Löschkonzept: DSGVO-Verpflichtung und DIN 66398 - Framework
Personenbezogene Daten müssen nach bestimmten Zeiträumen oder Zwecken gelöscht werden, um die Privatsphäre zu schützen. Ein Löschkonzept ist nach der DSGVO erforderlich, damit Daten nicht unnötig lange aufbewahrt werden und um den gesetzlichen Anforderungen zu entsprechen. Im Datenschutzmanagement gehört ein systematisch und nachhaltig konzipiertes Löschkonzept zu den Fundamenten einer validen Datenschutz-Architektur. Unternehmen, Verbände und Behörden müssen personenbezogene Daten ordnungsgemäß verwalten und die Regelungen der DSGVO einhalten. Die Datenschutzmanagement-Lösung der Jordan & Wagner Rechtsanwaltsgesellschaft mbH beinhaltet ein Lösch-App. Mit den App-Einstellungsmöglichkeiten deckt das Softwaresystem die spezifischen Anforderungen der jeweiligen Unternehmens, Verbands oder behördlichen Körperschaft ab. Damit wird sichergestellt, dass die effektiv und rechtskonform aufbewahrt und gelöscht werden. Das Löschkonzept ist Teil der A-Z-Systemstruktur des Datenschutz- und IT-Sicherheitskonzepts der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, die im Datenschutzmanagement umzusetzen ist. Insofern bestehen auch Dokumentations- und Rechenschaftspflichten.
Welches sind die elementare Grundlagen der IT- und Datenschutz-Compliance beim Löschen?
- Datensparsamkeit: Nur die notwendigen Daten für den jeweiligen Zweck sammeln und speichern.
- Speicherbegrenzung: Daten dürfen nicht länger als erforderlich aufbewahrt werden.
- Zweckbindung: Daten dürfen nur für den angegebenen Zweck verarbeitet werden.
Welches sind die einzelnen Schritte im Löschkonzept?
- Systematisierung und Dateninventar: Identifikation und Kategorisierung aller gespeicherten personenbezogenen Daten
- Festlegung von Aufbewahrungsfristen: Bestimmung der Zeiträume, für die Daten aufbewahrt werden müssen
- Identifizierung von Löschklassen
- Einordnung von Datenarten in die Löschklassen -> Identifizierung und Festlegung von Löschregeln
- Automatisierung: Einrichtung automatisierter Prozesse zur Löschung von Daten nach Ablauf der Aufbewahrungsfristen oder wenn der Zweck erfüllt ist
Gibt es Frameworks? Welche Struktur besteht nach DIN ISO 66398?
Wie erfolgt die Umsetzung des Löschkonzepts?
- Konzeptionell wird das A-Z-Strukturmodell der Jordan & Wagner Rechtsanwaltsgesellschaft mbH zugrunde gelegt. Dieses basiert auf einem GRC-Methodenansatz (Governance, Risk und Compliance) und in Anlehnung an Frameworks und Leitbilder wie BSI-Grundschutz, ISO 27001, ISO 27701, angepasst für kleine und mittele Unternehmen (KMU), Verbände, Behörden und Bildungseinrichtungen.
- Als Technische Lösung wird eine SaaS-/cloudbasierten zertifizierte Lösch-App eines Kooperationspartners aus Deutschland verwendet. Bei der Erfassung der Daten werden diese der unterschiedlichen Software zugeordnet; genauso werden Softwareverantwortliche festgelegt, die für die fristgerechte Löschung der Daten zuständig sind
- Die Dokumentation zur Protokollierung der durchgeführten Löschvorgänge zur Nachvollziehbarkeit erfolgt ebenfalls in der Lösch-App.
Bestehen in der Praxis bei Löschpflichten Ausnahmen?
- Vertragsbezogene Aufbewahrung: Daten, die für Verträge oder rechtliche Ansprüche relevant sind, können längere Aufbewahrungsfristen erfordern.
- Rechtliche Anforderungen: Bestimmte Daten müssen im Einzelfall aufgrund von Rechtsvorschriften länger aufbewahrt werden.
Bestehen Dokumentations- und Rechenschaftspflichten für das Löschkonzept?
Der Verantwortliche im Sinne der DSGVO muss darlegen und beweisen können, dass und wie er eine Löschung bzw. Datenträgervernichtung vollzogen hat. Der Löschungsnachweis erfolgt nach Art. 5 II DSGVO und hat Auswirkungen auf die rechtliche Beweislast. Es ist demnach unerlässlich, ein Löschkonzept zu etablieren und nach dem PDCA-Zyklus (angelehnt an ISO 37301) auch die Wirksamkeitskontrolle desselben regelmäßig vorzunehmen.
Nehmen Sie gerne Kontakt zu uns auf und erfragen Sie unverbindlich ein maßgeschneidertes Angebot.
Ihre Ansprechpartner:
Dr. Thomas A. Degen
Peter Wagner
Dr. Arnd-Christian Kulow
Tilo Schindele
Marzia Carla Iosini LL.M.
Mathias Lang LL.M.