Löschkonzept richtig erstellen: Anforderungen, Umsetzung, Risiken

Was ist ein Löschkonzept nach DSGVO?

Ein Löschkonzept nach der DSGVO ist ein unternehmensinternes Regelwerk, das systematisch festlegt, wie personenbezogene Daten gelöscht werden, sobald deren Verarbeitung nicht mehr erforderlich oder zulässig ist. Es dient der praktischen Umsetzung der datenschutzrechtlichen Löschpflichten gemäß Art. 17 DSGVO und dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO.

Zweck und rechtliche Grundlage:

• Art. 17 DSGVO verpflichtet zur Löschung personenbezogener Daten, wenn der Zweck der Verarbeitung entfällt oder andere Löschgründe wie z.B. der Widerruf einer Einwilligung vorliegen.  
• Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) fordert, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.  
• Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) verlangt, dass Verantwortliche die Einhaltung der DSGVO nachweisen können, wozu auch ein dokumentiertes Löschkonzept beiträgt.

Wie erstellt man ein Löschkonzept?

Ein praxisgerechtes Löschkonzept nach DSGVO besteht aus mehreren strukturierten Komponenten, die systematisch aufeinander aufbauen. Die DIN 66398 dient unter anderem als etablierte Leitlinie für die Entwicklung solcher Konzepte.

1. Dateninventur und Kategorisierung

Zunächst erfolgt eine vollständige Erfassung aller personenbezogenen Daten im Unternehmen. Diese werden in Datenarten (z. B. Kundendaten, Mitarbeiterdaten) unterteilt und zu Löschklassen zusammengefasst, die gemeinsame Löschregeln und Fristen teilen.

2. Festlegung von Löschfristen und Startzeitpunkten

Für jede Löschklasse werden spezifische Löschfristen definiert, basierend auf gesetzlichen Aufbewahrungspflichten (z. B. HGB, AO) oder internen Richtlinien. Der Startzeitpunkt der Frist (z. B. Vertragsende, letzter Kontakt) wird klar bestimmt.

3. Definition von Löschregeln und Umsetzungsmaßnahmen

Es werden konkrete Löschregeln für jede Löschklasse festgelegt, einschließlich der Methoden zur sicheren Datenlöschung (z. B. Überschreiben, Schreddern, Anonymisierung) und der Berücksichtigung verschiedener Datenträger (digital und physisch). Die Verantwortlichkeiten für die Implementierung und Überwachung des Löschkonzepts werden klar zugewiesen.

4. Integration in das Datenschutzmanagement

Das Löschkonzept wird in das bestehende Datenschutzmanagementsystem integriert, insbesondere in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Dies gewährleistet eine konsistente Anwendung und erleichtert die Nachweisführung gegenüber Aufsichtsbehörden.

5. Dokumentation und Nachweisführung

Alle Löschvorgänge werden dokumentiert, einschließlich Zeitpunkt, Art der Löschung und verantwortlicher Person. Diese Protokolle dienen der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO und ermöglichen eine transparente Nachverfolgung.

6. Regelmäßige Überprüfung und Aktualisierung

Das Löschkonzept wird regelmäßig überprüft und bei Bedarf aktualisiert, um Veränderungen in gesetzlichen Anforderungen oder internen Prozessen Rechnung zu tragen. Dies stellt sicher, dass das Konzept stets aktuell und wirksam bleibt.

Was ist die DIN 66398?

Die DIN 66398 ist eine deutsche Norm mit dem Titel „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“. Sie wurde 2016 veröffentlicht und bietet Organisationen eine strukturierte Vorgehensweise zur Erstellung eines Löschkonzepts, das den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht.

Kernbestandteile der DIN 66398

1. Datenarten: Definition von Gruppen von Datenobjekten, die zu einem einheitlichen Zweck verarbeitet werden.
2. Löschklassen: Zusammenfassung von Datenarten mit identischen Löschfristen und Startzeitpunkten.
3. Löschregeln: Festlegung von Regeln für jede Löschklasse, die die Löschfrist und den Startzeitpunkt definieren.  
4. Umsetzungsvorgaben: Konkrete Anweisungen zur technischen und organisatorischen Umsetzung der Löschregeln.  
5. Verantwortlichkeiten: Bestimmung der Zuständigkeiten für die Erstellung, Pflege und Umsetzung des Löschkonzepts.
6. Dokumentation: Empfehlung einer Struktur zur Dokumentation des Löschkonzepts und der durchgeführten Löschvorgänge.

