Zum Inhalt springen Zur Navigation springen
Das Löschkonzept – Webinar und Erfahrungen aus der Praxis

Das Löschkonzept – Webinar und Erfahrungen aus der Praxis

Erst vor einer Woche fand das IAPP KnowledgeNet-Webinar zum Thema Implementierung eines Löschkonzeptes im Unternehmen statt. Für all diejenigen, die es verpasst haben oder nicht daran teilnehmen konnten, folgt nun ein kleiner Erfahrungsbericht sowie hilfreiche Praxistipps.

Warum ein Webinar und warum das Thema Löschkonzept?

Die Corona-Epidemie hat von uns allen so einige Pläne durchkreuzt und verlangte vor allem Flexibilität. Normalerweise hätte diese IAPP-Veranstaltung lediglich in kleiner Runde in den Hamburger Räumlichkeiten der intersoft consulting services AG stattgefunden. Diese Veranstaltungen dienen dem regen Erfahrungs- und Wissensaustausch im Bereich Datenschutz.

Spätestens seit dem Bußgeldbescheid gegen Deutsche Wohnen SE wurde allen klar, dass man sich dem Thema Löschkonzept widmen muss. Obwohl auch schon nach altem BDSG eine solche Pflicht zur Löschung personenbezogener Daten bestand, fristete dieses Thema eher ein Schattendasein und nur wenige Unternehmen hatten sich damit intensiver auseinandergesetzt. Nach diesem Bußgeldbescheid stieg nun aber die Anfrage in der datenschutzrechtlichen Beratung. Aber auch die Datenschutzbeauftragten haben nur selten praktische Erfahrung hierzu bislang gesammelt. Wer aussagekräftige Handreichungen oder Ähnliches sucht, wird leider auch nicht wirklich fündig. Mit diesem Webinar sollte ein erster Erfahrungsaustausch stattfinden, der allen Berater zukünftig helfen soll.

Aufgrund der Wichtigkeit dieses Themas entschlossen wir uns daher, das Treffen als Webinar stattfinden zu lassen, anstatt es noch weiter zu verschieben.

Wie lief das Webinar ab?

Das Webinar wurde von Herrn Dr. Nils Haag eingeleitet und moderiert. Frau Nicola Unger und ich referierten dann zu dem Thema Implementierung eines Löschkonzeptes jeweils aus unterschiedlichen Blickwinkel. Frau Unger berichtete aus Sicht des internen Datenschutzbeauftragten, wie sich das internationale Unternehmen Beiersdorf AG dem Thema gewidmet hat. Sie musste sich glücklicherweise nicht alleine dem Thema stellen, sondern konnte in einem Team daran arbeiten. Da die vielen Tochterunternehmen unterschiedlichen nationalen Bestimmungen unterliegen und sich daher nicht alle Aufbewahrungsfristen decken, spielte die Berücksichtigung des internationalen Kontextes eine sehr große Rolle bei der Bearbeitung. Aber auch die Unterschiede zwischen „perfect world“ und „real world“ mussten sie meistern, weil nicht alle theoretischen Überlegungen zum Thema Löschkonzept technisch realisierbar sind.

Ich wiederum teilte meine Erfahrungen aus der Brille des externen Datenschutzbeauftragten mit und fokussierte hierbei insbesondere die Herangehensweise im Sinne des Projektmanagements. In meinem morgigen Blogartikel werde ich nochmal die typischen Hürden bei der Erstellung eines Löschkonzeptes kurz zusammenfassen.

Fragen der Teilnehmer

Während der Vorträge hatten die rund 400 Teilnehmer die Möglichkeit, ihre Fragen zum Thema Löschkonzept zu stellen. Auch hier zeigte sich wieder der Bedarf an Beratung und Wissensaustausch, denn die Anzahl an Fragen war sehr hoch. Auf einige wurde bereits in der Frage-Antwort-Runde nach den Vorträgen eingegangen. Nachfolgend möchte ich nun noch weitere Fragen kurz beantworten:

Wie erfolgt die Abstimmung mit den Fachabteilungen?

Es bedarf einer guten Abstimmung zwischen dem Datenschutzbeauftragten, den Fachbereichen und dem sonstigen Projektbeteiligten. Eine Methode wäre es, mit allen Abteilungen einzeln und vor Ort die Löschkonzepte zu erstellen. Hierfür muss dem Beteiligten aber sehr viel Arbeitszeit eingeplant werden. Besser ist es wohl, den Fachbereichen Fragekataloge mit Erläuterungen, Arbeitsanweisungen und Mustervorlagen zu erstellen und diese von den Fachabteilungen zunächst selbständig ausfüllen zu lassen. Bei komplizierten Themen bietet sich ein Workshop an. Die Fachabteilungen überreichen dann die ausgefüllten Blätter und der Datenschutzbeauftragte kontrolliert diese auf Schlüssigkeit und Vollständigkeit. Der Datenschutzbeauftragte oder Projektverantwortliche sollte während des gesamten Projektes für Fragen erreichbar sein.

Zu welchem Zeitpunkt sollte die IT-Abteilung eingebunden werden?

Die IT-Abteilung sollte so früh wie möglich eingebunden werden, da diese am Ende die technische Umsetzung vornehmen muss. Einerseits vermeidet man dadurch, dass ein technisch nicht umsetzbares Konzept erstellt wird, welches in einem weiteren Durchlauf nochmal intensiv überarbeitet werden muss. Andererseits können so schneller Probleme und Hindernisse entdeckt werden und nach entsprechenden Lösungen gesucht werden.

Werden die Themen „Anonymisierung“ und „sukzessive Berechtigungseinschränkungen“ ebenfalls im Löschkonzept erörtert?

