Hauptnavigation: Datenschutz

Löschkonzept erstellen

Personenbezogene Daten müssen regelmäßig oder auf Wunsch der Betroffenen gelöscht werden. Die Umsetzung dieser Löschungen erfolgt auf Basis eines Löschkonzeptes. Das Löschkonzept leitet sich aus den Verarbeitungstätigkeiten ab.

Hintergrund

Personenbezogene Daten dürfen nur solange verarbeitet oder gespeichert werden, bis:

  • sie von Gesetzes wegen nicht mehr benötigt werden
  • der in der Verarbeitungstätigkeit definierte Zweck der Verarbeitung erlischt
  • Betroffene gemäß Art. 17 DSGVO eine Löschung ihrer persönlichen Daten verlangen und keine andere rechtliche Verpflichtung gegen diese Löschung spricht

Um einen Überblick darüber zu behalten, welche personenbezogene Daten in einer Organisation verarbeitet werden, sollte jede Organisation ein sogenanntes "Löschkonzept" erstellen.

Da gesetzlich nicht vorgeschrieben ist, wie so ein Löschkonzept aussehen soll, bietet es sich an, dieses auf Basis der DIN 33698 "Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten" umzusetzen.

Im Kern ist das Löschkonzept nach DIN 33698 folgendermaßen aufgebaut:

  • Die Basis des Löschkonzeptes sind die Datenarten, die im Verzeichnis der Verarbeitungstätigkeiten erfasst wurden. Datenarten sind in der Regel Kategorien von Dokumenten, wie Geschäftsbriefe, Angebotsunterlagen, E-Mails etc., die in einer Organisation verwendet werden. 
  • Für Datenarten sind gesetzliche Aufbewahrungsfristen definiert. Datenarten plus Aufbewahrungsfristen bilden die Grundlage für die Erstellung sogenannter Löschklassen. Beispiel: Die Datenart "Auftragsdaten eines Dachdeckerbetriebes" hat eine gesetzliche Aufbewahrungsfrist von 10 Jahren, welche sich aus dem Handelsgesetzbuch ergibt.
  • Löschklassen fassen eine oder mehrere Datenarten zusammen. Die Gemeinsamkeit liegt darin, dass den in einer Löschklasse enthaltenen Datenarten eine gemeinsame Löschfrist zugewiesen wird. Ist die Löschfrist erreicht, müssen die personenbezogenen Daten gelöscht, respektive die vollständigen Dokumente vernichtet werden. Für das obige Beispiel bedeutet dieses, dass die Dachdeckerunterlagen nach 10 Jahren gelöscht werden sollten.
  • In vielen Fällen kann es Sinn machen, dass Datenarten über die gesetzliche Aufbewahrungsfrist hinaus gespeichert und verarbeitet werden. Es liegt demnach ein berechtigtes Interesse zur weiteren Verarbeitung vor, das im Löschkonzept explizit begründet werden muss. Im Fall des Dachdeckers kann man ein berechtigtes Interesse damit begründen, dass Dächer in der Regel erst nach 20 oder mehr Jahren Schäden aufweisen und es daher sinnvoll ist, die Auftragsunterlagen zum Dach nicht nach 10 Jahren zu löschen, sondern mindestens 20 oder mehr Jahre aufzubewahren. Dieses Vorgehen ist sicher auch im Sinne des Kunden.
  • Zusätzlich wird zu jeder Löschklasse definiert, ab wann der Betrachtungszeitraum für die Berechnung einer Löschklasse läuft. Diese kann sein "Ab Ende einer Vertragsbeziehung", "Ab Ende eines Vorgangs" oder "Ab dem Zeitpunkt der Datenerhebung". Für den Dachdeckerbetrieb würde die Löschfrist beginnen "Ab Ende des Vorgangs", also der Abnahme des Daches.
  • Als letztes ist zu betrachten, wie sensibel bzw. schutzbedürftig die Datenarten in der Löschklasse sind. Es ist logisch, dass eine Personalakte einen höheren Schutzbedarf aufweist als eine "normale" geschäftliche E-Mail. Bei der Löschung der Daten ist dieses zu berücksichtigen, zum Beispiel dann, wenn ein professioneller Entsorgungsbetrieb mit der Löschung oder Vernichtung von Daten beauftragt wird. Ein gutes Nachschlagewerk für die Vernichtung von Dokumenten ist die DIN 33699.
  • Zusammengefasst beschreibt die Löschklasse also welche Datenarten wann zu löschen sind.
  • Um die Löschungen umzusetzen, muss je Löschklasse eine sogenannte Löschregel definiert werden. Die Löschregel beschreibt, wann und wie die zu löschenden Daten zu löschen sind. Im Fall des Dachdeckers könnte die Löschregel z. B. folgendermaßen lauten: "Lösche am 1.2. jeden Jahres alle Auftragsunterlagen zu Dachprojekten, die seit der Dachabnahme mindestens 20 Jahre archiviert sind. Lösche diese Unterlagen über die Entsorgungsfirma Meier und lasse die Löschung bestätigen". 
  • Jeder Löschvorgang sollte dabei als Tätigkeit erfasst werden, um nachweisbar zu sein.

