News
🗑️Daten löschen – aber richtig!
aten von Kunden oder Mitarbeitern müssen gelöscht werden, wenn keine Rechtsgrundlage nach der DS-GVO mehr besteht, die dem Unternehmen das Verwenden der personenbezogenen Daten weiterhin erlaubt. Eine unbegrenzte Speicherung ist aber nicht zulässig und stellt einen Datenschutzverstoß dar. Solange Daten im Unternehmen noch benötigt werden und es eine Rechtsgrundlage gibt, die ihre Verarbeitung für diesen Zweck erlaubt, dürfen die Daten gespeichert bleiben.
Irgendwann müssen Daten jedoch gelöscht werden. Damit das Löschen funktioniert, muss das Unternehmen festlegen, wie lange Daten aufbewahrt werden dürfen und wann sie zu löschen sind. Eine solche Übersicht nennt man Löschkonzept. Wenn Daten gelöscht werden, die noch benötigt werden oder eigentlich aufgehoben werden müssen, kann auch das einen Datenschutzverstoß darstellen.
🔒 Was bedeutet „Löschen“?
Löschen bedeutet, personenbezogene Daten dauerhaft und unumkehrbar unkenntlich zu machen. Das wird auch erreicht, wenn der Personenbezug aufgehoben wird, sodass kein Rückschluss auf die Person mehr möglich ist.
Geeignete Maßnahmen:
• Vernichtung von Papierdokumenten und Datenträgern durch zertifizierte Aktenvernichter oder Schredder mit einer geeigneten Sicherheitsstufe
• Löschung digitaler Daten mittels spezieller Löschprogramme
• Anonymisierung als unumkehrbare Veränderung von Daten, z. B. für statistische Zwecke, bei denen identifizierende Angaben wie Namen entfernt werden und nur Merkmale wie Geschlecht oder Wohnort bestehen bleiben (etwa „weiblich, München“) und eine Identifizierung von Personen daher nicht mehr möglich ist
Nicht ausreichend:
• Bloßes Verschieben in den Papierkorb
• Nutzung der Löschtaste in Programmen
• Einfaches Überschreiben oder Formatieren von Datenträgern
• Pseudonymisierung: Ersetzen von Daten durch Kennzeichen oder Code, die mit Zusatzwissen wieder in Klartext zurückverwandelt werden können
📚 Aufbewahrungsfristen: Speicherpflicht und Speicherrecht
Wenn die Daten für den ursprünglich Zweck, z.B. die Durchführung eines Vertrages, nicht mehr gebraucht werden, weil der Vertrag erfüllt wurde, können sie dennoch weiter aufbewahrt werden, wenn:
• das Unternehmen ein Speicherrecht hat, etwa um sich innerhalb von Verjährungsfristen noch gegen mögliche Ansprüche verteidigen zu können und dafür die Daten benötigt
• eine gesetzliche Aufbewahrungsfrist besteht, die vorschreibt, dass bestimmte Daten für einen festgelegten Zeitraum aufzubewahren sind
⏳ Löschfristen
Die Löschfrist ist der Zeitraum, für den personenbezogene Daten im Unternehmen gespeichert bleiben und nach Ablauf der Frist gelöscht werden. Das Unternehmen legt diese Löschfrist jeweils für die verschiedene Daten im Unternehmen selbst fest.
Die Löschfrist setzt sich zusammen aus dem Zeitraum, für den die Daten aufgrund von Rechtsgrundlagen genutzt werden dürfen (Speicherrechte) und eventuell bestehender gesetzlicher Aufbewahrungsfristen (Speicherpflichten).
Zwischen Ablauf der Löschfrist und der tatsächlichen Löschung sollten nicht mehr als sechs Monate liegen.
📅 Steuerrechtliche Aufbewahrungsfristen
Die meisten gesetzlichen Aufbewahrungsfristen kommen aus dem Steuerrecht. Sie geben an, wie lange Daten aufbewahrt werden müssen. Die Fristen beginnen in der Regel mit dem Ablauf des Kalenderjahres, in dem die letzte Änderung oder Handlung in den jeweiligen Unterlagen vorgenommen wurde.
📝 Dokumentationspflicht
Damit ein Unternehmen z.B. bei einer Prüfung der Aufsichtsbehörde für den Datenschutz nachweisen kann, dass es der Pflicht zur Löschung von Daten ordnungsgemäß nachkommt, sollte jedes Unternehmen ein Löschkonzept führen. Darin wird festgehalten, wie lange die im Unternehmen verarbeiteten Daten aufbewahrt werden und wie die Löschung am Ende durchgeführt wird.
Zudem sollte die tatsächliche Vernichtung dokumentiert werden. Nur so kann das Unternehmen belegen, wann beispielsweise Finanzunterlagen eines bestimmtes Jahres vernichtet wurden. Bei der Dokumentation sollten selbstverständlich keine neuen Daten generiert werden.
