2025/2 | Praxis Wissensmanagement | IT-Sicherheit / Datenschutz

Umsetzung eines Löschkonzeptes nach der DSGVO

von Horst Speichert

Spricht man das Thema Löschkonzept an, verursacht das bei den Beteiligten nicht selten reflexartige Bauchschmerzen. Jeder weiß, es gibt zahlreiche Löschpflichten nach der DSGVO und anderen Gesetzen, die aber überwiegend nicht beachtet werden, sondern als große Lücke im Raum schweben. Wer gewillt ist, die Lücke zu schließen, stößt nicht selten auf einen bürokratischen Aufwand, der das Bemühen schnell versanden lässt. Das muss nicht sein, denn schon einfache Software-Lösungen können bei der Umsetzung eines Löschkonzeptes effizient und nachhaltig unterstützen.

(C) gustavofer74 / Pixabay

Ausgangspunkt - gesetzliche Löschpflichten

Neben den bekannten sechsjährigen Aufbewahrungspflichten für Handelsbriefe oder zehnjährigen Aufbewahrungspflichten für steuerrelevante Unterlagen existieren zahlreiche gesetzliche Aufbewahrungsfristen z.B. im Personalbereich für Beitragsabrechnungen an die Sozialversicherungsträger [1], Arbeitsunfähigkeits (AU)-Bescheinigungen [2], Arbeitszeitnachweise [3] oder Bewerbungsunterlagen [4], um nur einige Beispiele zu nennen.

Hinzukommen mögliche vertragliche Aufbewahrungs- und Löschfristen aus Vertragsbeziehungen mit Geschäftspartnern wie z.B. Personal- oder Marketingdienstleistern.

Beispiel Bewerbungsunterlagen

Nach Abschluss des Bewerbungsverfahrens müssen die Bewerbungsdaten unter Beachtung der gesetzlichen Vorgaben wieder gelöscht werden. Allerdings besteht die Löschungspflicht nicht sofort, sondern erst nach Ablauf von Aufbewahrungsfristen, die sich etwa aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) ergeben.

Die Unterlagen aus dem Bewerbungsverfahren müssen für einen Zeitraum von bis zu sechs Monaten nach der ablehnenden Entscheidung aufbewahrt werden, um sich gegen etwaige Ansprüche des Bewerbers nach dem AGG verteidigen zu können. Dies entspricht der allgemeinen Meinung, die auch von den Datenschutzbehörden geteilt wird, z.B. in einer entsprechenden Veröffentlichung des Bundesbeauftragten für den Datenschutz. [5] Anschließend sind die Unterlagen dann fristgemäß zu löschen.

Dokumentation der Löschfristen

Unternehmen sind nach Art. 30 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) verpflichtet. Es ist gemäß Art. 30 Abs. 1 lit.f DSGVO für jedes Verfahren mit personenbezogenen Daten auch eine Löschfrist festzulegen. Für die Definition und Dokumentation von Löschfristen im Löschkonzept - es empfiehlt sich eine Auflistung der zahlreichen Fristen in einer gesonderten Anlage - kann deshalb ergänzend auch auf das bestehende VVT verwiesen werden.

Such- und Löschfunktionen

Im Falle von Auskunfts- bzw. Löschungsersuchen durch Betroffene (abgelehnte Bewerber, Arbeitnehmer usw.) muss ein Unternehmen die Möglichkeit haben, die personenbezogenen Daten einer bestimmten Person z.B. in den Personalakten, HR- und IT-Systemen aufzufinden, Auskunft zu erteilen und gegebenenfalls beweissicher zu löschen. Entsprechend müssen die wichtigsten Such- und Löschroutinen der IT-Systeme bekannt und einsatzbereit sein. Daher empfiehlt sich eine Erfassung und Auflistung der Suchfunktionalitäten der IT-Systeme (z.B. MS-Office, E-Mail usw.), des Einsatzes spezieller Löschsoftware und der Möglichkeiten der revisionssicheren Akten- und Datenträgervernichtung in einer speziellen Anlage zum Löschkonzept.

Löschungsnachweis

Die Beweislast für den Nachweis der erfolgten Löschung trägt das Unternehmen. Die detaillierte Dokumentation der Nachweismöglichkeiten sowie der erfolgten Löschvorgänge, z.B. durch

  • Löschprotokolle (Logfiles),
  • Screenshots,
  • manuelle Bestätigungen der ausführenden IT-Verantwortlichen,
  • Vernichtungsprotokolle beauftragter Dienstleister usw.,

ist deshalb erforderlich.

Bildung von Löschklassen

Die DIN 66398 [6] enthält eine Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten. Als Vorbedingung für die Bildung von Löschklassen muss der Datenbestand zunächst in Datenarten aufgeteilt werden, für die Löschregeln (mit Löschfristen) festgelegt werden sollen. Die Löschfristen können für die Datenarten nur abgeleitet werden, wenn zuvor sogenannte Löschklassen gebildet werden.

Zur Umsetzung eines praktikablen Löschkonzeptes werden entsprechend der DIN 66398 vereinfachende Löschklassen gebildet, welche die vielfältigen gesetzlichen Löschfristen praktikabel zusammenfassen.