    Zusammengefasst besteht ein Löschkonzept aus folgenden Bestandteilen:

    • Löschklassen mit Datenarten, Löschfristen und dem Schutzbedarf der zu löschenden Daten
    • Startzeitpunkt, ab dem die Löschfrist berechnet wird
    • Ggf. Begründung einer von der gesetzlichen Aufbewahrungsfrist abweichenden Löschfrist einer Datenart 
    • Löschregel je Löschklasse, die anhand des Schutzbedarfs z. B. auf Basis der DIN 66399 definiert, wie entsprechende Daten zu löschen sind

    In der Robin Data Software sind obige Informationen so kompakt und einfach wie möglich festzuhalten.

    Löschkonzept verwalten

    Die Verwaltung vom Löschkonzept erreichen Sie im Hauptmenü unter: 

    • Datenschutz > Löschkonzept

    Zunächst öffnet sich die Tabellenansicht. Die allgemeine Funktionalität der Tabellensicht wird in dem Artikel Tabellensicht verwenden beschrieben.

    In der Tabellenansicht sehen Sie die Übersicht der bereits angelegten Löschklassen. 

    Löschkonzept erstellen

    Um ein Löschkonzept zu erstellen, klicken Sie im Hauptmenü auf: 

    • Datenschutz > Löschkonzept

    Zunächst öffnet sich die Tabellenansicht. Die allgemeine Funktionalität der Tabellenansicht wird in dem Artikel Tabellenansicht verwenden beschrieben.

    In der Tabellenansicht sehen Sie die Übersicht der aktuell bereits angelegten Löschklassen.

    Um eine Löschklasse zu erstellen, drücken Sie in der Tabellenansicht Datenschutz > Löschklasse auf den Button: Löschklasse erstellen. Es öffnet sich eine leere Eingabemaske mit dem Formular zur Erstellung einer Löschklasse.

    Das Formular weist folgende Datenbereiche auf:

    • Spezifikation: Wichtige Basisdaten zur Löschklasse gemäß DIN 33698
    • Umsetzung: Definition des Anwendungsbereiches (Standorte) und der Umsetzungsregel
    • Rechtliche Bewertung: Erfassung rechtlicher Rahmenbedingungen, die für diese Löschklasse eine Rolle spielen können
    • Status & Freigabe: Erfassen Sie den Status und den Freigabezyklus der Löschklasse
    • Notizen: Machen Sie sich Notizen zu dieser Löschklasse

    Durch Klicken auf die jeweiligen Registereinträge am linken Bildrand, können Sie zwischen diesen Datenbereichen wechseln.

    Datenbereich: Spezifikation

    Dieser Datenbereich weist folgende Formularfelder auf:

