2025/2 | Praxis Wissensmanagement | IT-Sicherheit / Datenschutz

Umsetzung eines Löschkonzeptes nach der DSGVO

von Horst Speichert

Spricht man das Thema Löschkonzept an, verursacht das bei den Beteiligten nicht selten reflexartige Bauchschmerzen. Jeder weiß, es gibt zahlreiche Löschpflichten nach der DSGVO und anderen Gesetzen, die aber überwiegend nicht beachtet werden, sondern als große Lücke im Raum schweben. Wer gewillt ist, die Lücke zu schließen, stößt nicht selten auf einen bürokratischen Aufwand, der das Bemühen schnell versanden lässt. Das muss nicht sein, denn schon einfache Software-Lösungen können bei der Umsetzung eines Löschkonzeptes effizient und nachhaltig unterstützen.

(C) gustavofer74 / Pixabay

Ausgangspunkt - gesetzliche Löschpflichten

Neben den bekannten sechsjährigen Aufbewahrungspflichten für Handelsbriefe oder zehnjährigen Aufbewahrungspflichten für steuerrelevante Unterlagen existieren zahlreiche gesetzliche Aufbewahrungsfristen z.B. im Personalbereich für Beitragsabrechnungen an die Sozialversicherungsträger [1], Arbeitsunfähigkeits (AU)-Bescheinigungen [2], Arbeitszeitnachweise [3] oder Bewerbungsunterlagen [4], um nur einige Beispiele zu nennen.

Hinzukommen mögliche vertragliche Aufbewahrungs- und Löschfristen aus Vertragsbeziehungen mit Geschäftspartnern wie z.B. Personal- oder Marketingdienstleistern.

Beispiel Bewerbungsunterlagen

Nach Abschluss des Bewerbungsverfahrens müssen die Bewerbungsdaten unter Beachtung der gesetzlichen Vorgaben wieder gelöscht werden. Allerdings besteht die Löschungspflicht nicht sofort, sondern erst nach Ablauf von Aufbewahrungsfristen, die sich etwa aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) ergeben.

Die Unterlagen aus dem Bewerbungsverfahren müssen für einen Zeitraum von bis zu sechs Monaten nach der ablehnenden Entscheidung aufbewahrt werden, um sich gegen etwaige Ansprüche des Bewerbers nach dem AGG verteidigen zu können. Dies entspricht der allgemeinen Meinung, die auch von den Datenschutzbehörden geteilt wird, z.B. in einer entsprechenden Veröffentlichung des Bundesbeauftragten für den Datenschutz. [5] Anschließend sind die Unterlagen dann fristgemäß zu löschen.

Dokumentation der Löschfristen

Unternehmen sind nach Art. 30 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) verpflichtet. Es ist gemäß Art. 30 Abs. 1 lit.f DSGVO für jedes Verfahren mit personenbezogenen Daten auch eine Löschfrist festzulegen. Für die Definition und Dokumentation von Löschfristen im Löschkonzept - es empfiehlt sich eine Auflistung der zahlreichen Fristen in einer gesonderten Anlage - kann deshalb ergänzend auch auf das bestehende VVT verwiesen werden.

Such- und Löschfunktionen

Im Falle von Auskunfts- bzw. Löschungsersuchen durch Betroffene (abgelehnte Bewerber, Arbeitnehmer usw.) muss ein Unternehmen die Möglichkeit haben, die personenbezogenen Daten einer bestimmten Person z.B. in den Personalakten, HR- und IT-Systemen aufzufinden, Auskunft zu erteilen und gegebenenfalls beweissicher zu löschen. Entsprechend müssen die wichtigsten Such- und Löschroutinen der IT-Systeme bekannt und einsatzbereit sein. Daher empfiehlt sich eine Erfassung und Auflistung der Suchfunktionalitäten der IT-Systeme (z.B. MS-Office, E-Mail usw.), des Einsatzes spezieller Löschsoftware und der Möglichkeiten der revisionssicheren Akten- und Datenträgervernichtung in einer speziellen Anlage zum Löschkonzept.

Löschungsnachweis

Die Beweislast für den Nachweis der erfolgten Löschung trägt das Unternehmen. Die detaillierte Dokumentation der Nachweismöglichkeiten sowie der erfolgten Löschvorgänge, z.B. durch

  • Löschprotokolle (Logfiles),
  • Screenshots,
  • manuelle Bestätigungen der ausführenden IT-Verantwortlichen,
  • Vernichtungsprotokolle beauftragter Dienstleister usw.,

ist deshalb erforderlich.

Bildung von Löschklassen

Die DIN 66398 [6] enthält eine Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten. Als Vorbedingung für die Bildung von Löschklassen muss der Datenbestand zunächst in Datenarten aufgeteilt werden, für die Löschregeln (mit Löschfristen) festgelegt werden sollen. Die Löschfristen können für die Datenarten nur abgeleitet werden, wenn zuvor sogenannte Löschklassen gebildet werden.

Zur Umsetzung eines praktikablen Löschkonzeptes werden entsprechend der DIN 66398 vereinfachende Löschklassen gebildet, welche die vielfältigen gesetzlichen Löschfristen praktikabel zusammenfassen.

