Suche Icon
Suche Icon
Support Icon User image
Sprache

Löschung personen­bezogener Daten » Löschkonzept DSGVO

Min. Lesezeit

Ein Online-Handel kann ohne die Verarbeitung personenbezogener Daten nicht funktionieren. Du brauchst sie zum Beispiel für den Versand von Newslettern oder Waren. Aber die Verarbeitung dieser Daten ist durch verschiedene Datenschutzgesetze an einige Vorgaben geknüpft. Besonders wichtig ist dabei, zum Schutz der Verbraucher, das Recht auf Löschung der personenbezogenen Daten.

Denn durch das Recht auf informationelle Selbstbestimmung haben Verbraucher jeder Zeit das Recht zu bestimmen, was mit ihren Daten geschieht. Aber auch ganz unabhängig von den Wünschen deiner Kunden bist du verpflichtet, dich an Aufbewahrungsfristen und Löschpflichten zu halten. Welche das genau sind und wofür ein Löschkonzept gut ist, erläutern wir dir gern.

Mülltonne

Personenbezogene Daten – wofür werden sie verwendet?

Zunächst handelt es sich bei personenbezogenen Daten nach § 46. Abs. 1 Bundesdatenschutzgesetz (BDSG) und Art. 4 Datenschutzgrundverordnung (DSGVO) um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder auch bestimmbaren natürlichen Person. Gemeint sind damit also alle Informationen, die sich auf eine natürliche Person beziehen oder Rückschlüsse auf sie erlauben.

Es gibt darüber hinaus verschiedene Arten personenbezogener Daten, zum Beispiel allgemeine Daten wie Name und Anschrift, physische Merkmale wie Größe und Gewicht oder Online-Daten wie die IP-Adresse. Diese Daten werden auf ganz unterschiedliche Weise gesammelt: Beim Surfen im Internet, bei der Teilnahme an Gewinnspielen oder auch bei Zahlung mit Kredit- oder EC-Karte.

Mit den gesammelten Daten werden Personenprofile angelegt, mit deren Hilfe Unternehmen neue Kommunikationsmethoden und Produkte entwickeln, die genau zu den Wünschen und dem Einkaufsverhalten dieses potenziellen Kunden passen.


tip

Sorgenfrei durch den Datenschutz

Mit unserem Datenschutz-Paket Pro musst du dir über die Einzelheiten der DSGVO keine Sorgen mehr machen. Um datenschutzrechtlich auf der sicheren Seite zu stehen, bekommst du alles, was du benötigst, z. B. individuelle Datenschutzdokumente oder einen externen Datenschutzbeauftragten.

Zum­ Datenschutz-Paket Pro

 

Löschung von personenbezogenen Daten nach DSGVO

Personenbezogene Daten dürfen nicht unbegrenzt aufbewahrt werden. Nach Art. 5 Abs. 1 Buchst. b DSGVO dürfen personenbezogene Daten nur solange gespeichert und verarbeitet werden, wie es für den jeweiligen Zweck notwendig ist. Sobald dieser Zweck nicht mehr besteht, müssen die Daten grundsätzlich gelöscht werden. Es handelt sich dabei um den sogenannten Löschzwang, was die unumkehrbare Unkenntlichmachung der Daten meint.

Die Löschung von personenbezogenen Daten regelt sich im Artikel 17 DSGVO. Die DSGVO koppelt dabei die zugelassene Dauer der Datenspeicherung an den Zweck der Datenverarbeitung. Es handelt sich dabei um den Zweckbindungsgrundsatz als ein wesentlicher Eckpfeiler des Datenschutzrechts. Gesammelte personenbezogene Daten dürfen also nur für vorher genau beschriebene und eindeutige Zwecke erhoben und verarbeitet werden. Aus diesem Grund müssen sie gelöscht werden, wenn sie für den ursprünglichen Zweck der Datenerhebung nicht mehr gebraucht werden. Das heißt, dass grundsätzlich keine unbegrenzte Aufbewahrung von Daten möglich ist.

