Daten löschen – aber bitte nur mit dem richtigen Löschkonzept

Deutsche Unternehmen gelten bei Datenschützern gerne als Datenbewahrer. Nur schwer trennen sich Unternehmen von Akten oder Daten. Diese werden zunächst für Wirtschafts- und Finanzprüfer mindestens zehn Jahre aufbewahrt. Oder sicherheitshalber doch für immer? Oft fühlt es sich aber auch einfach besser an, wenn man bei Bedarf noch einmal auf früheren Schriftverkehr, Auftragsunterlagen oder Kundendaten zugreifen kann. Doch unter Beachtung der heutigen rechtlichen Rahmenbedingungen kann das zu lange Aufbewahren ebenfalls zu einem Unternehmensrisiko werden. Dieser Artikel soll aufzeigen, wie Unternehmen sicherstellen können, sich rechtzeitig von Akten und digitalen Daten zu trennen.

Bedeutung des Löschkonzepts

In der digitalen Ära, in der Unternehmen zunehmend auf Daten angewiesen sind, um wettbewerbsfähig zu bleiben, wird die effektive Verwaltung dieser Daten immer wichtiger. Dabei geht es nicht nur um die Sammlung und Analyse von Daten, sondern auch um deren sichere Aufbewahrung und rechtskonforme Löschung. Ein strukturiertes Löschkonzept ist entscheidend, um sowohl den rechtlichen Anforderungen gerecht zu werden, als auch um die Integrität und Sicherheit der Daten zu gewährleisten. Unternehmen, die den Datenschutz ernst nehmen, können mit einem effektiven Löschkonzept nur gewinnen. Damit wird nicht nur die Privatsphäre der betroffenen Personen gewahrt, damit stärken Unternehmen auch ihr eigenes Image und reduzieren das Risiko rechtlicher Konsequenzen.

Rechtlicher Kontext und Unsicherheiten

Traditionell haben sich Unternehmen in den letzten Jahrzehnten daran orientiert, Dokumente und Daten möglichst lange aufzubewahren. Hintergrund sind die Aufbewahrungsanforderungen, die von Wirtschafts- und Finanzprüfern nachdrücklich eingefordert wurden. Die rechtlichen Anforderungen im Bereich Datenschutz, insbesondere die der Datenschutz-Grundverordnung (DS-GVO), haben die Notwendigkeit verstärkt, Dokumente und Daten mit Personenbezug nur so lange wie unbedingt erforderlich aufzubewahren.

Unternehmen stehen jetzt vor der Herausforderung, die Aufbewahrungsfristen für verschiedene Arten von Daten genau zu kennen und einzuhalten. Das „lieber ein wenig länger aufbewahren“ wird datenschutzseitig stark begrenzt. Auch hier drohen rechtliche und finanzielle Konsequenzen.

Es wird daher zunehmend wichtig, dass Unternehmen ein Konzept entwickeln, das nicht nur den ambivalenten gesetzlichen Anforderungen entspricht, sondern auch praktikabel und effizient umgesetzt werden kann.

Praktische Herausforderungen und Vorteile eines Löschkonzepts

Ein systematisches Löschkonzept vereinfacht nicht nur die Einhaltung von Datenschutzvorschriften, sondern optimiert auch die Datenverwaltung innerhalb des Unternehmens. Ein gut strukturiertes Löschkonzept ermöglicht es, Daten effizient zu identifizieren, zu kategorisieren und zu verwalten. Es stellt sicher, dass nur relevante Daten gespeichert und überflüssige oder veraltete Daten entfernt werden, was wiederum die Datensicherheit und -qualität verbessert. Ein Löschkonzept reduziert auch das Risiko von Datenlecks und hilft, den Speicherbedarf zu minimieren.

