Die DSGVO schreibt vor, personenbezogene Daten nur so lange zu speichern, wie du sie für den jeweiligen Zweck brauchst. Danach heißt es: löschen oder anonymisieren. Doch viele Unternehmen verwahren Daten ewig – aus Angst, sie könnten sie nochmal brauchen oder weil ihnen kein Konzept vorliegt. Ein DSGVO Löschkonzept Leitfaden zeigt dir Schritt für Schritt, wie du Datenkategorien definierst, Aufbewahrungsfristen beachtest und automatisierte Routinen einführst. So senkst du Risiken, sparst Speicherplatz und zeigst Behörden deine professionelle Herangehensweise. Hier erfährst du, wie du ein Löschkonzept entwickelst und welche Stolperfallen häufig lauern.
Bulletpoints – DSGVO Löschkonzept Leitfaden
- Dateninventur anlegen
- Löschfristen je Datenkategorie definieren
- Automatisierte Routinen (Skripte, Archivsystem)
- Dokumentierter Prozess für Nachweise
1. Warum ein Löschkonzept?
- Speicherbegrenzung: Die DSGVO (Art. 5 Abs. 1 lit. e) fordert, Daten zu löschen, sobald der Zweck entfällt.
- Risiko senken: Je weniger Daten, desto niedriger das Risiko bei Hackerangriffen.
- Effizienz: Datenmüll erschwert IT-Abläufe. Ein klares Konzept verhindert chaotische Datenbanken.
- Dokumentierter Prozess: Bei Prüfungen kannst du zeigen, dass du systematisch vorgehst.
2. Schritt für Schritt zum Löschkonzept
1. Dateninventur
Erfasse alle Datenkategorien: Kundendaten, Bewerberdaten, Mitarbeiterdaten, Lieferantendaten etc. Notiere, wo sie gespeichert sind (Datenbanken, Papierakten, Cloud).
2. Rechtsgrundlagen & Aufbewahrungsfristen
Prüfe Handels- und Steuerrecht (6–10 Jahre), Arbeitsrecht, branchenspezifische Vorschriften (z. B. Arztpraxen). Nur wenn keine Pflicht besteht, kannst du löschen.
3. Löschfristen definieren
Lege fest, wann Daten in Archiven oder Backups entfernt werden. Z. B. „Kundendaten 3 Jahre nach letztem Kontakt“, „Rechnungsdaten nach 10 Jahren“.
4. Technische Umsetzung
Automatisierte Routinen, Skripte oder Archivsysteme, die abgelaufene Datensätze identifizieren und löschen. In Papierform: Schreddern (mind. Sicherheitsstufe P-4 oder P-5).
5. Dokumentation
Halte im Löschkonzept fest, wer wann was löscht und wie du Ausnahmen behandelst (z. B. laufende Rechtsstreitigkeiten).
3. Besonderheiten – DSGVO Löschkonzept Leitfaden
- Backups: Hier liegen Daten oft jahrelang unbemerkt. Definiere einen Backup-Zyklus, in dem alte Sicherungen überschrieben werden.
- Bewerberdaten: Nach Abschluss des Bewerbungsprozesses lösche oder anonymisiere Daten. Nur mit Zustimmung kannst du sie für einen Talent Pool länger behalten.
- E-Mail-Postfächer: Mitarbeiter sollten alte Mails regelmäßig löschen oder in ein Archiv verschieben, das geregelte Löschfristen hat.
4. Häufige Fehler
- Kein Verantwortlicher: Niemand fühlt sich zuständig, jeder denkt, der andere löscht.
- Fehlende Systematik: Manuelle Ad-hoc-Löschungen führen zu Lücken, Backups bleiben unberührt.
- Keine Kontrolle: Gelöschte Daten tauchen bei der nächsten Systemwiederherstellung wieder auf.
- Unklare Aufbewahrungspflichten: Unwissen über steuerliche oder arbeitsrechtliche Vorgaben.
FAQ – DSGVO Löschkonzept Leitfaden
Ja, du solltest zumindest erfassen, wann welche Datensätze entfernt wurden, damit du im Streitfall nachweisen kannst, dass du datenschutzkonform gehandelt hast.
Nur wenn es eine Rechtsgrundlage gibt. „Sicherheitshalber“ ohne Zweck verstößt gegen die DSGVO.
Dein Löschkonzept sollte vertraglich geregelt sein (ADV). Stelle sicher, dass der Dienstleister dieselben Fristen und Verfahren einhält.
