Das Löschkonzept im Datenschutz: Ein Leitfaden für Organisationen

In der Welt des Datenschutzes ist das Löschkonzept ein integraler Bestandteil des Datenschutz-Managementsystems. Seine Existenz versetzt Organisationen erst in die Lage, die rechtlichen Anforderungen des Datenschutzes vollständig zu erfüllen und somit die Grundrechte der betroffenen Personen zu schützen.

Da keine Verarbeitung von personenbezogenen Daten ohne den abschließenden Schritt des Löschens vollständig ist, muss der Prozess des Löschens auch schon bei der Planung einer Verarbeitung mitgedacht werden. Dabei ist zwischen dem anlassbezogenen und dem systematischen Löschen zu unterscheiden und beides zu ermöglichen.

Anlassbezogene Löschungen erfolgen in der Regel dort, wo Betroffene ihre Rechte wahrnehmen. Das beinhaltet auch die (zeitweilige) Sperrung von Daten. Das systematische Löschen dient der regelmäßigen Löschung von personenbezogenen Daten für deren Verarbeitung jeglicher Zweck entfallen ist, sodass eine Löschung zwingend geboten ist. 

Gemäß den Grundsätzen der DSGVO unterliegen alle personenbezogenen Daten bestimmten Prinzipien wie Zweckbindung, Rechtmäßigkeit, Datenminimierung und Speicherbegrenzung. Das heißt, dass Daten nicht entgegen diesen Prinzipien verarbeitet werden dürfen und somit zu löschen sind. Daraus resultiert zum einen das unverzügliche Löschen von Einzelinformationen auf Verlangen und zum anderen das regelmäßige Löschen am Ende der Zweckbindung.

Besonders deutlich wird diese Löschpflicht im Art. 17 DSGVO als Recht auf Vergessenwerden formuliert. Danach können Betroffene die Löschung ihrer personenbezogenen Daten verlangen, wenn diese Daten etwa unrechtmäßig verarbeitet wurden oder für die Zweckerfüllung nicht mehr notwendig sind. Ausnahmen ergeben sich lediglich durch gesetzliche Aufbewahrungspflichten, wenn die Daten für wissenschaftliche und historische Zwecke im öffentlichen Interesse benötigt werden, begründete berechtigte Interessen des Verantwortlichen der Löschung entgegenstehen sowie im Falle der sogenannten Legal Hold Fälle. Bei diesen Fällen werden Daten im Rahmen eines Rechtsstreits zu Beweiszwecken von Verantwortlichen oder auf Wunsch von Betroffenen zumindest bis zum Abschluss des Verfahrens gesichert aufbewahrt. Außerdem können Betroffene die Einschränkung der Verarbeitung ihrer personenbezogenen Daten (Sperrung) fordern (Art. 18 DSGVO).

Bitte beachten Sie: Haben Sie als Verantwortliche:r personenbezogene Daten öffentlich gemacht oder beispielsweise an Auftragsverarbeiter weitergegeben, müssen Sie angemessene Maßnahmen treffen, um auch weitere Verantwortliche, die die personenbezogenen Daten verarbeiten, über die Pflicht zur Löschung der Daten der Betroffenen zu informieren.

Daraus wiederum ergibt sich gemäß Art. 25 DSGVO die Anforderung, dass nicht nur Ihre Systeme, Programme und Datenbanken bzw. Prozesse etc. so konzipiert sein müssen bzw. bei Neuanschaffung ausgewählt werden müssen, dass eine Löschung oder Sperrung, Archivierung etc. technisch und organisatorisch (Privacy by Design und Privacy by Default) möglich ist. Dazu gehört in einem Datenschutz-Managementsystem neben dem Regelungsdokument auch immer der Nachweis der Umsetzung der Anforderungen. Die Erfüllung der Anforderungen gemäß Art. 25 DSGVO kann, wie zum Beispiel bei der Umsetzung der „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form“ (GOBD) eine besondere Herausforderung darstellen. 

Als Regelungsdokument gehört das Löschkonzept zu den technisch-organisatorischen Maßnahmen und legt die Rahmenbedingungen fest, unter denen personenbezogene Daten gelöscht, gesperrt oder aufbewahrt werden müssen. Das beinhaltet auch als Alternative zur Löschung die vollständige unumkehrbare Anonymisierung von Daten, z. B. für statistische Zwecke (Absatz-/Umsatzzahlen).

