Datenlöschung

Datenlöschung – Wie Sie die fristgerechte Löschung im Auge behalten

Im Zuge der Erstellung des Verarbeitungsverzeichnisses ist zu dokumentieren, welche personenbezogenen Daten mit welchen automatisierten Verfahren auf welche Art und Weise verarbeitet werden und wie Sie konkret die Daten schützen. Dazu gehören die Angaben zu den Regelfristen für die Aufbewahrung und Löschung der Daten. Dies ist nicht nur für die Aufsichtsbehörde bei einer Kontrolle von essentieller Bedeutung, sondern dient auch der Eigenkontrolle im Unternehmen.

Wie setzen Sie die Datenlöschung praktisch um und welche Löschfristen gelten nun? Die DSGVO beinhaltet keine konkret definierten Fristen. Viele Unternehmen beschränken sich damit auf die Aussage, die Daten zu löschen, wenn sie nicht mehr erforderlich sind und verzichten auf konkrete Fristen. Ein solches Vorgehen erschwert nicht nur eine externe Prüfung sondern legt den Verdacht nahe, dass man sich nicht ausreichend mit der Löschung personenbezogener Daten befasst hat. Eine gute Lösung für das Datenmanagement beinhaltet Archivfunktionen und gleichzeitig Termin-Erinnerungen und Löschfunktionen auf der Datenebene. Ihr Unternehmen sollte daher sicherstellen, dass den Datenkategorien Speicherfristen zugeordnet werden, welche durch regelmäßig stattfindende Recherchen der zuständigen Abteilung auf ihre Aktualität/Löschung überprüft werden. Es ist daher sinnvoll, den Leitern der zuständigen Abteilungen mittels elektronischer Terminkalendereinladungen diese Recherchen in Erinnerung zu rufen.

Achtung! Mit dem „Recht auf Vergessen werden“ räumt die DSGVO betroffenen Personen, die ihre Einwilligung zur Datenverarbeitung gegeben haben, das Recht auf unverzügliche Löschung der sie betreffenden Daten ein, wenn sie ihre Einwilligung widerrufen. Damit trifft Ihr Unternehmen nicht nur die Verpflichtung, die Zusendung weiterer Werbe-E-Mails abzustellen, sondern auch für die Verständigung Dritter zu sorgen, dass die betroffene Person die Löschung dieser Daten verlangt. Diese Daten müssen dann tatsächlich auch gelöscht werden.

„Mapping“ der technischen und organisatorischen Maßnahmen

Wesentlich für die Vervollständigung des Verarbeitungsverzeichnisses sind die getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Um zu bestimmen, welche spezifischen Schutzmaßnahmen zu treffen sind, ist eine Abwägung zwischen den Interessen des Unternehmens und der Betroffenen unter Berücksichtigung der Verarbeitungszwecke, der Datenkategorien etc. vorzunehmen. Pseudonymisierung, Verschlüsselung, Implementierung von Zutritts-, Zugangs-, Zugriffs-, Weitergabe- und Auftragskontrollen oder eine Zweckbindung sind geeignete Maßnahmen für die DSGVO-konforme Verarbeitung. Weitere Maßnahmen könnten die Zuteilung von Rechte- und Rollenkonzepten innerhalb des Unternehmens oder Audits sein.

<<< zurück zu Verarbeitungsverzeichnis                                                                                  zurück zur Startseite>>>