1von32

Merkblatt:LöschkonzeptundLöschfristen

__________________________________________________________________________________

I. NutzeneinesLöschkonzepts

EinLöschkonzeptderhiervorgeschlagenenArthatfüreineverantwortlicheStellevielfältigenNutzen:

§ EsdientdemSchutzderBetroffenenimSinnedesRechtsaufinformationelleSelbstbestimmung.

§ DieverantwortlicheStellekannbelegen,dasssieMaßnahmendefiniertundumgesetzthat,umihredatenschutzrechtlichenPflichtenzurLöschungDatenzuerfüllen.

§ DieUmsetzungvonLöschfristenerfordert,dassProzessabläufevollständigbiszumAbschlussgeklärtwerden.UnklareProzessewerdengeklärt,aufwändigeAbläufegegebenenfallseffizientergestaltet.

§ DieDatenhaltungwirdsystematisiertundkonsolidiert,weilauchAltbestände indieLöschungeinbe-zogenwerdenmüssenunddiesedadurchbereinigtwerden.DadurchkönnenauchderAufwandunddieKostenfürDatenmigrationenbeiSystemwechselnerheblichreduziertwerden.

§ DurchdieBereinigungvonDatenbeständenunddasAuflösenunnötigerRedundanzkönnenKostenimIT-Betriebgesenktwerden.

§ DadasLöschkonzeptSoll-VorgabenfürdieLöschungvonDatenbeständenmacht,könnendarausmit

geringemAufwandPrüfbedingungenfürAuditsabgeleitetwerden.

§ Durchdie systematischeErfassungderpbDundder Löschprozesse indenSystemenerhält derVer-antwortlichefürDatenschutzwertvolleDetailinformationenalsErgänzungzumbetrieblichenVerfah-rensverzeichnis.

§ NichtzuletztverbessertdieDiskussionumLöschregelnunddiekonstruktiveGestaltungvonGeschäfts-undIT-ProzessendieVerankerungdesDatenschutzesinnerhalbderverantwortlichenStelle.

InderLeitliniewerdenauchzentraleBegriffedefiniert,dieindenDiskussionenumLöschregelnbenötigtwer-den. Sie erleichtern die Verständigung zwischen fachlichen Anwendern,IT-Verantwortlichen, Systementwick-lern,Management,VerantwortlichenfürdenDatenschutzundanderenBeteiligten.

II. AnwendungsbereichePrimärer Anwendungsbereich desMerkblattes ist die Entwicklung eines Löschkonzeptsmit Löschregeln undderenUmsetzungdurcheineverantwortlicheStelle.DieUmsetzungsvorgabenfüreineregelgerechteLöschungvonpbDinIT-SystemenkönnenbereitsbeiderKon-zeptionvonGeschäftsprozessenhilfreichsein.FürSystementwicklungs-undSystembeschaffungsprozessekön-nenausihnenLöschanforderungendefiniertwerden.DieLeitliniegibtzudemSoftware-HerstellernHinweisedarauf,wieIT-SystemedieAufgabenderLöschungper-sonenbezogenerDatendurchverantwortlicheStellenunterstützenkönnen.WenndieHerstellerentsprechen-deFunktionenindieIT-Produkteaufnehmen,tragensiezumrechtskonformenDesignbei(„PrivacybyDesign“).DarüberhinausbietetdieLeitlinieeineGrundlage,umMuster-KatalogemitLöschklassenentsprechendnatio-naler, supranationaler oder branchenspezifischer Rechtsvorgaben zu entwickeln. Liegen solche Kataloge vor,kannderAufwandfürdieErstellungdesLöschkonzeptsdurchdieverantwortlicheStelleweiterverringertwer-den.

2von32

III. GegenstandderLeitlinieIn einem Löschkonzept legt eine verantwortliche Stelle fest,wie sie die datenschutzrechtlichenPflichten zurLöschungvonpbDerfüllt.DieLeitliniebeschreibt,wieeinsolchesLöschkonzeptetabliertwerdenkann.Dazugehören:

§ Vorgehensweisen,durchdieLöschregelnfürpersonenbezogeneDatenbeständefestgelegtwerden,

§ eineÜbersicht über notwendigeUmsetzungsvorgaben zur Löschung innerhalb der verantwortlichenStelle,

§ VorschlägefürdieDokumentationsstrukturund

§ Anforderungen an Prozesse undVerantwortung für die Etablierung, Fortschreibung undUmsetzung

desLöschkonzepts.