Unbedingt! Das Unternehmen muss für sich entscheiden, ob man eine Anonymisierung anstatt der Löschung vornehmen möchte, da letzteres mit anderen Risiken verbunden ist. Aber auch die Fragen, wann werden Daten archiviert und wer hat darauf Zugriff, müssen aufgrund der teilweise langen Aufbewahrungsfristen thematisiert werden. Um das Löschkonzept nicht zu sehr aufzublähen, kann man die Themen Archivierung und Berechtigungskonzept „ausklammern“ und in separaten Dokumenten behandeln. Hierbei dürfen aber keine Widersprüche zwischen den Dokumenten entstehen.

Auf wie viel Widerstand stößt man innerhalb des Unternehmens?

Hier kann ich nur über eigene Erfahrungen berichten. Natürlich gibt es einzelne Abteilungen oder Mitarbeiter, die dem Thema Löschkonzept mit Argwohn entgegenstehen. Sie sorgen sich entweder darüber, dass wichtige Daten zu früh gelöscht werden und dadurch ihre Arbeit beeinträchtigt wird. Oder aber sie fürchten sich vor dem Arbeitsaufwand der mit der Erstellung und Umsetzung eines Löschkonzeptes verbunden ist. Die erste Sorge lässt sich gut entkräften, indem man eng mit den Fachabteilungen zusammenarbeitet und sich bei der Festlegung der Fristen abstimmt. Der Arbeitsaufwand ist aber leider nicht vermeidbar. Auf lange Sicht hilft jedoch ein Löschkonzept, Unsicherheiten bei den Mitarbeitern zu beseitigen. Ebenso erleichtern automatisierte Löschroutinen den Arbeitsalltag.

Was gilt es im Umgang mit Auftragsverarbeitern zu beachten?

Auch wenn ein Auftragsverarbeiter eingesetzt wird, muss der Verantwortliche die datenschutzkonforme Löschung der Daten gewährleisten. Daher müsste der Verantwortliche auch vorschreiben, wie und wann die Daten zu löschen sind. Es müssen daher auch für diese Verarbeitungstätigkeiten ein Löschkonzept erstellt werden. Hierauf sollte im Optimalfall bereits bei der Auswahl des Auftragsverarbeiters geachtet werden. Wenn der Verantwortliche feststellt, dass der Auftragsverarbeiter die Daten des Verantwortlichen nicht datenschutzkonform löscht, dann wäre ein Wechsel des Auftragsverarbeiters die einzig logische Konsequenz. Man kann ihn auch behalten, muss sich aber natürlich der Risiken von Sanktionen und Schadensersatzansprüchen bewusst sein.

Waren das schon alle Fragen?!

Tatsächlich gab es noch weitere Fragen. Soweit jemand seine Frage weiterhin als unbeantwortet erachtet, bitte ich um Nachsicht. Weder das Webinar noch Blogartikel können alle – teilweise sehr spezifischen – Fragen beantworten. Manches kann nur konkret am Einzelfall geprüft werden, sodass es einer individuellen Beratung bedarf.

Wir unterstützen Sie auch individuell bei der Implementierung eines Löschkonzeptes im Unternehmen. Sprechen Sie uns gerne an.

…to be continued

Das Webinar war für mich als Referentin ein voller Erfolg. Dies nicht nur, weil so viele Personen daran teilgenommen haben. Auch die hohe Anzahl an Fragen und das positive Feedback zeigten mir, dass einerseits tatsächliches Interesse am Thema bestand und andererseits, dass wir einigen Personen helfen konnten, Unsicherheiten und Wissenslücken zum Bereich Löschkonzept zu schließen. Umso mehr freut es mich, dass wir dieses neue Format genutzt haben und dadurch viel mehr Teilnehmer als ursprünglich geplant erreichen konnten.

Es überrascht daher wohl nicht, wenn ich bereits jetzt verrate, dass auch zukünftige weitere Webinare stattfinden werden. Um keins zu verpassen, empfehle ich daher entweder die fleißige Lektüre unserer Blogbeiträge oder aber das Abonnieren unseres Newsletters.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Da internationale Konzerne meist ähnlich von „spielte die Berücksichtigung des internationalen Kontextes eine sehr große Rolle bei der Bearbeitung“ betroffen sind, suche ich schon länger nach einem sinnvollen Clustering und Zuordnung von Fristen bezüglich Aufbewahrung.

    Neben den technischen Aspekten liegt hier der Hund begraben, v. a. aufgrund der Komplexität. Ich konnte zeitlich nicht teilnehmen, aber wurde diese mühsame Kleinarbeit bereits erledigt, sprich die Zuordnung von konkreten Fristen einzelner Länder zu Kategorien wie z. B. Steuerrecht? Das so etwas unentgeltlich verteilt wird ist auch nicht das Ansinnen, aber diese Aufgabe jedem int. tätigen Unternehmen selbst zu überlassen halte ich für hoch ineffizient…

    • Ihr Ansinnen ist absolut verständlich. Leider ist uns eine entsprechende Veröffentlichung noch nicht bekannt. Man findet für die deutschen Regelungen einige Übersichten. Hinsichtlich der Aufbewahrungsfristen für andere Staaten müsste man wohl aber in der entsprechenden Landessprache die Suche aufnehmen, um fündig zu werden.
      Da ein solche arbeits- und zeitintensive Aufbereitung ein „wahrer Schatz“ darstellt, wird dieser wohl auch nur ungern geteilt. Je mehr Unternehmen sich diesem Thema stellen, umso eher wird wohl ein solcher internationaler Löschfristenkatalog – jedenfalls entgeltlich – veröffentlicht werden. Bis dahin muss man diese Arbeit allein erledigen oder bei internationalen Geschäftspartner um Unterstützung bitten.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.