Beispiel eines Eintrags nach DIN 66398

• Datenart: Bewerbungsunterlagen abgelehnter Kandidaten (wenn keine dokumentierte Einwilligung in die Aufnahme in den Bewerberpool vorliegt)
• Löschklasse: LK-06M-EV (Löschfrist: max. 6 Monate, Startzeitpunkt: Ablehnung des Bewerbers bzw. Ende des Auswahlverfahrens)
• Löschregel: Löschung erfolgt max. 6 Monate nach Ablehnung des Bewerbers.
• Umsetzungsvorgabe: Automatisierte Löschung der digitalen Bewerbungsunterlagen im HR-System; physische Unterlagen werden durch die Personalabteilung vernichtet.
• Verantwortlichkeit: Personalabteilung (HR)
• Dokumentation: Löschvorgänge werden im Löschprotokoll des HR-Systems erfasst und jährlich überprüft.

Wann müssen personenbezogene Daten gelöscht werden?

Eine Löschung der personenbezogenen Daten der betroffenen Personen hat zu erfolgen, sofern

• die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a DSGVO),
• die Einwilligung in die Datenverarbeitung widerrufen wurde und es an einer anderen Rechtsgrundlage zur Verarbeitung fehlt (Art. 17 Abs. 1 lit. b DSGVO),
• die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat (Art. 17 Abs. 1 lit. c DSGVO),
• die Verarbeitung unrechtmäßig war (Art. 17 Abs. 1 lit. d DSGVO),
• die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach Unionsrecht oder Recht des Mitgliedstaats erforderlich ist (Art. 17 Abs. 1 lit. e DSGVO), oder
• die personenbezogenen Daten in Bezug auf angebotene Dienste einer Informationsgesellschaft gem. Art. 8 Abs. 1 DSGVO erhoben wurden (Art. 17 Abs. 1 lit. f DSGVO).

Beispiel:

Ein Kunde erteilt einem Unternehmen die Einwilligung, seine E-Mail-Adresse zum Versenden von Newslettern zu nutzen. Er hat allerdings jederzeit das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen.

Im Falle eines Widerrufs entfällt die Rechtsgrundlage für die Verarbeitung und Speicherung der personenbezogenen Daten (Art. 17 Abs. 1 lit. b DSGVO). Das Unternehmen wäre dann verpflichtet, die E-Mail-Adresse zu löschen. Entsprechendes gilt, wenn von vornherein keine Einwilligung zum Newsletterversand vorlag (Art. 17 Abs. 1 lit. d DSGVO).

Ausnahmen nach Art. 17 Abs. 3 DSGVO

Gemäß Art. 17 Abs. 3 DSGVO bestehen Ausnahmen vom Recht auf Löschung personenbezogener Daten. Diese Ausnahmen gelten, wenn die Verarbeitung aus bestimmten Gründen weiterhin erforderlich ist. Die DSGVO nennt folgende Ausnahmen:

• Ausübung des Rechts auf freie Meinungsäußerung und Information
• Erfüllung einer rechtlichen Verpflichtung oder Wahrnehmung einer Aufgabe im öffentlichen Interesse
• Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Aufbewahrungspflichten

Auch gesetzliche Aufbewahrungsfristen außerhalb der DSGVO können einer Löschung entgegenstehen. Hier eine kleine Übersicht ausgewählter Aufbewahrungsfristen:

Was gilt als Löschen?

Der Begriff des Löschens ist in der DSGVO nicht legaldefiniert. Löschen ist in Art. 4 Nr. 2 DSGVO lediglich als eine Form der Datenverarbeitung erwähnt. Es ist abzuleiten, dass „Löschen“ das vollständige und irreversible Entfernen personenbezogener Daten bedeutet, sodass deren Wiederherstellung mit vertretbarem Aufwand nicht mehr möglich ist. Dies umfasst sowohl digitale als auch physische Daten.

Technische Umsetzung

• Digitale Daten: Die Löschung erfolgt durch sichere Methoden wie das Überschreiben der Daten mit Zufallswerten oder die physikalische Zerstörung der Speichermedien.  
• Physische Daten: Papierakten müssen mittels Aktenvernichter beseitigt werden, wobei sich Schutzklasse und Sicherheitsstufe nach der Datenträgervernichtungsnorm DIN 66399 richten.

