Welche Regeln gelten bei einem Löschkonzept bzgl. Archive und Backups?
Welche Vorschriften gelten für ein Löschkonzept?
Art. 17 DSGVO regelt die Löschung von Daten.
Diese Punkte sollten in einem Löschkonzept berücksichtigt werden:
- Nennung der Kategorien der Daten (Kundendaten, Mitarbeiterdaten, Kooperationspartner etc.)
- Datenart bzw. verarbeitete Daten, z.B. E-Mail-Adressen bei Werbung
- Rechtsgrundlage der Aufbewahrung
- Aufbewahrungszeit
- Löschfristen
- Nennung der unterschiedlichen Systeme (personenbezogene Daten in Back-Ups, Mailinglisten, Exceltabellen etc.)
- Klärung der Weitergabe von Daten
- Bestimmung eines Beauftragten, der sich um Löschung kümmert
- Dokumentation (Rechenschafts- und Dokumentationspflichten der DSGVO)
Gibt es ein Muster für ein gutes Löschkonzept?
Es gibt kein universelles Muster für ein Löschkonzept.
Jedes Löschkonzept ist unternehmensspezifisch, und kann auch je nach Abteilung sehr unterschiedlich aussehen.
LiiDU-Tipp:
Löschkonzept Schritt für Schritt in einer Excel-Tabelle erstellen:
Alle Punkte der vorherigen Folie Punkt für Punkt durchgehen und sich von Unternehmensbereich zu Unternehmensbereich vorarbeiten.
Wie ist der richtige Umgang mit Archiven und Backups?
- Datenkopien (aus Datensicherung) sind bei der Löschung zu berücksichtigen
- Wenn Daten im normal verwendeten System gelöscht werden, müssen sie zeitnah auch im Backup und weiteren Sicherungsmedien gelöscht werden (Aber: Abwägung mit Art. 32 DSGVO vornehmen!)
- alle Daten in Sicherungskopien (USB-Sticks, externe Festplatten, Cloud etc.) sind ebenfalls zu vernichten
- Für das Löschkonzept ist eine klare Unterscheidung zwischen Archiven und Sicherungskopien notwendig
- Archive: dienen dazu, Daten langfristig vorzuhalten
- Sicherungskopien bzw. Backups: werden zur Wiederherstellung nach Störungen benötigt
- personenbezogenen Daten in Archiven unterliegen den Löschregeln der jeweiligen Datenkategorie
- Für die Löschung von Sicherungskopien müssen eigene Fristen festgelegt werden
Stand: 25.05.2022