Wann müssen (personenbezogene) Daten gelöscht werden? Personenbezogene Daten müssen gelöscht werden, wenn:

  1. diese nicht mehr benötigt werden,
  2. sie ihren Verwendungszweck erfüllt haben oder
  3. der Betroffene die Löschung der Daten fordert.

Betroffenenrechte – Was ist das Recht auf Löschung?

Nach Art. 17 Abs. 1 DSGVO besteht für Konsumenten das Recht auf Löschung, das als Werkzeug zur Durchsetzung der datenschutzrechtlichen Selbstbestimmung gesehen wird. Damit können Verbraucher die restlose Entfernung ihrer personenbezogenen Daten bei dir, als Verantwortlichen für die Datenverarbeitung, verlangen.

Dieses Recht darf aber nur unter bestimmten Voraussetzungen geltend gemacht werden:

  1. Die Daten sind für dich nicht mehr notwendig, z. B. wenn die Daten zur Begründung eines Arbeitsverhältnisses notwendig waren, dieses aber nicht mehr besteht.
  2. Die Datenverarbeitung ist unrechtmäßig, z. B. weil keine Einwilligung erfolgte.
  3. Die Einwilligung zur Datenverarbeitung wurde widerrufen.
  4. Der Konsument hat erfolgreich Widerspruch gegen die Datenverarbeitung eingelegt und du kannst keine schützenswerten Gründe geltend machen.
  5. Die Löschung der Daten ist aufgrund besonderer Rechtsvorschriften notwendig.
  6. Ein Jugendlicher, somit eine schutzbedürftige Person, hat sich eigenständig z. B. in einem sozialen Netzwerk angemeldet.

Darüber hinaus besteht für Verbraucher nach Art. 17 Abs. 2 DSGVO ein Recht auf Vergessenwerden. Dies ist eine Erweiterung zum Recht auf Löschung, durch das die Verantwortlichen der Datenverarbeitung vertretbare Schritte unternehmen müssen, um bei anderen Stellen bzw. Dritten die Löschung der Daten, Kopien und aller Links auf diese zu verlangen. Das Recht auf Vergessenwerden hat, genau wie das Recht auf Löschung, ein paar Ausnahmen. Welche das genau sind, erfährst du im nächsten Abschnitt.

 

tip

Sei auf Löschungsverlangen vorbereitet!

Natürliche Personen haben zu jeder Zeit die volle Verfügungsgewalt über ihre personenbezogenen Daten und können daher jederzeit die Löschung der Daten verlangen. Erhältst du ein solches Gesuch, kannst du mit unserer Mustervorlage zum Datenschutz-Löschungsverlangen die Löschung der personenbezogenen Daten bestätigen oder begründen, wieso das momentan nicht möglich ist.

Zur Mustervorlage

 


Wann besteht kein Anspruch auf Löschung?

Abgesehen von gesetzlichen Aufbewahrungsfristen, die die Löschung personenbezogener Daten verhindern könnten, regelt Art. 17 Abs. 3 Buchst. a) bis e) DSGVO auch Ausnahmen auf das Recht auf Löschung. Diese Ausnahmen gelten zum Beispiel wenn:

  1. die personenbezogenen Daten zur Ausübung des Rechts auf freie Meinungsäußerung verwendet werden,
  2. die Verarbeitung der Daten der Geltendmachung anderer Rechtsansprüche dient oder
  3. die Datenverarbeitung einer legitimen öffentlichen Aufgabe oder dem öffentlichen Interesse dient.

Auch im BDSG sind Ausnahmen von der Löschpflicht bestimmt, wobei die Löschung der Daten abgelöst wird durch eine Einschränkung der Verarbeitung. Das trifft dann zu, wenn die Speicherung der Daten nicht automatisiert erfolgt und die Löschung einen unverhältnismäßig hohen Aufwand erfordern würde.