Fazit

Die Erfassung der gesetzlichen Löschfristen und der technischen Löschfunktionen, die Überwachung der Fristen, um sie nicht zu versäumen - man denke nur an die regelmäßige Durchforstung der Personalakten - die Beweissicherung der Löschvorgänge, all das verursacht einen erheblichen bürokratischen Aufwand, weswegen sich viele Unternehmen beim Löschkonzept wegducken und auf Lücke setzen. Das ist bei kluger Organisation und unterstützendem Einsatz einer einfachen Software-Lösung, die z.B. die Prozesse und Fristen in Löschklassen erfasst und an den Fristablauf automatisiert erinnert, ein überflüssiges und lösbares Risiko.


Quellen & Anmerkungen:


Der Autor:

Rechtsanwalt Horst Speichert, seit Jahrzehnten spezialisiert auf IT-Recht, Datenschutz; Fachbuchautor und Lehrbeauftragter für Informationsrecht, Seniorpartner der Kanzlei esb Rechtsanwälte, Mitgeschäftsführer der esb data gmbh. Ein Unternehmen, das die sog „LöschApp, ein die DSGVO-Konformität erleichterndes Tool, das die in der jeweiligen Organisation eingesetzte Software nach verarbeiteten Datenarten klassifiziert und mehrstufige Fristen für Löschtermine hinterlegt, entwickelt hat.

speichert@wissensmanagement.net

Diese Artikel könnten Sie auch interessieren

Intelligentes Wissensmanagement: KI-Agenten sind die neuen Wegbegleiter

WISSENplus
Wissen ist Macht. Die wenigsten Unternehmen setzen diese Macht allerdings gezielt ein. Im Gegenteil: Nützliche Information schlummern in irgendwelchen Silo-Lösungen und sind für die breite Mehrheit der Mitarbeiter nicht zugänglich. In der heutigen Zeit ist das fatal oder anders formuliert: geschäftsschädigend. KI-Agenten versprechen Abhilfe. ...

Weiterlesen

Digitale Dokumentenprozesse in der Fertigungsindustrie

WISSENplus
Ein effizientes Dokumentenmanagement und digitale Signaturprozesse sind entscheidend für Präzision, Sicherheit und Compliance in der Fertigungsindustrie. Angesichts der Herausforderungen, die mit der Verwaltung großer Dokumentenmengen einhergehen, gewinnen Werkzeuge zur digitalen Dokumentenbearbeitung und elektronischen Signatur zunehmend an Bedeutung. Sie ermöglichen eine schlanke Gestaltung von ...

Weiterlesen

Vorsicht, Fake News! Wie Generative KI die Verbreitung von Desinformationen fördert

WISSENplus
Von Brüssel bis Washington DC finden in diesem Jahr Wahlen statt, welche die politische Landschaft weiter Teile der Welt für die nächsten Jahre bestimmen werden. Die Wahlentscheidungen werden auch Auswirkungen auf die gesamte Weltwirtschaft und jedes einzelne Unternehmen haben. Dabei sind sie mit einer in dieser Dimension neuen Herausforderung konfrontiert: Generative KI ...

Weiterlesen

Zehn Must-dos zur Betrugsbekämpfung im Zeitalter von KI

Weltweit sehen sich Unternehmen mit einer Zunahme von Betrugsfällen konfrontiert, auch weil gewiefte Kriminelle zunehmend KI einsetzen. Deren Funktionalitäten nutzen etwa Deepfake-Software, automatisierte Phishing-Systeme, Chatbots und fortschrittliche Datenanalysen, die Betrugsversuche vereinfachen....

Weiterlesen

Digitale Zwillinge: Effizient, nachhaltig, ESG-konform

WISSENplus
Zu den Kernthemen fast aller Unternehmen gehört derzeit die Nachhaltigkeit - gerade im Hinblick auf die erforderliche Umsetzung von ESG-Programmen. Ein effizientes Hilfsmittel sind dabei Digitale Zwillinge. Sie können die Etablierung nachhaltiger Prozesse unterstützen und damit den ökologischen Fußabdruck eines Unternehmens entscheidend verringern....

Weiterlesen

How-to-Anleitung: Chatbots im Personalbereich einsetzen

WISSENplus
KI treibt in einer zunehmenden Vielfalt von Unternehmensbereichen erstaunliche Qualitäts- und Effizienzsteigerungen voran. Gerade auch Chatbots erweisen sich dabei oft als eine immer stärker infrage kommende Option in der Optimierung und Automatisierung von Prozessen. Der Einsatz dieser digitalen Assistenten bietet auch im HR-Bereich zahlreiche Vorteile: Als "Ansprechpartner", die 24/7 die...

Weiterlesen

6 Fragen, die sich Unternehmen zum GenAI-Einsatz stellen sollten

Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten. Oft nutzen die Mitarbeiter sogar schon einige Tools - was ebenso wie eine überhastete Einführung mit Risiken insbesondere für Datenschutz und Datensicherheit verbunden ist. Um diese Risiken zu vermeiden, ...

Weiterlesen