2025/2 | Praxis Wissensmanagement | IT-Sicherheit / Datenschutz

Umsetzung eines Löschkonzeptes nach der DSGVO

von Horst Speichert

Spricht man das Thema Löschkonzept an, verursacht das bei den Beteiligten nicht selten reflexartige Bauchschmerzen. Jeder weiß, es gibt zahlreiche Löschpflichten nach der DSGVO und anderen Gesetzen, die aber überwiegend nicht beachtet werden, sondern als große Lücke im Raum schweben. Wer gewillt ist, die Lücke zu schließen, stößt nicht selten auf einen bürokratischen Aufwand, der das Bemühen schnell versanden lässt. Das muss nicht sein, denn schon einfache Software-Lösungen können bei der Umsetzung eines Löschkonzeptes effizient und nachhaltig unterstützen.

(C) gustavofer74 / Pixabay

Ausgangspunkt - gesetzliche Löschpflichten

Neben den bekannten sechsjährigen Aufbewahrungspflichten für Handelsbriefe oder zehnjährigen Aufbewahrungspflichten für steuerrelevante Unterlagen existieren zahlreiche gesetzliche Aufbewahrungsfristen z.B. im Personalbereich für Beitragsabrechnungen an die Sozialversicherungsträger [1], Arbeitsunfähigkeits (AU)-Bescheinigungen [2], Arbeitszeitnachweise [3] oder Bewerbungsunterlagen [4], um nur einige Beispiele zu nennen.

Hinzukommen mögliche vertragliche Aufbewahrungs- und Löschfristen aus Vertragsbeziehungen mit Geschäftspartnern wie z.B. Personal- oder Marketingdienstleistern.

Beispiel Bewerbungsunterlagen

Nach Abschluss des Bewerbungsverfahrens müssen die Bewerbungsdaten unter Beachtung der gesetzlichen Vorgaben wieder gelöscht werden. Allerdings besteht die Löschungspflicht nicht sofort, sondern erst nach Ablauf von Aufbewahrungsfristen, die sich etwa aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) ergeben.

Die Unterlagen aus dem Bewerbungsverfahren müssen für einen Zeitraum von bis zu sechs Monaten nach der ablehnenden Entscheidung aufbewahrt werden, um sich gegen etwaige Ansprüche des Bewerbers nach dem AGG verteidigen zu können. Dies entspricht der allgemeinen Meinung, die auch von den Datenschutzbehörden geteilt wird, z.B. in einer entsprechenden Veröffentlichung des Bundesbeauftragten für den Datenschutz. [5] Anschließend sind die Unterlagen dann fristgemäß zu löschen.

Dokumentation der Löschfristen

Unternehmen sind nach Art. 30 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) verpflichtet. Es ist gemäß Art. 30 Abs. 1 lit.f DSGVO für jedes Verfahren mit personenbezogenen Daten auch eine Löschfrist festzulegen. Für die Definition und Dokumentation von Löschfristen im Löschkonzept - es empfiehlt sich eine Auflistung der zahlreichen Fristen in einer gesonderten Anlage - kann deshalb ergänzend auch auf das bestehende VVT verwiesen werden.

Such- und Löschfunktionen

Im Falle von Auskunfts- bzw. Löschungsersuchen durch Betroffene (abgelehnte Bewerber, Arbeitnehmer usw.) muss ein Unternehmen die Möglichkeit haben, die personenbezogenen Daten einer bestimmten Person z.B. in den Personalakten, HR- und IT-Systemen aufzufinden, Auskunft zu erteilen und gegebenenfalls beweissicher zu löschen. Entsprechend müssen die wichtigsten Such- und Löschroutinen der IT-Systeme bekannt und einsatzbereit sein. Daher empfiehlt sich eine Erfassung und Auflistung der Suchfunktionalitäten der IT-Systeme (z.B. MS-Office, E-Mail usw.), des Einsatzes spezieller Löschsoftware und der Möglichkeiten der revisionssicheren Akten- und Datenträgervernichtung in einer speziellen Anlage zum Löschkonzept.

Löschungsnachweis

Die Beweislast für den Nachweis der erfolgten Löschung trägt das Unternehmen. Die detaillierte Dokumentation der Nachweismöglichkeiten sowie der erfolgten Löschvorgänge, z.B. durch

  • Löschprotokolle (Logfiles),
  • Screenshots,
  • manuelle Bestätigungen der ausführenden IT-Verantwortlichen,
  • Vernichtungsprotokolle beauftragter Dienstleister usw.,

ist deshalb erforderlich.

Bildung von Löschklassen

Die DIN 66398 [6] enthält eine Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten. Als Vorbedingung für die Bildung von Löschklassen muss der Datenbestand zunächst in Datenarten aufgeteilt werden, für die Löschregeln (mit Löschfristen) festgelegt werden sollen. Die Löschfristen können für die Datenarten nur abgeleitet werden, wenn zuvor sogenannte Löschklassen gebildet werden.