 

Datenschutz-Paket Pro

  • Externer Datenschutzbeauftragter
  • Anwaltliches Beratungsgespräch
  • Rechtssichere Datenschutzdokumente
  • Persönliche Datenschutzschulung
Mit einem Experten sprechen Jetzt buchen
datenschutz-paket-pro

 

Welche gesetzlichen Aufbewahrungspflichten gibt es?

Fristen zur Aufbewahrung personenbezogener Daten werden immer individuell berechnet. Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie sie für den vorgesehenen Zweck notwendig sind – es sei denn, es liegt eine gesetzliche Aufbewahrungspflicht vor. Es gibt verschiedene gesetzlich geregelte Aufbewahrungspflichten, zum Beispiel:

  1. im Handels- und Steuerrecht (§§ 257 HGB bzw. § 147 AO),
  2. im Energiewirtschaftsgesetz (§ 5a) oder auch
  3. im Bundesimmissionsschutzgesetz (§ 5).

Wenn die Aufbewahrung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen seitens des verarbeitenden Unternehmens notwendig ist, kann auch von einer Löschung der Daten abgesehen werden.

Diesen Widerspruch aus Löschzwang und gesetzlich vorgeschriebener Aufbewahrungspflicht löst Art. 6 Abs. 1 DSGVO. Hier wird festgelegt, dass personenbezogene Daten gespeichert werden dürfen, wenn es der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient. Die gesetzliche Aufbewahrungspflicht ist damit die Rechtsgrundlage für die weitere Verarbeitung.



tip

Weitere Informationen

Die DSGVO ist eine Verordnung, die viele Pflichten für dich beherbergt. Profitiere von unserer Hilfe zur DSGVO, um rechtliche Konsequenzen wie Abmahnungen oder sogar Bußgelder zu vermeiden.

Hilfe zur DSGVO

 


Was ist ein Löschkonzept?

Ein sorgfältig erarbeitetes Löschkonzept hilft dir dabei, den Widerspruch zwischen der Verpflichtung zur Löschung personenbezogener Daten und den gesetzlichen Aufbewahrungspflichten zu lösen.

Mit einem Löschkonzept behältst du den Überblick über die zu löschenden personenbezogenen Daten. Das Löschkonzept regelt nach BDSG und DSGVO, wer wann welche Daten (z. B. Kundendaten, Mitarbeiterdaten usw.) zu löschen hat. Außerdem bestimmt es, wo die Daten abgespeichert werden (z. B. in welchen Anwendungen oder Tabellen) und wie die Löschung ablaufen muss.

Der Zweck der Datenspeicherung ist in einem Löschkonzept so präzise wie möglich zu beschreiben. Denn im konkreten Fall wird diese Formulierung herangezogen, um die Erforderlichkeit der Datenspeicherung zu bewerten. Das Löschkonzept sorgt außerdem für Transparenz zur Speicherungsdauer von personenbezogenen Daten.

Ein Löschkonzept muss also wesentliche Punkte beinhalten:

  1. Ist der Zweck der Datenverarbeitung entfallen?
  2. Liegt eine gesetzliche Aufbewahrungspflicht vor?
  3. Wann läuft die Aufbewahrungsfrist aus?

Durch die Vielzahl von Datensätzen, die in einem Unternehmen bearbeitet, in regelmäßigen Backups gesichert und ggf. mit Einwilligung an Dritte weitergegeben werden, kann die praktische Umsetzung eines Löschkonzepts kompliziert sein. Denn die weitergegebenen Daten müssen, durch das Recht auf Vergessenwerden, genauso gelöscht werden wie alle Daten in verschiedenen Tabellen. Der Datenschutzbeauftragte bzw. datenschutzrechtlich Verantwortlicher hat daher laufend zu überprüfen, ob Löschungspflichten, Aufbewahrungspflichten und -fristen bestehen.

