Löschkonzept (Basic)

Zuletzt aktualisiert: Muster

Zusammenfassung

Ein sehr einfaches Löschkonzept – wenn es schnell gehen muss.

Version

Version 1.1 – 23.05.2025

===== Muster =====

Löschkonzept

1. Zielsetzung

Das Löschkonzept dient der Einhaltung der Datenschutz-Grundverordnung (DSGVO) und der Umsetzung der Anforderungen von Art. 5 Abs. 1 lit. e) DSGVO und Art. 24 Abs. 1 DSGVO. Ziel ist es, personenbezogene Daten zu löschen, sobald sie nicht mehr erforderlich sind und dabei gesetzliche Aufbewahrungspflichten und technische Standards einzuhalten.

2. Geltungsbereich

Das Löschkonzept gilt für die Mustermensch GmbH und alle Tochterunternehmen der Unternehmensgruppe. Es umfasst alle personenbezogenen Daten, die in den jeweiligen Abteilungen verarbeitet werden.

3. Verantwortlichkeiten

  • Abteilungsleitende: Verantwortlich für die Klassifikation der in ihrer Abteilung verarbeiteten Daten und die Festlegung von Löschklassen
  • Datenschutzbeauftragter (DSB): Überwachung der Einhaltung des Löschkonzepts und Beratung der Abteilungen und Einbindung der Datenschutzkoordinierenden
  • IT-Abteilung: Technische Umsetzung der Löschvorgaben und Sicherstellung, dass Löschprozesse dokumentiert werden

4. Vorgehen zur Datenklassifikation

  1. Erhebung der Datenarten: Abteilungsleitende identifizieren alle in ihrer Abteilung verarbeiteten Datenarten (z. B. Kundendaten, Beschäftigtendaten, Vertragsdaten).
  2. Klassifikation nach Löschklassen: Daten werden in folgende Löschklassen eingeteilt:
  • Klasse 1: Daten mit gesetzlicher Aufbewahrungspflicht (z. B. steuerrechtliche oder handelsrechtliche Dokumente).
  • Klasse 2: Daten ohne gesetzliche Aufbewahrungspflicht, die für betriebliche Zwecke erforderlich sind.
  • Klasse 3: Daten, die nur für einen Zeitraum von weniger als 12 Monaten erforderlich sind. Hier sind von den Abteilungsleitenden individuelle Löschfristen einzurichten (z.B. für Daten von Bewerbenden: 6 Monate)
  • Klasse 4: Daten, die weder gesetzlich noch betrieblich mehr erforderlich sind.

5. Löschfristen und -prozesse

  • Klasse 1: Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht. Beispiele:
  • Steuerunterlagen: 8 Jahre (§ 147 AO, § 257 HGB).
  • Personalunterlagen: 6 Jahre (nach Beendigung des Arbeitsverhältnisses, soweit keine längeren Fristen gelten).
  • Klasse 2: Jährliche Prüfung durch die Abteilungsleitende, ob die Daten weiterhin erforderlich sind. Nicht mehr benötigte Daten werden gelöscht.
  • Klasse 3: Daten werden nach Ablauf der spezifischen Löschfrist gelöscht
  • Klasse 4: Unverzügliche Löschung, sobald der Zweck der Verarbeitung entfällt.

6. Prüfung und Dokumentation

  • Zum Ende jedes Kalenderjahres überprüfen die Abteilungsleitenden die Notwendigkeit der in ihrer Abteilung gespeicherten Daten.
  • Die Ergebnisse der Prüfung sowie die Löschvorgänge werden dokumentiert und für mindestens 3 Jahre aufbewahrt.

7. Technische und organisatorische Maßnahmen

Sicherstellung der Löschung:

  • Daten in aktiven Systemen: Selektive Löschung durch IT-gestützte Prozesse.
  • Daten in Backups: Sicherstellung, dass Backups nach Ablauf der Aufbewahrungsfrist überschrieben werden.
  • Schutz vor unbefugtem Zugriff: Löschprozesse werden durch Zugriffsrechte und Protokollierung abgesichert.

8. Berücksichtigung gesetzlicher Aufbewahrungspflichten

Gesetzliche Aufbewahrungspflichten nach deutschem Recht haben Vorrang vor Löschpflichten. Die folgenden Fristen sind beispielhaft zu beachten:

  • Handels- und Steuerrecht (§ 257 HGB, § 147 AO): 6 bis 8 Jahre.
  • Arbeitsrecht (z. B. Lohnunterlagen): 6 Jahre.
  • Produkthaftung: Bis zu 30 Jahre (je nach Fall)

9. Schulung und Sensibilisierung

Alle Abteilungsleitende und relevante Beschäftigte werden regelmäßig zu den Anforderungen der DSGVO und den Vorgaben des Löschkonzepts geschult.

10. Überprüfung und Anpassung

Das Löschkonzept wird regelmäßig überprüft und bei Änderungen in der Gesetzgebung oder der Unternehmensstruktur angepasst.

===== Ende des Musters =====

Anwendungshinweise

Wenn du keine Zeit für ein ordentliches Löschkonzept hast, aber dennoch kurzfristig eins brauchst, dann hilft dieses Muster dir vielleicht weiter.

Es basiert darauf, dass letztlich die Verantwortlichen auf Abteilungsebene prüfen müssen, wann welche Daten zu löschen sind.

Das ist sicher nicht optimal, aber besser als nichts.

Änderungen

23.05.2025: In Ziff. 1 (Zielsetzung) die umgesetzten Normen besser angepasst;

Nutzungsrechte

Für die Verwendung des Musters gelten diese Regeln zur Nutzung: https://www.datenschutz-guru.de/nutzungsrechte-muster/

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-PRO teilzunehmen findest du hier mehr Informationen.