Das Rad ist bereits erfunden

In Punkto Löschkonzept müssen Unternehmen das berühmte Rad nicht neu erfinden. Die DIN-Norm DIN 63398 bietet einen Gestaltungsrahmen für die Erstellung von Löschkonzepten. Entlang dieser Norm können Unternehmen schrittweise ein eigenes, individuell angepasstes, Löschkonzept entwickeln.
Die DIN-Norm bietet die Grundlage, alle Anforderungen an die Löschung und Aufbewahrung von Dokumenten und Daten zu ermitteln und zu dokumentieren. Das verschafft Unternehmen endlich die erforderliche Sicherheit, wie lange wirklich aufbewahrt werden muss.
Die Antwort auf die Frage „wann muss gelöscht werden“ erscheint dann fast zu einfach. Diese lautet: Gelöscht bzw. vernichtet wird, wenn alle Anforderungen an die Aufbewahrung erfüllt sind. Und genau diese Anforderungen sind in einem DIN-konformen Löschkonzept genau beschrieben.

Acht Schritte zu einem einfachen Löschkonzept

  1. Benennen Sie für jeden Arbeitsbereich mindestens eine Person, die für das Thema Aufbewahrung und Löschung in diesem Bereich zuständig ist
  2. Beschreiben sie, welche Dokumente und Daten es in jedem Arbeitsbereich gibt, wie lange diese im jeweiligen Bereich für ihre Geschäftsprozesse benötigt werden.
  3. Dokumentieren sie, an welchen Orten die Dokumente und Daten abgelegt werden bzw. an welche anderen Bereiche diese weitergegeben werden („Datenlandkarte“).
  4. Ermitteln sie die für alle Dokumente und Daten die für ihr Unternehmen geltenden gesetzlichen Aufbewahrungsfristen (https://www.mammut-aktenvernichtung.de/aufbewahrungfristen-2020).
  5. Bestimmen Sie aus diesen ermittelten Anforderungen für die Nutzung und Aufbewahrung den Zeitpunkt, zu dem alle Anforderungen erfüllt bzw. alle Fristen abgelaufen sind. Ab hier können diese Dokumente und Daten vernichtet bzw. gelöscht werden.
  6. Legen Sie fest, mit welchen technischen Mitteln (z. B. durch automatisierte Löschprozesse in IT-Anwendungen) oder organisatorischen Maßnahmen (z. B. jährlicher Termin für das Aussortieren der zu vernichtenden Dokumente) alles nicht mehr erforderliche gelöscht oder vernichtet werden kann.
  7. Protokollieren sie Datenlöschungen und die Vernichtung von Dokumenten und anderen Datenträgern
  8. Überlegen Sie, wie sie regelmäßig die Wirksamkeit dieser Maßnahmen überprüfen können. Mindestens einmal jährlich sollte ein Löschkonzept auf Vollständigkeit, Aktualität und Wirksamkeit geprüft werden.

Ein effektives Löschkonzept erfordert eine sorgfältige Planung und die Integration in die bestehenden IT-Systeme des Unternehmens. Es muss klar definiert werden, wie und wann Daten gelöscht werden, und es müssen Richtlinien und Verfahren für unterschiedliche Datenarten und -kategorien entwickelt werden. Technologische Lösungen wie automatisierte Datenlöschung und regelbasierte Systeme können dabei helfen, den Löschprozess zu vereinfachen und menschliche Fehler zu reduzieren. Organisatorisch ist es wichtig, dass alle Mitarbeiter über die Löschrichtlinien informiert sind und geschult werden, um die Umsetzung des Konzepts zu unterstützen.

Nutzen sie den Rat der Experten

Ein individuelles Löschkonzept ist für Unternehmen unerlässlich, um im Umfeld der komplexen Anforderungen an die Aufbewahrung und Löschung ein risikoarmes Ergebnis zu erreichen. Und das möglichst mit einem wirtschaftlich vertretbaren Aufwand.

Nutzen Sie hierfür den Rat von Experten. Sprechen Sie mit ihrem eigenen Datenschutzbeauftragen oder ihrer eigenen Datenschutzbeauftragten darüber. Wenn hier noch keine ausreichenden Praxiserfahrungen vorhanden sind, unterstützen gerne die externen Kollegen, so wie der Autor dieses Artikels.

Über den Autor:

Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln.

Thomas Rosin - Experte für Daten- und Informationsschutz

Kontakt:  info@thomasrosin.de

Web:        https://www.thomasrosin.de