Compliance-Lexikon · DSGVO
Loeschkonzept
auch: Aufbewahrungs- und Loeschkonzept, Retention Policy
Ein Loeschkonzept ist die systematische Dokumentation aller Aufbewahrungsfristen und Loeschregeln fuer personenbezogene Daten einer Organisation - abgeleitet aus gesetzlichen Aufbewahrungspflichten und dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1e DSGVO - mit technischer Umsetzung der fristgerechten Loeschung.
Warum ein Loeschkonzept Pflichtprogramm ist
Ohne dokumentiertes Loeschkonzept gibt es keine systematische Grundlage zu entscheiden, wann Daten geloescht werden muessen - Daten werden "auf Verdacht" unbegrenzt aufbewahrt, was sowohl gegen den Grundsatz der Speicherbegrenzung verstoesst als auch das Risiko und den Schaden im Falle einer Datenpanne erhoeht. DIN 66398 bietet eine anerkannte Methodik fuer den Aufbau eines vollstaendigen Loeschkonzepts.
Wo ein Loeschkonzept gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 5 Abs. 1e | Speicherbegrenzung: Daten duerfen nicht laenger gespeichert werden als fuer den Zweck erforderlich. |
| DSGVO | Art. 17 | Recht auf Loeschung: Loeschpflicht bei Wegfall des Verarbeitungszwecks oder auf Antrag. |
| HGB | § 257 | Handelsrechtliche Aufbewahrungsfristen: 6-10 Jahre fuer Geschaeftsunterlagen als Loeschgrenze. |
| AO | § 147 | Steuerrechtliche Aufbewahrungsfristen als gesetzliche Ausnahme von der sofortigen Loeschpflicht. |
| DIN 66398 | vollstaendig | Deutsche Norm fuer die Erstellung von Loeschkonzepten zur Umsetzung der DSGVO-Anforderungen. |
Haeufige Fehler
- Kein systematisches Loeschkonzept - Loeschungen erfolgen ad hoc oder gar nicht
- Gesetzliche Aufbewahrungsfristen und tatsaechliche Loeschpraxis stimmen nicht ueberein
- Backups und Archivsysteme nicht in das Loeschkonzept einbezogen
- Keine technische Automatisierung der fristgerechten Loeschung
Aufbau eines vollstaendigen Loeschkonzepts
Ein Loeschkonzept nach DIN 66398 definiert fuer jede Datenkategorie: die Rechtsgrundlage der Aufbewahrung, die konkrete Aufbewahrungsfrist, den Loeschzeitpunkt (z.B. Ende des Kalenderjahres plus Fristdauer) und das technische Loeschverfahren. Besondere Aufmerksamkeit verdienen Backups, die haeufig laenger als die Produktivdaten aufbewahrt werden, und Drittsysteme wie CRM oder Marketing-Tools, die eigene Loeschmechanismen benoetigen.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DSGVO-Bereitschaft.