    • Bezeichnung: Geben Sie eine Bezeichnung der Löschklasse ein. Da es für gleiche Datenarten (z.B. Bewerbungen) prinzipiell mehrere Löschklassen (z.B. Bewerbungen digital, Bewerbung papierbasiert) geben kann, sollte diese ggf. die betroffene Datenart inkludieren.
    • Datenart: Geben Sie die Datenart (z.B. Bewerbungen, Geschäftsbrief) an, die in dieser Löschklasse behandelt werden soll.
    • Schutzbedarf: Der Schutzbedarf der Datenart. Dieser wurde zuvor in der Datenart definiert und wird automatisch übernommen. 
    • Gesetzliche Aufbewahrungsfrist: Die sich ggf. jährlich ändernde, gesetzliche Aufbewahrungsfrist, die in der Datenart definiert wird. Robin Data passt diese Aufbewahrungsfrist für von Robin Data vorgegebene Datenarten bei gesetzlichen Änderungen automatisch an.
    • Startzeitpunkt: Wählen Sie, ab welchem Zeitpunkt die Berechnung der Löschfrist starten soll.
    • Löschfrist des Verantwortlichen bestehend aus: 
      • Periode: Die Betrachtungsperiode in der wiederholt Daten gelöscht werden müssen.
      • Anzahl Perioden: Die Anzahl der Perioden, ab der - rückgerechnet - die Daten gelöscht werden müssen (Beispiel: Periode=Jahr, Anzahl Perioden=10, Zeitpunkt der Löschung: 1.10.2019 --> alle Datenarten aus den Jahren 2009 und älter können gelöscht werden)

    Datenbereich: Umsetzung

    Dieser Datenbereich weist folgende Formularfelder auf:

    • Gilt am Standort: Wählen Sie die Standorte aus, an denen diese Löschklasse gelten soll.
    • Verantwortlicher: Definieren Sie einen Verantwortliche für diese Löschklasse.
    • Löschregel: Weisen Sie der Löschklasse eine definierte Löschregel zu. Die Löschregel definieren Sie unter Datenschutz > Löschkonzept > Aktion: Löschregel erstellen.
    • Umsetzung durch: Wählen Sie eine Dienstleistung aus, mit dem Sie die Datenarten dieser Löschklasse löschen wollen. Eine Dienstleistung erstellen Sie unter Datenschutz > Dienstleistungen.

    Datenbereich: Rechtliche Bewertung

    Dieser Datenbereich weist folgende Formularfelder auf:

    • Rechtsgrundlage im Datenschutzrecht: Wählen Sie eine datenschutzrechtliche Regel, die eine Abweichung der Löschfrist von der gesetzlichen Aufbewahrungsfrist erlaubt oder erfordert.
    • Spezielle Rechtsgrundlage: Wählen Sie eine spezielle Rechtsgrundlage, die eine Abweichung der Löschfrist von der gesetzlichen Aufbewahrungsfrist erlaubt oder erfordert.
    • Ergänzende Rechtliche Hinweise: Ergänzen Sie weitere rechtsspezifische Hinweise zur von der gesetzlichen Aufbewahrungsfrist abweichenden Löschfrist.

    Datenbereich: Status & Freigabe

    In diesem Datenbereich ist es möglich, den Status eines Dokumentes zu verwalten und das Freigabeverfahren des Dokumentes abzubilden.

    • Eine Löschklasse wird in der Regel von einer Person, zum Beispiel dem Mitarbeiter einer Fachabteilung, erstellt.
    • Neben dieser Person sollte eine weitere Person prüfen, ob die Löschklasse korrekt erarbeitet und ein berechtigtes Interesse gut begründet ist. Dieses kann zum Beispiel der Datenschutzbeauftragte vornehmen. 
    • Am Ende der Kette muss jemand die Löschklasse offiziell freigeben. Dieses kann zum Beispiel durch den Vorgesetzten erledigt werden.

    Dieser Datenbereich weist folgende Formularfelder auf:

    • Status: Geben Sie den aktuellen Bearbeitungsstatus der Löschklasse an.
    • Erstellt von: Geben Sie die Person an, die diese Löschklasse erstellt hat.
    • Erstellt am: Geben Sie das Datum ein, an dem die Erstellung dieser Löschklasse abgeschlossen wurde.
    • Geprüft von: Geben Sie die Person an, die diese Löschklasse geprüft hat.
    • Geprüft am: Geben Sie das Datum ein, an dem die Prüfung dieser Löschklasse abgeschlossen wurde.
    • Freigegeben von: Geben Sie die Person an, die diese Löschklasse freigegeben hat.
    • Freigegeben am: Geben Sie das Datum ein, an dem diese Löschklasse zur Nutzung freigegeben wurde.

    Weitere Frage? - Wir sind für Sie da.

    Bei Fragen zur Software können Sie sich gern an unseren Support wenden. Sie erreichen uns unter support@robin-data.io.