Löschung von Daten im Arbeitsrecht

Auch nach der Kündigung eines Mitarbeiters spielt der Datenschutz eine wichtige Rolle. Du darfst personenbezogene Daten nur so lange speichern bzw. verarbeiten, wie es der für sie vorhergesehene Zweck erfordert. Mit einer Kündigung bzw. der Beendigung des Arbeitsverhältnisses entfällt dieser Zweck, sodass ein Löschanspruch besteht.

Dennoch gibt es für dich als Arbeitnehmer Ausnahmen, aufgrund derer du personenbezogene Daten nicht unverzüglich nach dem Ende der Anstellung löschen musst bzw. darfst. Diese Gründe sind zum Beispiel:

  1. die Bundesabgabenordnung, nach der steuerrechtlich relevante Daten mindestens 6 Jahre lang aufbewahrt werden müssen;
  2. das Arbeitszeugnis, auf das Mitarbeiter bis zu 3 Jahre nach Beendigung des Arbeitsverhältnisses Anspruch haben;
  3. betriebliche Altersversorgungszusagen, in denen Daten bis zu 30 Jahre lang behalten werden dürfen oder
  4. im Falle eines Rechtsstreits, in denen personenbezogene Daten in Hinblick auf mögliche Schadensersatzansprüche bis zu 3 Jahre lang verwahrt werden können.

 

Arbeitsrecht-Paket Light

Festpreise schon ab 49,90 Euro* Euro/Monat
  • Große Auswahl an Vorlagen, Checklisten und Anleitungen
  • Dokumente immer auf dem aktuellen rechtlichen Stand, z.B. Arbeitsverträge, Arbeitszeugnisse
  • Kompetente Beratung zu arbeitsrechtlichen Dokumenten
  • Individuelle Beratung zu arbeitsrechtlichen Fragen
  • Anwaltliches Erstgespräch zu deinen individuellen Fragen
Mit einem Experten sprechen Jetzt buchen
Arbeitsrecht-Paket Light

Arbeitsrecht-Paket Pro

Festpreise schon ab 59,90 Euro* Euro/Monat (nach Mitarbeiterzahl)
  • alle Vorteile des Arbeitsrecht-Pakets Light
  • Außergerichtliche Vertretung bei arbeitsrechtlichen Streitigkeiten
  • Schriftliche und telefonische Kommunikation mit dem Gegner/Rechtsanwalt
  • Außergerichtliche Vergleichs- und Kündigungsverhandlungen
  • Vertretung gegenüber dem Betriebsrat
Mit einem Experten sprechen Jetzt buchen
Arbeitsrecht-Paket Pro

 

Dein Löschkonzept per Checkliste

Um beim Umgang mit personenbezogenen Daten alles richtig zu machen, empfehlen wir dir, dich an eine Checkliste zu halten. Denn es gibt keine gesetzlichen Vorgaben dazu, wie ein Löschkonzept genau aussehen soll. In diesen Schritten gelangst du zu deinem eigenen Löschkonzept:

  1. Bestimme die Datenkategorien und Aufbewahrungsfristen.

    1. Bestimme die Datenarten.
    2. Fasse die Datenarten in Löschklassen zusammen. Diese fassen mehrere Datenarten zusammen und definieren, wann welche Arten zu löschen sind.
    3. Definiere die Besonderheiten der Daten, z. B. besondere Kategorien von personenbezogenen Daten.
    4. Formuliere die Aufbewahrungspflichten, z. B. 3 Jahre für Arbeitszeugnisse oder 30 Jahre für Unterlagen bzgl. Versorgungsansprüchen.
    5. Verzeichne den Beginn der Aufbewahrungsfrist und berechne das Ende.
    6. Lege den Zeitraum fest, an dem die Daten gelöscht werden müssen.