Es beschreibt anfangs den rechtlichen Hintergrund und die Ziele, definiert den Geltungsbereich und liefert die entsprechenden Definitionen. Es führt im besten Falle auch alle für die Organisation in diesem Zusammenhang relevanten Gesetze und Verordnungen auf. Es legt Verantwortlichkeiten fest, beschreibt die Vorgehensweise/Methodik und die Grundsätze zur Festlegung der Aufbewahrungsfristen. Es legt unter Verwendung der Verarbeitungsinformationen aus dem verpflichtend zu führenden VVT (Verzeichnis von Verarbeitungstätigkeiten) die Datenkategorien und Datenarten sowie die abstrakten Startzeitpunkte des Löschprozesses fest und beschreibt ergänzend die notwendigen Regelprozesse.

Ein gutes Löschkonzept geht auch auf die Themen Einschränkung der Verarbeitung, Umgang mit Testdaten, Backups, Archivdaten und Alt-Systemen sowie den Umgang mit unstrukturierten Daten etc. ein und beachtet auch die Auswirkungen auf andere Datenschutz-Prozesse und Pflichten.

Ein umfassendes Löschkonzept bietet Organisationen zahlreiche Vorteile und ermöglicht es Organisationen, ihren datenschutzrechtlichen Verpflichtungen nachzukommen. Anfragen können viel effizienter bearbeitet und erforderliche Maßnahmen schneller ergriffen werden. Gleichzeitig reduziert es maßgeblich das Risiko für Missbrauch, falsche Nutzung oder eine versehentliche Veröffentlichung. Denn: Je weniger Daten, desto geringer das Risiko. Außerdem können Kosten eingespart und die Performance von Systemen durch die Freigabe von Speicherplatz optimiert werden. Und natürlich werden auch Betroffene und ihre Privatsphäre deutlich besser nach klaren und praktikablen Regelungen geschützt. 

Schon aus dieser kurzen Auflistung ergibt sich, dass ein Löschkonzept nicht im stillen Kämmerchen entworfen werden kann, sondern nur das Ergebnis einer koordinierten Zusammenarbeit von Spezialist:innen und Verantwortlichen sein kann. Von daher steht am Anfang des Prozesses die Bildung eines verantwortlichen Teams.

Dafür sollten Sie nicht nur Ihre:n Datenschutzbeauftragte:n und die für die Verarbeitung der Daten Verantwortlichen in den Fachabteilungen ins Boot holen. Notwendig ist auch die Beteiligung der IT-Verantwortlichen und Rechtsexpert:innen oder Compliance Officers in Ihrer Organisation – zumal sich auf diese Weise auch Synergien nutzen lassen. So ist es z. B. durchaus denkbar, dass die/der Compliance Officer bereits ein Rechtskataster mit den für die Organisation relevanten Gesetzen erstellt hat. Doch das beste Team nützt nichts, wenn die Organisationsleitung nicht zugleich auch die entsprechenden Ressourcen für das Projekt freigibt und mit klaren zeitlichen Vorgaben und Zuweisung von Zuständigkeiten das Ziel und den Weg dahin verbindlich macht. 

Insgesamt erfordert ein Löschkonzept eine ganzheitliche und zugleich detaillierte Sicht auf alle Ihre Verarbeitungen (insbesondere der jeweiligen Zwecke und Rechtsgrundlagen) sowie auf alle Daten bzw. Datenstrukturen/-systeme. Wir empfehlen eine vierstufige Vorgehensweise.

Damit Sie überhaupt wissen, was wann und wie zu löschen ist, müssen Sie zuerst erheben, wo Sie welche Daten verarbeiten. Dabei ist zwischen den strukturierten und den unstrukturierten Datensystemen (Speicherorten) zu unterscheiden. Um die Orte der strukturierten Datenverarbeitung ausfindig zu machen, lohnt sich ein Blick in Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT) und Ihre Organisationsstruktur inklusive aller vorhandenen Prozesse. Je vollständiger und aktueller Ihre Dokumentation, desto einfacher ist die Erhebung. Die unstrukturierten Daten lassen sich nur durch Analyse der vorhandenen Speichermedien und Interviews mit den an der Verarbeitung beteiligten Menschen identifizieren.

Anschließend schauen Sie sich an, welche personenbezogenen Daten Ihre Organisation zu welchen Zwecken auf welcher Rechtsgrundlage verarbeitet. Ordnen Sie die Daten bestimmten Datenkategorien mit einheitlichen Verarbeitungszwecken und gleichen Aufbewahrungsfristen zu. Dafür betrachten Sie die Geschäftsprozesse bzw. die Geschäftszwecke und deren Dauer und ermitteln die geschäftsspezifischen Aufbewahrungs- bzw. Archivierungsfristen. Außerdem sollten Sie sich die Zwecke der Verarbeitung in Ihrem VVT ansehen und Bedingungen, unter denen der Zweck erfüllt ist, festlegen. Im Anschluss definieren Sie, wann die Frist beginnt und endet. Daraus ergibt sich eine Löschmatrix.

