Button Externen Link hinzufügen zugehörige Informationen verlinken.

Datenbereich: Status

In diesem Datenbereich ist es möglich, den Status eines Dokumentes zu verwalten und das Freigabeverfahren des Dokumentes abzubilden.

• Eine Löschklasse wird in der Regel von einer Person, zum Beispiel dem Mitarbeiter einer Fachabteilung, erstellt.
• Neben dieser Person sollte eine weitere Person prüfen, ob die Löschklasse korrekt erarbeitet und ein berechtigtes Interesse gut begründet ist. Dieses kann zum Beispiel der Datenschutzbeauftragte vornehmen. 
• Am Ende der Kette muss jemand die Löschklasse offiziell freigeben. Dieses kann zum Beispiel durch den Vorgesetzten erledigt werden.

Dieser Datenbereich weist folgende Formularfelder auf:

• Status: Geben Sie den aktuellen Bearbeitungsstatus der Löschklasse an.
• Erstellt von: Geben Sie die Person an, die diese Löschklasse erstellt hat.
• Erstellt am: Geben Sie das Datum ein, an dem die Erstellung dieser Löschklasse abgeschlossen wurde.
• Geprüft von: Geben Sie die Person an, die diese Löschklasse geprüft hat.
• Geprüft am: Geben Sie das Datum ein, an dem die Prüfung dieser Löschklasse abgeschlossen wurde.
• Freigegeben von: Geben Sie die Person an, die diese Löschklasse freigegeben hat.
• Freigegeben am: Geben Sie das Datum ein, an dem diese Löschklasse zur Nutzung freigegeben wurde.
• Notizen: Fügen Sie Notizen zur Löschklasse hinzu.
• Farbliche Kennzeichnung des Dokumentes: Hier können Sie ihrem Dokument eine Farbliche Kennzeichnung zuweisen.

Löschklasse automatisch aus einer Verarbeitungstätigkeit erzeugen

Sie können über den Tab Status Löschklassen direkt in einer Verarbeitungstätigkeit generieren. Die Löschklasse wird auf Basis der Datenarten der jeweiligen Verarbeitungstätigkeit erzeugt.

Die erzeugten Löschklassen werden unter Datenschutz > Löschkonzept gespeichert und auch direkt über den Matcher in der jeweiligen Verarbeitungstätigkeiten angezeigt. Erzeugte Löschklassen enthalten alle relevanten Informationen, die auch bei der manuellen Anlage der Löschklasse erfasst werden.

1. Klicken Sie im Hauptmenü auf Datenschutz: Es öffnet sich ein Dropdown-Menü.
2. Klicken Sie im Dropdown-Menü auf Verzeichnis der Verarbeitungstätigkeiten: Es öffnet sich die Tabellenansicht.
3. Klicken Sie in der Tabellenansicht auf die Verarbeitungstätigkeit, die Sie gern bearbeiten möchten: Es öffnet sich die Eingabemaske der Verarbeitungstätigkeit.
4. Klicken Sie im rechten Formularbereich auf den Tab Status.
5. Klicken Sie auf den Button Löschklassen generieren.
6. Nachfolgend erscheint ein Fenster, welches mitteilt, wieviel Löschklassen erzeugt wurden.

Löschregel erstellen

Jede Löschklasse benötigt eine sogenannte Löschregel, diese beschreibt, wann und wie Daten zu löschen sind. Die Löschregel wird anhand des Schutzbedarfs z. B. auf Basis der DIN 66399 definiert.

1. Klicken Sie im Hauptmenü auf Datenschutz: Es öffnet sich ein Dropdown-Menü.
2. Klicken Sie im Dropdown-Menü auf Löschkonzept: Es öffnet sich die Tabellenansicht.
3. Klicken Sie in der Tabellenansicht auf den Tab Löschregeln: es öffnet sich der Tab Löschregeln in der Tabelle.
4. Klicken Sie auf den Button +Löschregel: Es öffnet sich eine leere Eingabemaske.
5. Füllen Sie die Felder der geöffneten Eingabemaske aus und wählen Sie zwischen dem Intervall Serientyp bzw. Datum: es öffnen sich je nach Auswahl weitere Optionen. Diese sind nachfolgend erklärt.
6. Klicken Sie auf Speichern: Die Löschregel wurde erstellt.

Datenbereich: Serientyp

In diesem Datenbereich ist es möglich, das Intervall der Löschklasse auf ein das Intervall Serientyp zu stellen. Dieser Datenbereich weist folgende Formularfelder auf:

• Anzahl: Geben Sie hier die Anzahl für die ausgewählte Periode an. Zum Beispiel: 2 Jahre - die Löschregel fällt jedes zweite Jahr an. 
• Periode: Geben Sie an, in welcher Regelmäßigkeit die Löschregel ausgeführt werden soll.
• Startzeitpunkt erstellen: Geben Sie ein Startdatum für die Löschregel an.

 

 Datenbereich: Datum

In diesem Datenbereich ist es möglich, das Intervall der Löschklasse auf ein bestimmtes Datum zu stellen. Dieser Datenbereich weist folgende Formularfelder auf:

• Am: Geben Sie an, an welchem Tag die Löschregel einmalig ausgeführt werden soll.

 

Whitepaper der Weg zu einem Löschkonzept nach DSGVO

Im Whitepaper zum Löschkonzept:

• Erhalten Sie Informationen zur Definition des Löschkonzeptes sowie Begriffsbestimmungen relevanter Begriffe
• Lernen Sie die gesetzlichen Vorgaben und Normen zur Umsetzung des Löschkonzeptes kennen
• Erfahren Sie wie Sie in 7 Schritten das Löschkonzept erstellen
• Inklusive Muster einer ausgefüllten Löschklasse
  
  

---

Whitepaper downloaden

---