2. Wäge Lösch- und Aufbewahrungsinteressen ab.

  1. Unter bestimmten Umständen besteht ein berechtigtes Interesse an der Archivierung von personenbezogenen Daten.

3. Definiere Löschregeln für die verschiedenen Datenarten.

  1. Für die von dir erstellte Datengruppe musst du jeweils einen Zeitraum festlegen, wann die Daten gelöscht bzw. vollständig vernichtet werden müssen.
  2. Insofern es eine gesetzliche Aufbewahrungsfrist gibt, musst du diese vor den Datenschutzgesetzen wahren.

4. Hinterlege die Löschregeln in IT-Systemen.

  1. Zum besseren Nachvollziehen und automatisieren von Prozessen solltest du die Löschregeln in IT-Systeme hinterlegen.

5. Lege den Schutzbedarf anhand der DIN 66398 fest.

  1. Du bestimmt, wie schutzbedürftig die Datenarten der verschiedenen Löschklassen sind. Beispielsweise ist eine Personalakte höher schutzbedürftig als eine geschäftliche E-Mail. Das ist vor allem zu berücksichtigen, wenn du einen professionellen Entsorgungsbetrieb mit der Datenvernichtung beauftragst.

6. Definiere Verantwortlichkeiten bzw. verantwortliche Personen.

  1. Lege fest, wer für die Löschung der personenbezogenen Daten und für die Dokumentation dieses Vorgangs verantwortlich ist.
  2. Im Optimalfall gibt es nicht nur einen einzigen Verantwortlichen, sondern ein Freigabeverfahren, in welchem mehrere Personen die Löschklassen und das Löschverfahren überprüfen.

7. Lösche die Daten und dokumentiere alle Tätigkeiten.

  1. Erstelle klare Vorgaben für die Löschung der Daten und Dokumentation des Löschvorgangs.
  2. Jeder Löschvorgang muss im Löschprotokoll als Tätigkeit aufgeführt werden.



tip

Unser Tipp

Zur Erstellung eines Löschkonzepts kannst du dich an der DIN 66398 orientieren. Es handelt sich dabei um die ‘Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten‘. Die Leitlinie beschreibt Elemente des Konzepts, empfiehlt eine Dokumentationsstruktur und schlägt dir außerdem eine Vorgehensweise zur Definition von Löschregeln vor.

 

Fazit zum Löschkonzept

Besonders von dir als Unternehmer und Arbeitgeber wird ein achtsamer Umgang mit dem Datenschutz erwartet. Nicht nur, um Abmahnungen und Bußgelder zu vermeiden, sondern auch, um Verbraucher und potenzielle Kunden von deiner Seriosität zu überzeugen. Dazu zählt nicht nur, personenbezogene Daten verantwortungsbewusst und zweckgebunden aufzunehmen, sondern diese auch wieder zu löschen. Mit einem Löschkonzept behältst du dabei nicht nur den Überblick über die zu löschenden Daten, sondern kannst ihre Löschung auch immer belegen.

Das könnte dich auch interessieren

  1. Informationspflichten nach DSGVO
  2. Auskunftspflichten nach DSGVO
  3. Betroffenenrechte nach DSGVO
  4. Datenschutzgesetz & Personenbezogene Daten
  5. Datenschutz & Newsletter nach DSGVO

* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer, zahlbar als Jahresbetrag.

 

 
hb-iconset-hb-logo
Alles für Online-Händler

Du willst im E-Commerce Erfolge feiern? Mit unseren Lösungen unterstützen wir dich als Online-Händler bei den täglichen Herausforderungen des E-Commerce.

E-Commerce-Lösungen entdecken
hb-iconset-rechtsberatung
Rechtsberatung vom Profi

Du hast rechtliche Fragen? Wir beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen dir bei rechtlichen Fragen gern zur Seite.

Zur Rechtsberatung
hb-iconset-video-audio-1
Mehr Tipps gibt es auf YouTube

Der Händlerbund YouTube-Kanal hält noch viele weitere Informationen und Tipps bereit, um das Thema Online-Handel erfolgreich und rechtssicher zu gestalten.

Praxistipps entdecken