Tipp: Grundsätzlich muss für jede gefundene Datenkategorie und deren Verwendungszweck eine individuelle Aufbewahrungsfrist ermittelt werden. Gelten für die Daten innerhalb eines Vorgangs bzw. für ein Dokument aber unterschiedliche Fristen, so ist grundsätzlich die längste Frist anzuwenden und umzusetzen (Maximalprinzip).  

Eine (dokumentierte) Planung des Löschens bedeutet die Integration und Abbildung von Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorgaben ins DSMS. Wir empfehlen hier ein risikobasiertes Vorgehen. Überlegen Sie, wie Sie die größten Risiken für die Betroffenen und damit für Ihre Organisation nachhaltig mindern können. Darauf basierend legen Sie fest, was Sie auf welchem Weg wann erreicht haben wollen. Das kann z. B. bedeuten, dass Sie alle Altbestände an Daten, für die weder ein Verarbeitungszweck noch eine Rechtsgrundlage nachweisbar ist, nach Prüfung des Inhalts umgehend datenschutzkonform löschen bzw. vernichten.

Wie genau die Umsetzung aussieht, hängt stark von den eingesetzten Systemen ab. Strukturierte Daten, die beispielsweise in der Cloud oder Datenbanken liegen, lassen sich in der Regel automatisiert löschen, da Hersteller so eine Funktion für ein gesetzeskonformes System anbieten müssen. Wichtig ist, dass Sie die Umsetzung in einem systemspezifischen Löschkonzept beschreiben. Außerdem empfiehlt es sich, die Löschfunktionen vorab zu testen.

Die Löschung von unstrukturierten Daten – beispielsweise auf alten Laufwerken oder in umfassenden Aktensammlungen – ist da schon deutlich komplexer, da sie in der Regel manuell entfernt werden müssen. Hierfür müssen alle Beteiligten an Bord geholt werden. Dazu ist es zunächst wichtig, Verständnis zu vermitteln sowie die Erforderlichkeit und den Geltungsbereich klarzumachen. Stellen Sie hierfür Informationen bereit, bieten Sie Schulungen an und verfassen Sie entsprechende Arbeitsanweisungen.

Tipp: Führen Sie zunächst ein Pilotprojekt in ausgewählten Bereichen oder Systemen durch und evaluieren Sie anschließend die Methodik, die Planung und die Dokumente. Im Anschluss können Sie einen schrittweisen oder organisationsweiten Rollout durchführen. 

Nach der initialen Sammlung, Planung und Umsetzung sollten Sie auch Regelprozesse einführen, um Ihr Löschkonzept stetig zu verbessern und zu erweitern. Legen Sie dafür Prüfungsintervalle fest. Wichtig ist zudem, dass Sie neue Verarbeitungen direkt in Ihr Löschkonzept integrieren. 

Ein umfassendes Löschkonzept sollte verschiedene Dokumente enthalten, darunter:

• Übergreifendes Löschkonzept: Dieses Dokument umfasst Hintergrund, Ziele, Verantwortlichkeiten, Geltungsbereich, Vorgehensweise, Grundsätze zur Festlegung von Aufbewahrungsfristen, Definitionen und weitere relevante Informationen.
• Löschmatrix: detaillierte Übersicht über Datenkategorien, Löschfristen, Aufbewahrungsfristen und Erläuterungen
• Regelprozess: klar strukturierter Ablaufplan für das regelmäßige Durchführen von Lösch- und Sperrmaßnahmen
• Löschdokumentation: Nachweise über durchgeführte Löschvorgänge, um die Einhaltung der rechtlichen Anforderungen zu belegen

Ein durchdachtes Löschkonzept ist ein unverzichtbares Instrument des Datenschutzmanagements einer Organisation. Es hilft nicht nur dabei, gesetzliche Anforderungen zu erkennen und zu erfüllen, sondern bietet auch zahlreiche Vorteile für Ihre Organisation in Bezug auf Risikominderung, Kostenreduktion und Effizienzsteigerung.

Die Löschung erfolgt faktisch zwar erst am Ende des Verarbeitungsprozesses, muss aber von Beginn an mitgedacht werden, um wirksam umgesetzt werden zu können. Indem Sie in der Datenschutzerklärung und bei entsprechenden Anfragen den Betroffenen zeigen, dass Sie den Schutz der Persönlichkeitsrechte Ihrer Kund:innen und Mitarbeitenden ernst nehmen und auch wirksam umsetzen, können Sie zugleich das Vertrauen in Ihre Organisation stärken.