Löschkonzept

In vielen Geschäftsprozessen und IT-Anwendungen werden personenbezogene Daten verarbeitet. Diese Daten unterliegen den Rechtsvorgaben des Datenschutzes, wie der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und weiteren Gesetzen und Rechtsnormen. Diese Rechtsvorgaben fordern neben der Einhaltung der Datenschutz-Gewährleistungsziele auch eine Löschung von personenbezogenen Daten.

Die datenschutzrechtlichen Regelungen basieren auf dem Grundsatz, dass die Verarbeitung personenbezogener Daten nur zulässig ist, wenn eine Rechtsgrundlage besteht. Sobald der Verarbeitungszweck erfüllt ist, endet die Rechtsgrundlage für die Verarbeitung. Die Daten dürfen dann nicht mehr verarbeitet werden.

Um eine rechtskonforme Löschung von personenbezogenen Daten sicherzustellen, ist es wichtig, dass alle Beteiligten die Löschregeln verstehen und konsequent umsetzen. Dazu ist ein Regelwerk erforderlich, das die Löschregeln definiert und die Zuständigkeiten für die Löschung festlegt.

Die Pflicht zur Löschung von personenbezogenen Daten besteht in drei Fällen:

• • Der Verarbeitungszweck wurde erfüllt und die Daten werden nicht mehr benötigt.

• • Der Betroffene hat ein Löschbegehren gestellt.

• • Es besteht eine gesetzliche Verpflichtung zur Löschung.

Bei der Löschung von personenbezogenen Daten ist zu beachten, dass die Rechte des Betroffenen und die gesetzlichen Grundlagen beachtet werden müssen. Bei der Erstellung eines Löschkonzepts für jede Verarbeitungstätigkeit ist zu berücksichtigen, dass es Gründe geben kann, die eine Löschung verhindern oder erzwingen.

Gründe für die Löschung

Die DSGVO benennt Gründe, bei deren Vorliegen der Verantwortliche zur Löschung verpflichtet ist. Diese Gründe stehen alle in einem engen Zusammenhang mit dem Zweckbindungsgrundsatz aus der DSGVO. Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“). Aus der DSGVO ergeben sich dabei folgende Löschgründe, wobei es genügt, wenn einer der Gründe vorliegt:

1. Personenbezogene Daten sind für den Verarbeitungszweck nicht mehr notwendig.
2. Die betroffene Person hat eine frühere, erteilte Einwilligung widerrufen und es gibt keine anderweitige Rechtsgrundlage für die weitere Verarbeitung.
3. Die betroffene Person hat berechtigt aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung widersprochen.
4. Die betroffene Person hat einer Verarbeitung zum Betreiben von Direktwerbung widersprochen.
5. Personenbezogene Daten sind unrechtmäßig verarbeitet worden.
6. Es besteht eine rechtliche Verpflichtung des Verantwortlichen aus dem EU-Recht oder dem nationalen Recht, zu deren Erfüllung die Löschung der personenbezogenen Daten erforderlich ist.

 

 

 

Nach dem aktuellsten Stand der Technik muss ein Datenträger je nach Sicherheitsstufe entsprechend vernichtet werden. Generell gilt: Je höher die Informationsdichte, desto kleiner müssen die nach der Vernichtung vorhandenen Partikel sein.

Bei der Vernichtung des Papiers sind folgende Vorgaben umzusetzen:

• • Sicherheitsstufe P-3: | 320 mm² oder Streifenschnitt mit 2 mm Breite

• • Sicherheitsstufe P-4: | 160 mm² und bei Partikelschnitt maximal 6 mm breite Partikel

• • Sicherheitsstufe P-5: | 30 mm² und bei Partikelschnitt maximal 2 mm breite Partikel wobei ein Teil der Partikel größer sein darf: 

• • • Sicherheitsstufe P-3: 10% | 800 mm²

• • • Sicherheitsstufe P-4: 10% | 480 mm²

• • • Sicherheitsstufe P-5: 10% | 90 mm²

Löschprotokoll

Zur Wahrung der Authentizität und Integrität der Daten und als Nachweis für die tatsächliche Löschung ist eine Protokollierung der Löschung erforderlich. Die Zeitdauer der Protokollierung muss konfigurierbar sein. Die Protokolle sollen in einer universell auswertbaren Form (z. B. als Textdatei) zur Verfügung gestellt werden können. Dabei muss ausgeschlossen werden, dass eine nachträgliche Veränderung der Protokolle durch Administratoren möglich ist. Die Protokolldatensätze werden in einer zusätzlichen Tabelle der Datenbank abgelegt.

Die Protokollierung der Löschzugriffe soll datensatzweise erfolgen. Jeder Datensatz soll grundsätzlich die folgenden Informationen beinhalten:

• • Zeitpunkt der Aktion: TT.MM.JJJJ/ hh:mm:ss

• • Ausführender: Login (ID), Name

• • Protokollbereich: Löschung

Beim Entfernen von Dokumenten reicht die Protokollierung der Tatsache, dass ein bestimmtes Objekt durch eine/n bestimmte/n Benutzer*in entfernt wurde, nicht aus, weil nach der Objektlöschung keine weiteren Schlussfolgerungen auf dessen Inhalt möglich sind. Deshalb sind zusätzlich zu den oben genannten Punkten noch folgende Metadaten zu speichern, die solche Rückschlüsse zulassen:

• • Akten- bzw. Vorgangszeichen (nur bei Akten und Vorgängen)

• • Aktenzeichen der übergeordneten Akte bzw. des übergeordneten Vorgangs

• • Betreff des/der Dokuments/Datei

• • Schriftstücknummer des Dokuments

• • Barcodenummer des Dokuments

• • Erstellungsdatum

• • Postdatum

• • Ersteller

• • letzter Speicherort

• • Löschender (Login, Nachname, Vorname)