Löschen von Daten: Dokumentation & Aufbewahrungsdauer
Die Pflicht, personenbezogene Daten zu löschen, und die Rechenschaftspflicht, die verlangt, die Löschung zu dokumentieren, widersprechen einander auf den ersten Blick. Erfahren Sie, wie sich dieser Widerspruch auflösen lässt.
Verantwortliche müssen personenbezogene Daten in bestimmten Fällen löschen. Das legt Art. 17 der Datenschutz-Grundverordnung (DSGVO) fest. Zu diesen Fällen gehört z.B., dass
- der Verarbeitungszweck erreicht ist, d.h. der Verantwortliche die Daten nicht mehr benötigt,
- die betroffene Person ihre Einwilligung widerruft oder
- sie verlangt, ihre Daten zu löschen.
Soweit keine anderweitigen Gründe wie z.B. gesetzliche Aufbewahrungspflichten entgegenstehen, muss der Verantwortliche die betroffenen personenbezogenen Daten löschen. Das Löschen ist nur dann entbehrlich, wenn diese Daten vollständig, d.h. ohne wiederherstellbaren Rückbezug auf die Personen, anonymisiert werden.
Löschkonzept erstellen
Einige Fälle von Art. 17 Abs. 1 DSGVO verlangen, dass der Verantwortliche tätig wird, ohne dass eine betroffene Person ihn dazu aufgefordert hätte.
Um diese Konstellationen abzudecken, nutzen Verantwortliche am besten eigens erarbeitete oder standardisierte Löschkonzepte unter Zuhilfenahme der DIN 66398 (siehe dazu „Schritt für Schritt zum Löschkonzept mit der DIN 66398“). Die eigentliche Löschung der personenbezogenen Daten erfolgt dann nach diesem Konzept entweder manuell oder automatisiert über spezielle Software.
Hinweise der DSK
Nützliche Hinweise zum Löschen ergeben sich auch aus den Kurzpapieren der Datenschutzkonferenz (DSK), abrufbar unter https://www.datenschutzkonferenz-online.de/kurzpapiere.html. Die DSK…
Weiterlesen mit Abo oder auch ohne