Zur Umsetzung eines praktikablen Löschkonzeptes werden entsprechend der DIN 66398 vereinfachende Löschklassen gebildet, welche die vielfältigen gesetzlichen Löschfristen praktikabel zusammenfassen.

Fazit

Die Erfassung der gesetzlichen Löschfristen und der technischen Löschfunktionen, die Überwachung der Fristen, um sie nicht zu versäumen - man denke nur an die regelmäßige Durchforstung der Personalakten - die Beweissicherung der Löschvorgänge, all das verursacht einen erheblichen bürokratischen Aufwand, weswegen sich viele Unternehmen beim Löschkonzept wegducken und auf Lücke setzen. Das ist bei kluger Organisation und unterstützendem Einsatz einer einfachen Software-Lösung, die z.B. die Prozesse und Fristen in Löschklassen erfasst und an den Fristablauf automatisiert erinnert, ein überflüssiges und lösbares Risiko.


Quellen & Anmerkungen:


Der Autor:

Rechtsanwalt Horst Speichert, seit Jahrzehnten spezialisiert auf IT-Recht, Datenschutz; Fachbuchautor und Lehrbeauftragter für Informationsrecht, Seniorpartner der Kanzlei esb Rechtsanwälte, Mitgeschäftsführer der esb data gmbh. Ein Unternehmen, das die sog „LöschApp, ein die DSGVO-Konformität erleichterndes Tool, das die in der jeweiligen Organisation eingesetzte Software nach verarbeiteten Datenarten klassifiziert und mehrstufige Fristen für Löschtermine hinterlegt, entwickelt hat.

speichert@wissensmanagement.net

Diese Artikel könnten Sie auch interessieren

Sechs Fehler, die KI-Projekte schon in der Anfangsphase zum Scheitern bringen

Der Erfolg von KI-Projekten hängt ganz entscheidend davon ab, dass Unternehmen bereits im Vorfeld genau klären, welche Probleme sie mit Daten und KI lösen wollen, und konkrete Projektziele definieren. Dies ist notwendig, damit die Projektausrichtung stimmt und keine falschen Erwartungen geweckt werden, denn spätere Kurskorrekturen kosten viel Zeit und Geld. Doch auch direkt im Anschluss, wenn die Projek...

Weiterlesen

Smart Factory: Prozesse optimieren, Know-how bewahren

WISSENplus
Es gibt endlich eine Lösung für den Fachkräftemangel -und sie heißt KI. Dabei geht es nicht darum, neue KI Modelle zu entwickeln, sondern diese passgenau einzusetzen. Moderne GenAI-Modelle erlauben es, wertvolles Mitarbeiter-Wissen auf einfache Art zu konservieren, und das ohne wirklichen Mehraufwand für die Mitarbeitenden. Allerdings hindern Missverständnisse über die Möglichkeiten und die Int...

Weiterlesen

Sechs Bausteine zur KI-Readiness: Künstliche Intelligenz lebt von hochwertigen Daten und intelligenter Planung

Künstliche Intelligenz hat sich in den letzten Jahren zu einem der einflussreichsten Werkzeuge der Digitalisierung entwickelt. Sie ermöglicht es Unternehmen, Erkenntnisse aus riesigen Datenmengen zu gewinnen, Prozesse zu automatisieren und fundierte Entscheidungen in Echtzeit zu treffen. Doch bei allem Potenzial hängt der Erfolg von KI-Systemen von mehreren entscheidenden Faktoren ab, allen voran von der...

Weiterlesen

7 Best Practices gegen GenAI-Wildwuchs im Unternehmen

Generative KI nimmt Mitarbeitern viele zeitraubende Tätigkeiten ab und macht sie effizienter. Kein Wunder, dass sie die praktischen Helfer im Arbeitsalltag nutzen wollen und oft loslegen, ohne auf offiziell vom Unternehmen eingeführte Tools zu warten. Dadurch entstehen allerdings erhebliche Risiken: Es drohen nicht nur Datenschutzverletzungen und der Abfluss sensibler Firmendaten, sondern auch unfai...

Weiterlesen

Agent oder Agentic: KI-Agenten etablieren sich

Der Hype rund um Agentic AI ist riesig – und berechtigt. Denn wir haben es mit nicht weniger als einer neuen Qualität Künstlicher Intelligenz zu tun. Mit Agentic AI verliert KI zunehmend ihren Werkzeugcharakter und entwickelt sich vielmehr zu einem eigenständig agierenden System. Wie weit Agentic AI bereits praktisch gediehen ist, zeigen ihre verschiedenen Ausprägungen und Varianten. Eines der wichti...

Weiterlesen

Wie strukturiert ist Ihre Wissensarbeit?

Wussten Sie, dass nur 33 Prozent der deutschen Unternehmen mit einer "guten digitalen Gesundheit" ins Jahr 2025 gestartet sind? Das ist das Ergebnis der aktuellen Digital Health Studie von Zoho. Gemeint ist damit die digitale Reife von Organisationen - angefangen bei smarten Arbeitsprozessen über die strukturierte Datenhaltung bis hin zum strategischen Technologieeinsatz. Die Studie zeigt: Wer he...

Weiterlesen