🔜 Im Slide findest du hierzu alle Infos.
✨ Ich hoffe, die Informationen haben dir weitergeholfen!
Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz
👉 Folge uns für regelmäßige Updates.
Eure Melissa 💙
#comforit #dorfen #kmu #mittelstand #DSGVO #Datenlöschung
Irgendwann müssen Daten jedoch gelöscht werden. Damit das Löschen funktioniert, muss das Unternehmen festlegen, wie lange Daten aufbewahrt werden dürfen und wann sie zu löschen sind. Eine solche Übersicht nennt man Löschkonzept. Wenn Daten gelöscht werden, die noch benötigt werden oder eigentlich aufgehoben werden müssen, kann auch das einen Datenschutzverstoß darstellen.
🔒 Was bedeutet „Löschen“?
Löschen bedeutet, personenbezogene Daten dauerhaft und unumkehrbar unkenntlich zu machen. Das wird auch erreicht, wenn der Personenbezug aufgehoben wird, sodass kein Rückschluss auf die Person mehr möglich ist.
Geeignete Maßnahmen:
• Vernichtung von Papierdokumenten und Datenträgern durch zertifizierte Aktenvernichter oder Schredder mit einer geeigneten Sicherheitsstufe
• Löschung digitaler Daten mittels spezieller Löschprogramme
• Anonymisierung als unumkehrbare Veränderung von Daten, z. B. für statistische Zwecke, bei denen identifizierende Angaben wie Namen entfernt werden und nur Merkmale wie Geschlecht oder Wohnort bestehen bleiben (etwa „weiblich, München“) und eine Identifizierung von Personen daher nicht mehr möglich ist
Nicht ausreichend:
• Bloßes Verschieben in den Papierkorb
• Nutzung der Löschtaste in Programmen
• Einfaches Überschreiben oder Formatieren von Datenträgern
• Pseudonymisierung: Ersetzen von Daten durch Kennzeichen oder Code, die mit Zusatzwissen wieder in Klartext zurückverwandelt werden können
📚 Aufbewahrungsfristen: Speicherpflicht und Speicherrecht
Wenn die Daten für den ursprünglich Zweck, z.B. die Durchführung eines Vertrages, nicht mehr gebraucht werden, weil der Vertrag erfüllt wurde, können sie dennoch weiter aufbewahrt werden, wenn:
• das Unternehmen ein Speicherrecht hat, etwa um sich innerhalb von Verjährungsfristen noch gegen mögliche Ansprüche verteidigen zu können und dafür die Daten benötigt
• eine gesetzliche Aufbewahrungsfrist besteht, die vorschreibt, dass bestimmte Daten für einen festgelegten Zeitraum aufzubewahren sind
⏳ Löschfristen
Die Löschfrist ist der Zeitraum, für den personenbezogene Daten im Unternehmen gespeichert bleiben und nach Ablauf der Frist gelöscht werden. Das Unternehmen legt diese Löschfrist jeweils für die verschiedene Daten im Unternehmen selbst fest.
Die Löschfrist setzt sich zusammen aus dem Zeitraum, für den die Daten aufgrund von Rechtsgrundlagen genutzt werden dürfen (Speicherrechte) und eventuell bestehender gesetzlicher Aufbewahrungsfristen (Speicherpflichten).
Zwischen Ablauf der Löschfrist und der tatsächlichen Löschung sollten nicht mehr als sechs Monate liegen.
📅 Steuerrechtliche Aufbewahrungsfristen
Die meisten gesetzlichen Aufbewahrungsfristen kommen aus dem Steuerrecht. Sie geben an, wie lange Daten aufbewahrt werden müssen. Die Fristen beginnen in der Regel mit dem Ablauf des Kalenderjahres, in dem die letzte Änderung oder Handlung in den jeweiligen Unterlagen vorgenommen wurde.
📝 Dokumentationspflicht
Damit ein Unternehmen z.B. bei einer Prüfung der Aufsichtsbehörde für den Datenschutz nachweisen kann, dass es der Pflicht zur Löschung von Daten ordnungsgemäß nachkommt, sollte jedes Unternehmen ein Löschkonzept führen. Darin wird festgehalten, wie lange die im Unternehmen verarbeiteten Daten aufbewahrt werden und wie die Löschung am Ende durchgeführt wird.
Zudem sollte die tatsächliche Vernichtung dokumentiert werden. Nur so kann das Unternehmen belegen, wann beispielsweise Finanzunterlagen eines bestimmtes Jahres vernichtet wurden. Bei der Dokumentation sollten selbstverständlich keine neuen Daten generiert werden.
🔜 Im Slide findest du hierzu alle Infos.
✨ Ich hoffe, die Informationen haben dir weitergeholfen!
Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz
👉 Folge uns für regelmäßige Updates.
Eure Melissa 💙
#comforit #dorfen #kmu #mittelstand #DSGVO #Datenlöschung