IV. Abgrenzung

DieLeitlinielegtkeinekonkretenLöschregelnundLöschfristenfest.DiesehängenvondenjeweilseinschlägigenRechtsvorschriftenunddenzulässigenZweckenderVerarbeitungdurchdiejeweiligeverantwortlicheStelleab.AuchdieRechtsvorgabenselbst,beispielsweisederEUodernationaleGesetze,sindnichtGegenstandderLeit-linie.InderLeitliniewerdenauchkeineAussagendazugetroffen,unterwelchenUmständenDatenbeständealsanonymisiertgelten,deshalbnichtmehrunterdieDatenschutzregelnfallenunddaherweitergespeichertwer-dendürfen.TechnischeMechanismendes Löschens sind ebenfalls nichtGegenstanddie Leitlinie, beispielsweise Löschendurch Überschreiben von Attributen, Löschen von Datensätzen oder löschen ganzer Tabellen oder Dateien.AuchFragen,diedieSicherheitvonMechanismenzumLöschenvonDatenoderVernichtenvonDatenträgernbetreffen,werdennichtbetrachtet.DieseLeitliniebeziehtsichnuraufdasLöschenpersonenbezogenerDaten.Daten,diekeinenPersonenbezugaufweisen,werdeninderLeitlinienichtbetrachtet.AllerdingskanndieVorgehensweisegrundsätzlichauchaufsolcheDatenbeständeübertragenwerden.

V. BegriffeundDefinitionenAnonymisierenProzess,durchdenpbDsoverändertwerden,dassderBetroffenenichtmehrdirektoderindirektidentifiziertwerdenkann.ANMERKUNG1:Um pbD zu anonymisieren,werden beispielsweise einzelne Attribute eines Datenobjekts gelöscht der über-schrieben,diedieZuordnungzumBetroffenenermöglichen.DieverbleibendenDaten(fürdiederPersonenbe-zug aufgehoben wurde), fallen nicht mehr unter die Regeln des Datenschutzes und müssen demnachnichtmehrnachderenVorgabengelöschtwerden.IdentifizierendeAttributekönnenz.B.seinNameundGeburtsda-tum, Identifikationsnummern,biometrischeMerkmale,zugeordneteKontonummern,Telefonnumern,Steuer-nummern und dergleichen, Datenbankschlüssel, die auf Personen verweisen, oder auch eine KombinationmehrererodervielereinzelnerMerkmale,dieaufeineeinzelnePerson(odereinekleineGruppe)rückschließenlässt.ANMERKUNG2:Je nach den Vorgaben der einschlägigen Rechtvorschriften muss der Aufwand zur Wiederherstellung einesPersonenbezugsunverhältnismäßighochseinodererdarfgarnichtmöglichsein.[ISO29100]fordert,dassdieAnonymisierungirreversibelist.ANMERKUNG3:

3von32

Jenachdem,welcherDatenbestandnachderAufhebungdesPersonenbezugsnochvorhandenistundwelcheDatenfürdieWiederherstellungbenutztwerdenkönnen,könnensehrvielfältigeStrategienzurWiederherstel-lung des Personenbezugs greifen. So können z. B. Zeitpunkte bestimmter Ereignisse, Bewegungsprofile oderRechnungsbeträgeverwendetwerden,umKorrelationenzwischenDatenbeständenzubestimmenunddamitdenPersonenbezugwiederherzustellen.SolcheMöglichkeitenmüssenbereitsindenUmsetzungsvorgabenfürdieAufhebungdesPersonenbezugsberücksichtigtwerden.Datenbeständezuanonymisierenistdeshalbhäufigwesentlichschwieriger,alssie fristgerechtzu löschen. JenachUmsetzungkanndieAnonymisierungmöglich-erweise auch mit neuen Erkenntnissen oder neu verfügbaren Datenbeständen wieder rückgängig gemachtwerden.AufbewahrungsfristFrist,fürdieeineDatenartnachrechtlichenVorgabeninderverantwortlichenStelleverfüg-barseinmuss.ANMERKUNG:EineAufbewahrungsfristträgtzurVorhaltefristbei.BetroffenernatürlichePersonoderanderesSchutzsubjekt,aufdassichDatenbeziehen.ANMERKUNG:Datenschutzvorschriften können sich auch auf andere Schutzsubjekte als natürliche Personen beziehen, bei-spielsweise juristische Personen. In dieser Leitliniewird trotzdemdurchgängig nur vomBetroffenen gespro-chen.WerdenvondeneinschlägigenRechtvorschriftenandereSchutzsubjekteeingeschlossen,sindauchderenDatenimLöschkonzeptzuberücksichtigen.DatenartGruppevonDatenobjekten,diezueinemeinheitlichenfachlichenZweckverarbeitetwird.DatenbestandeineMengeanpersonenbezogenenDatenderverantwortlichenStelleDatenobjektSammelbezeichnungfürObjektewiez.B.Dateien,Dokumente,DatensätzeoderAttribute.ANMERKUNG:DatenobjektekönnenmitanderenDatenobjekten ineinerDatenart zusammengefasstwerden.DieeinzelnenDatenobjektekönnenunterschiedlichkomplexsein:soenthälteinDatenobjekt„DatensatzineinerDatenbank“mehrereDatenobjektevomTyp„Attribut“.DokumentSchriftstück,indemTeiledesLöschkonzeptsoderseinerUmsetzungbeschriebenwerden.ANMERKUNG:AlsDokumentwirdhiereinesderDokumenteverstanden,indenendieverantwortlicheStelledieFestlegungenihres Löschkonzepts trifft. Die Gruppe von Dokumenten, die das Löschkonzept bildet (siehe auch Löschkon-zept),darfnichtverwechseltwerdenmitDokumenten,diealsDatenobjekteTeileinesDatenbestandssindundLöschregelnunterworfenwerden.EinschlägigeRechtsvorschriftendiefüreinenspezifischenDatenbestandgeltendendatenschutzrechtlichenRegelungen.ANMERKUNG1:ZudeneinschlägigenRechtsvorschriftenzählenz.B.Gesetze,VerordnungenodervertraglicheRegelungen.DasichdieeinschlägigenRechtsvorschriftenländerspezifisch,nachDatenartenundverantwortlicherStelleunter-scheiden,führensiezuspezifischenLöschregeln.DieLeitliniegibtdahernureinenRahmenvor, indemdieseRegelnentwickeltundangewandtwerdenkönnen.

