DSGVO-konforme Datenlöschung – So geht’s!

Datenschutz-Grundverordnung, DSGVO, Datenlöschung

Das sichere Löschen personenbezogener Daten ist ein essenzieller Aspekt der Datensicherheit und der Rechte von betroffenen Personen gemäß der Datenschutz-Grundverordnung (DSGVO), wobei sowohl technische als auch organisatorische Maßnahmen von Bedeutung sind.

Verantwortliche müssen mit Hilfe ihrer Datenschutzbeauftragten die Löschpflichten im Einklang mit gesetzlichen Aufbewahrungsfristen handhaben.

Anzeige

Grundsatz der Speicherbegrenzung

Die DSGVO verlangt, dass Unternehmen personenbezogene Daten nur so lange speichern dürfen, wie dies für den ursprünglichen Verarbeitungszweck notwendig ist (Art. 5 Grundsatz der Speicherbegrenzung). Sollte der Zweck entfallen, etwa durch Ablauf oder Beendigung eines Vertrags, müssen die Daten gelöscht werden, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen. Ein Widerruf der Einwilligung durch die betroffene Person erfordert ebenfalls eine Löschung

Keine konkrete Anweisung zur Löschung seitens der DSGVO

Die DSGVO gibt jedoch keine spezifischen Löschverfahren vor. Stattdessen müssen sich Verantwortliche an den allgemeinen Grundsätzen der Datenverarbeitung orientieren, insbesondere am Grundsatz der Speicherbegrenzung. Daten, die ihren Zweck erfüllt haben, sind unter Beachtung der rechtlichen Rahmenbedingungen zu löschen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Recht auf Vergessenwerden

Das “Recht auf Vergessenwerden” (Artikel 17 DSGVO) definiert spezifische Situationen, in denen eine Löschpflicht besteht, beispielsweise wenn Daten nicht mehr notwendig sind oder die Einwilligung widerrufen wurde. Nichtsdestotrotz gibt es Ausnahmen von der Löschpflicht, etwa wenn Daten zur Ausübung der Meinungsfreiheit, zur Erfüllung rechtlicher Verpflichtungen oder für im öffentlichen Interesse liegende Zwecke benötigt werden.

Anzeige

Schließlich müssen Verantwortliche aufgrund rechtlicher und vertraglicher Anforderungen in bestimmten Fällen Daten über festgelegte Zeiträume hinweg aufbewahren. Das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO) und die Löschfristen, die im Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO) festgehalten werden sollten, sind ebenfalls zu berücksichtigen, ebenso wie die spezifischen Löschvorschriften des Bundesdatenschutzgesetzes (§ 35 BDSG).

Strategien zur Datensicherheit von der physischen Vernichtung bis hin zur Anonymisierung

Ein Strategieplan für die sichere Entfernung von Daten beinhaltet eine Reihe von Techniken, von der physischen Vernichtung, wie etwa das Zerkleinern von Speichermedien, bis zur Anonymisierung, bei der Daten so bearbeitet werden, dass sie nicht mehr einzelnen Personen zugeordnet werden können. Es ist essenziell, alle Kopien der Daten, einschließlich derer in Sicherheitskopien und der Cloud, zu berücksichtigen. TÜV SÜD empfiehlt das wiederholte Überschreiben elektronischer Daten als verlässliche Methode.

Prüfverfahren von der Löschung

Vor der Löschung ist es empfehlenswert, Daten durch ein zweistufiges Verfahren zu prüfen. Zuerst sollte geklärt werden, ob eine Notwendigkeit zur Löschung vorliegt. Anschließend ist zu prüfen, ob gesetzliche Bestimmungen, wie beispielsweise Steuervorschriften, eine längere Aufbewahrung der Daten erfordern. Online findet man eine Vielzahl von Tabellen, die darlegen, für welche Zeitspanne spezifische Daten gespeichert werden müssen.

Entwicklung eines Löschkonzepts

Ein wirkungsvolles Konzept für die Datenlöschung muss die Verpflichtungen sowohl zum Löschen als auch zum Aufbewahren von Daten beachten. Die DIN 66398 Norm bietet einen Leitfaden für die Konzepterstellung, der die Bestimmung von Datentypen, Löschfristen, Startpunkten für diese Fristen, Löschkategorien, Löschregeln, Durchführungsregeln und Zuständigkeiten umfasst. Ein methodisches Vorgehen, das diese Aspekte berücksichtigt und dokumentiert, ist für die Entwicklung und Wartung eines Löschkonzepts innerhalb eines Unternehmens von großer Bedeutung.

Sollten Sie bereits über ein Löschkonzept verfügen, raten wir Ihnen zu folgendem Vorgehen:

  • Stellen Sie sicher, dass Ihre Löschvorgänge den Anforderungen der DSGVO sowie jeglichen gesetzlichen oder vertraglichen Aufbewahrungsfristen gerecht werden.
  • Überprüfen Sie zudem, ob die Methoden zum Datenlöschen den technischen Standards für eine sichere Datenvernichtung entsprechen.

Indem Organisationen ihre Löschverfahren hinsichtlich der Befolgung rechtlicher Rahmenbedingungen und der Erfüllung technischer Sicherheitsanforderungen evaluieren, sichern sie die Einhaltung von Gesetzen und den Schutz sensibler Daten. Das Ergebnis ist eine optimierte Handhabung des Datenschutzes, die sowohl juristische als auch sicherheitsbezogene Gefahren reduziert.

www.deudat.de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.