Anonymisierung als Alternative

Anstelle der Löschung kann eine Anonymisierung erfolgen, bei der der Personenbezug der Daten dauerhaft entfernt wird. Dies ist jedoch nur zulässig, wenn die Anonymisierung vollständig und irreversibel ist. Dies ist in der Praxis oftmals schwer umsetzbar.

Sperrung als Zwischenlösung

In Fällen, in denen eine sofortige Löschung nicht möglich ist (z. B. aufgrund gesetzlicher Aufbewahrungspflichten), müssen die Daten gesperrt werden. Dies bedeutet, dass die Daten für die weitere Verarbeitung gesperrt und nur noch für den vorgesehenen Zweck zugänglich sind.

Welche Sanktionen drohen bei Nichteinhaltung des Rechts auf Löschung?

Das Fehlen eines Löschkonzepts und die daraus resultierende unterlassene oder verspätete Löschung personenbezogener Daten stellen Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) dar. Dies kann erhebliche Sanktionen nach sich ziehen. Art. 83 Abs. 5 lit. a DSGVO sieht bei Verstößen gegen die Grundsätze der Verarbeitung personenbezogener Daten Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

Praxisbeispiele für Sanktionen

• Hamburg, 2024: Ein Unternehmen aus dem Forderungsmanagement speicherte personenbezogene Daten trotz abgelaufener Löschfristen bis zu fünf Jahre lang. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte ein Bußgeld von 900.000 Euro.
• Berlin, 2019: Gegen die Deutsche Wohnen SE wurde ein Bußgeld von 14,5 Millionen Euro verhängt, da das eingesetzte Archivsystem technisch nicht in der Lage war, nicht mehr erforderliche Daten zu löschen. Die Daten wurden ohne Prüfung der Zulässigkeit gespeichert.

Was muss bei Auftragsverarbeitung im Löschkonzept berücksichtigt werden?

Gemäß Art. 4 Nr. 7 DSGVO ist der Verantwortliche verpflichtet, sicherzustellen, dass personenbezogene Daten rechtzeitig gelöscht werden. Diese Pflicht erstreckt sich auch auf Daten, die durch Auftragsverarbeiter verarbeitet werden. Das bedeutet, dass der Verantwortliche dafür sorgen muss, dass auch bei Dienstleistern eine fristgerechte Löschung erfolgt.

Nach Art. 28 Abs. 3 Satz 2 lit. g DSGVO ist der Auftragsverarbeiter verpflichtet, nach Abschluss der Verarbeitungsleistungen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht. Diese Verpflichtung sollte im Auftragsverarbeitungsvertrag klar geregelt sein.

Verstößt der Auftragsverarbeiter gegen die Löschpflichten, kann der Verantwortliche grundsätzlich gemäß Art. 82 Abs. 1 DSGVO haftbar gemacht werden. Daher ist es im Interesse des Verantwortlichen, sicherzustellen, dass der Auftragsverarbeiter die Löschpflichten ordnungsgemäß erfüllt.

So unterstützen wir Sie bei Ihrem Löschkonzept

Ein durchdachtes Löschkonzept ist unerlässlich für die DSGVO-konforme Datenverarbeitung. Als spezialisierte Datenschutzberatung unterstützen wir Sie praxisnah und rechtssicher bei der Konzeption, Umsetzung und Kontrolle.

Unsere Leistungen im Überblick:

• Analyse und Kategorisierung aller relevanten personenbezogenen Daten
• Entwicklung individueller Löschregeln gemäß DIN 66398
• Ableitung und Dokumentation gesetzlicher Aufbewahrungs- und Löschfristen
• Erstellung eines unternehmensspezifischen Löschkonzepts inklusive Löschklassen
• Unterstützung bei der Einbindung in das Datenschutzmanagementsystem (z. B. VVT, TOMs)
• Überprüfung und Optimierung bestehender Prozesse zur Datenlöschung
• Entwicklung technischer und organisatorischer Löschmaßnahmen
• Beratung zur Löschung in Backup- und Archivsystemen
• Vertragsprüfung und Kontrolle bei Auftragsverarbeitern (Art. 28 DSGVO)
• Schulung und Sensibilisierung der Mitarbeitenden
• Regelmäßige Reviews und Aktualisierung des Löschkonzepts
• Begleitung bei behördlichen Prüfungen und Auskunftsverlangen

Wir begleiten Sie von der Risikoanalyse bis zur erfolgreichen Umsetzung – rechtssicher, transparent und praxisorientiert.