2025/2 | Praxis Wissensmanagement | IT-Sicherheit / Datenschutz
Umsetzung eines Löschkonzeptes nach der DSGVO
Spricht man das Thema Löschkonzept an, verursacht das bei den Beteiligten nicht selten reflexartige Bauchschmerzen. Jeder weiß, es gibt zahlreiche Löschpflichten nach der DSGVO und anderen Gesetzen, die aber überwiegend nicht beachtet werden, sondern als große Lücke im Raum schweben. Wer gewillt ist, die Lücke zu schließen, stößt nicht selten auf einen bürokratischen Aufwand, der das Bemühen schnell versanden lässt. Das muss nicht sein, denn schon einfache Software-Lösungen können bei der Umsetzung eines Löschkonzeptes effizient und nachhaltig unterstützen.
(C) gustavofer74 / Pixabay
Ausgangspunkt - gesetzliche Löschpflichten
Neben den bekannten sechsjährigen Aufbewahrungspflichten für Handelsbriefe oder zehnjährigen Aufbewahrungspflichten für steuerrelevante Unterlagen existieren zahlreiche gesetzliche Aufbewahrungsfristen z.B. im Personalbereich für Beitragsabrechnungen an die Sozialversicherungsträger [1], Arbeitsunfähigkeits (AU)-Bescheinigungen [2], Arbeitszeitnachweise [3] oder Bewerbungsunterlagen [4], um nur einige Beispiele zu nennen.
Hinzukommen mögliche vertragliche Aufbewahrungs- und Löschfristen aus Vertragsbeziehungen mit Geschäftspartnern wie z.B. Personal- oder Marketingdienstleistern.
Beispiel Bewerbungsunterlagen
Nach Abschluss des Bewerbungsverfahrens müssen die Bewerbungsdaten unter Beachtung der gesetzlichen Vorgaben wieder gelöscht werden. Allerdings besteht die Löschungspflicht nicht sofort, sondern erst nach Ablauf von Aufbewahrungsfristen, die sich etwa aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) ergeben.
Die Unterlagen aus dem Bewerbungsverfahren müssen für einen Zeitraum von bis zu sechs Monaten nach der ablehnenden Entscheidung aufbewahrt werden, um sich gegen etwaige Ansprüche des Bewerbers nach dem AGG verteidigen zu können. Dies entspricht der allgemeinen Meinung, die auch von den Datenschutzbehörden geteilt wird, z.B. in einer entsprechenden Veröffentlichung des Bundesbeauftragten für den Datenschutz. [5] Anschließend sind die Unterlagen dann fristgemäß zu löschen.
Dokumentation der Löschfristen
Unternehmen sind nach Art. 30 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) verpflichtet. Es ist gemäß Art. 30 Abs. 1 lit.f DSGVO für jedes Verfahren mit personenbezogenen Daten auch eine Löschfrist festzulegen. Für die Definition und Dokumentation von Löschfristen im Löschkonzept - es empfiehlt sich eine Auflistung der zahlreichen Fristen in einer gesonderten Anlage - kann deshalb ergänzend auch auf das bestehende VVT verwiesen werden.
Such- und Löschfunktionen
Im Falle von Auskunfts- bzw. Löschungsersuchen durch Betroffene (abgelehnte Bewerber, Arbeitnehmer usw.) muss ein Unternehmen die Möglichkeit haben, die personenbezogenen Daten einer bestimmten Person z.B. in den Personalakten, HR- und IT-Systemen aufzufinden, Auskunft zu erteilen und gegebenenfalls beweissicher zu löschen. Entsprechend müssen die wichtigsten Such- und Löschroutinen der IT-Systeme bekannt und einsatzbereit sein. Daher empfiehlt sich eine Erfassung und Auflistung der Suchfunktionalitäten der IT-Systeme (z.B. MS-Office, E-Mail usw.), des Einsatzes spezieller Löschsoftware und der Möglichkeiten der revisionssicheren Akten- und Datenträgervernichtung in einer speziellen Anlage zum Löschkonzept.
Löschungsnachweis
Die Beweislast für den Nachweis der erfolgten Löschung trägt das Unternehmen. Die detaillierte Dokumentation der Nachweismöglichkeiten sowie der erfolgten Löschvorgänge, z.B. durch
- Löschprotokolle (Logfiles),
- Screenshots,
- manuelle Bestätigungen der ausführenden IT-Verantwortlichen,
- Vernichtungsprotokolle beauftragter Dienstleister usw.,
ist deshalb erforderlich.
Bildung von Löschklassen
Die DIN 66398 [6] enthält eine Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten. Als Vorbedingung für die Bildung von Löschklassen muss der Datenbestand zunächst in Datenarten aufgeteilt werden, für die Löschregeln (mit Löschfristen) festgelegt werden sollen. Die Löschfristen können für die Datenarten nur abgeleitet werden, wenn zuvor sogenannte Löschklassen gebildet werden.
Zur Umsetzung eines praktikablen Löschkonzeptes werden entsprechend der DIN 66398 vereinfachende Löschklassen gebildet, welche die vielfältigen gesetzlichen Löschfristen praktikabel zusammenfassen.
Fazit
Die Erfassung der gesetzlichen Löschfristen und der technischen Löschfunktionen, die Überwachung der Fristen, um sie nicht zu versäumen - man denke nur an die regelmäßige Durchforstung der Personalakten - die Beweissicherung der Löschvorgänge, all das verursacht einen erheblichen bürokratischen Aufwand, weswegen sich viele Unternehmen beim Löschkonzept wegducken und auf Lücke setzen. Das ist bei kluger Organisation und unterstützendem Einsatz einer einfachen Software-Lösung, die z.B. die Prozesse und Fristen in Löschklassen erfasst und an den Fristablauf automatisiert erinnert, ein überflüssiges und lösbares Risiko.
Quellen & Anmerkungen:
- [1] nach § 165 SGB VII (Sozialgesetzbuch VII)
- [2] nach § 6 Abs. 1 AAG (Gesetz über den Ausgleich der Arbeitgeberaufwendungen für Entgeltfortzahlung)
- [3] nach § 16 Abs. 2 ArbZG (Arbeitszeitgesetz)
- [4] drei bis sechs Monate nach § 15 Abs. 4 AGG (Allgemeines Gleichbehandlungsgesetz), § 61 b ArbGG (Arbeitsgerichtsgesetz)
- [5] www.bfdi.bund.de/DE/Buerger/Basiswissen/Beschaeftigte/Beschaeftigte_node.html
- [6] https://www.din.de/de/mitwirken/normenausschuesse/nia/veroeffentlichungen/wdc-beuth:din21:249218525/toc-2415507/download
Der Autor:
Rechtsanwalt Horst Speichert, seit Jahrzehnten spezialisiert auf IT-Recht, Datenschutz; Fachbuchautor und Lehrbeauftragter für Informationsrecht, Seniorpartner der Kanzlei esb Rechtsanwälte, Mitgeschäftsführer der esb data gmbh. Ein Unternehmen, das die sog „LöschApp, ein die DSGVO-Konformität erleichterndes Tool, das die in der jeweiligen Organisation eingesetzte Software nach verarbeiteten Datenarten klassifiziert und mehrstufige Fristen für Löschtermine hinterlegt, entwickelt hat.
speichert@wissensmanagement.net