Fazit

Die Erfassung der gesetzlichen Löschfristen und der technischen Löschfunktionen, die Überwachung der Fristen, um sie nicht zu versäumen - man denke nur an die regelmäßige Durchforstung der Personalakten - die Beweissicherung der Löschvorgänge, all das verursacht einen erheblichen bürokratischen Aufwand, weswegen sich viele Unternehmen beim Löschkonzept wegducken und auf Lücke setzen. Das ist bei kluger Organisation und unterstützendem Einsatz einer einfachen Software-Lösung, die z.B. die Prozesse und Fristen in Löschklassen erfasst und an den Fristablauf automatisiert erinnert, ein überflüssiges und lösbares Risiko.


Quellen & Anmerkungen:


Der Autor:

Rechtsanwalt Horst Speichert, seit Jahrzehnten spezialisiert auf IT-Recht, Datenschutz; Fachbuchautor und Lehrbeauftragter für Informationsrecht, Seniorpartner der Kanzlei esb Rechtsanwälte, Mitgeschäftsführer der esb data gmbh. Ein Unternehmen, das die sog „LöschApp, ein die DSGVO-Konformität erleichterndes Tool, das die in der jeweiligen Organisation eingesetzte Software nach verarbeiteten Datenarten klassifiziert und mehrstufige Fristen für Löschtermine hinterlegt, entwickelt hat.

speichert@wissensmanagement.net

Diese Artikel könnten Sie auch interessieren

Serendipity: Wie aus Zufällen Glücksfälle werden

WISSENplus
Gar nicht so selten ist bei Innovationen der Zauber der Serendipität mit im Spiel, die Neugierde und einen offenen Blick für Möglichkeiten schließlich belohnt. Zu dieser Innovationskategorie zählen nicht nur Cornflakes, Schneekugeln, Herzschrittmacher, die Mikrowelle und Penicillin, sondern auch die berühmte blaue Pille. Doch muss man warten, bis König Zufall einen beglückt? Oder kann Serendip...

Weiterlesen

6 Fragen, die sich Unternehmen zum GenAI-Einsatz stellen sollten

Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten. Oft nutzen die Mitarbeiter sogar schon einige Tools - was ebenso wie eine überhastete Einführung mit Risiken insbesondere für Datenschutz und Datensicherheit verbunden ist. Um diese Risiken zu vermeiden, ...

Weiterlesen

So wirkt Generative KI in der Fertigung!

Neben den vielen Anwendungsbereichen von GenAI untersuchte die Studie "Von der Fertigungshalle ins KI-Zeitalter: Haben Sie einen Masterplan oder Nachholbedarf?" auch die Herausforderungen, denen sich das produzierende Gewerbe gegenübersieht. Im Fokus standen in erster Linie Hürden im Bereich Personal, Infrastruktur und ethischer Rahmenbedingungen. ...

Weiterlesen

Digitalisierung im Mittelstand - der Status quo

Im Alltag haben wir es überwiegend mit Bildschirmen und Maschinen zu tun. Der persönliche Kontakt oder die Interaktion mit Menschen sinkt Schritt für Schritt. Sei es beim Self-Checkout an der Kasse, bei der Gepäckaufgabe am Flughafen oder der Bezahlung des Taxis. Doch was für viele im privaten Umfeld selbstverständlich geworden ist, gilt nicht zwingend im Business-Kontext. Vor allem nicht bei kleinen...

Weiterlesen

Digitale Zwillinge: Effizient, nachhaltig, ESG-konform

WISSENplus
Zu den Kernthemen fast aller Unternehmen gehört derzeit die Nachhaltigkeit - gerade im Hinblick auf die erforderliche Umsetzung von ESG-Programmen. Ein effizientes Hilfsmittel sind dabei Digitale Zwillinge. Sie können die Etablierung nachhaltiger Prozesse unterstützen und damit den ökologischen Fußabdruck eines Unternehmens entscheidend verringern....

Weiterlesen

Agent oder Agentic: KI-Agenten etablieren sich

Der Hype rund um Agentic AI ist riesig – und berechtigt. Denn wir haben es mit nicht weniger als einer neuen Qualität Künstlicher Intelligenz zu tun. Mit Agentic AI verliert KI zunehmend ihren Werkzeugcharakter und entwickelt sich vielmehr zu einem eigenständig agierenden System. Wie weit Agentic AI bereits praktisch gediehen ist, zeigen ihre verschiedenen Ausprägungen und Varianten. Eines der wichti...

Weiterlesen

Wissenstransfer in der öffentlichen Verwaltung

WISSENplus
Weiterhin steigt in vielen Behörden die Zahl der Beschäftigten, die in Ruhestand gehen. Viele nehmen wichtiges Erfahrungswissen zu Spezialgebieten mit. Zusätzlich nimmt aber auch der Anteil derer zu, die lange vor dem Ruhestand den Job wechseln, in Elternzeit gehen etc. Immer häufiger müssen daher neue Beschäftigte eingearbeitet und auch Quereinsteigern erstmal Grundlagen vermittelt werden. Ein strukt...

Weiterlesen

7 Best Practices gegen GenAI-Wildwuchs im Unternehmen

Generative KI nimmt Mitarbeitern viele zeitraubende Tätigkeiten ab und macht sie effizienter. Kein Wunder, dass sie die praktischen Helfer im Arbeitsalltag nutzen wollen und oft loslegen, ohne auf offiziell vom Unternehmen eingeführte Tools zu warten. Dadurch entstehen allerdings erhebliche Risiken: Es drohen nicht nur Datenschutzverletzungen und der Abfluss sensibler Firmendaten, sondern auch unfai...

Weiterlesen