4von32

ANMERKUNG2:ZuRechtsvorschriftenzähleninDeutschlandbeispielsweiseauchBetriebs-oderDienstvereinbarungen.LöschenbehandelnvonpersonenbezogenenDatenderart,dasssienachdemVorgangnichtmehrvorhandenoderun-kenntlichsindundnichtmehrverwendetoderrekonstruiertwerdenkönnen.ANMERKUNG1:InderRegelist"sicheresLöschen"gefordert.SicheresLöschenmeint,dassderAufwandfürdieRekonstruktionderDatenunverhältnismäßighochistoderausphysikalischenGründenunmöglichist.ANMERKUNG2:WenndieeinschlägigenRechtsvorschriftendieszulassen,könnenpersonenbezogeneDatenauchanonymisiertwerden,stattsiezulöschen.SiehezudenAnforderungenandieAnonymisierungauchunterdemBegriff„ano-nymisieren“.LöschklasseKombinationausLöschfristundabstraktemStartzeitpunktfürdenFristlauf.ANMERKUNG:IneinerLöschklassewerdenalleDatenartenzusammengefasst,diedergleichenLöschfristunterlie-gen.ImUnterschiedzurLöschregelfüreineDatenartwirdinderLöschklassenuraufdenTypdesStartzeit-punkts,nichtaberaufeinekonkreteBedingungfürdenStartdesFristlaufsabgestellt.LöschkonzeptFestlegungen,mitdeneneineverantwortlicheStellesicherstellt,dassihrepersonenbezogenenDatenbeständerechtskonformgelöschtwerden.LöschregelKombinationausLöschfristundBedingungfürdenStartzeitpunktdesFristlaufs.PersonenbezogeneDaten(pbD)EinzelangabenüberpersönlicheodersachlicheVerhältnisseeinesBetroffenen.ANMERKUNG:HierwurdedieDefinitiondespersonenbezogenenDatumsnach§3Abs.1BDSGverwendet.FürdieEtablie-rungeinesbetrieblichenLöschkonzeptsistdieDefinitionnachdenjeweilseinschlägigenRechtsvorschriftenzuverwenden.Regellöschfrist(Löschfrist)Frist,nachdereineDatenartbei regulärerVerwendung indenProzessenderverantwortlichenStellespätes-tenszulöschenist.VerantwortlicheStellePersonoderStelle,diepersonenbezogeneDatenfürsichselbsterhebt,verarbeitetodernutztoderdiesdurchandereimAuftragvornehmenlässt.ANMERKUNG1:Hierwurde die Definition der verantwortlichen Stelle nach § 3 Abs. 3 BDSG verwendet. Für die EtablierungeinesLöschkonzeptsistdieDefinitionnachdeneinschlägigenRechtsvorschriftenzuverwenden.ANMERKUNG2:Die Leitlinie kann auch angewendet werden, wenn datenschutzrechtlich künftig das „Shared-Data-Konzept“zugelassenwird. IndiesemFallnutzenverschiedeneverantwortlicheStelleneinenDatenbestandgemeinsam.DieLöschungmussdannzwischendiesenStellenabgestimmtwerden,beispielsweisedadurch,dasseineStelledieKoordinationfürdieFestlegungderLöschregelnübernimmt.VerantwortlicherfürDatenschutz

5von32

PersoninderverantwortlichenStelle,dieaufdieEinhaltungdatenschutzrechtlicherAnforderungenhinwirkt.ANMERKUNG1:InDeutschlandistdiesregelmäßigderbetrieblicheDatenschutzbeauftragte.Wodiesernichtbestelltist,mussdieGeschäftsführungtrotzdemsicherstellen,dassdiedatenschutzrechtlichenAnforderungenerfülltwerden.Esistgrundsätzlichsinnvoll,dassinderverantwortlichenStelleeinAnsprechpartner(odereinTeam)mitDatenschutzkompetenzzurVerfügungsteht.DieserAnsprechpartnersolltedieAufgabenwahrneh-men,dieindieserLeitliniedemVerantwortlichenfürDatenschutzzugeordnetwerden.ANMERKUNG2:WelchekonkretenAnforderungenandieverantwortlicheStellebestehen,einenVerantwortlichenfürDatenschutzzubenennen,ergibtsichausdeneinschlägigenRechtvorschriftenundistaußerhalbdesGegen-standsderLeitlinie.VorhaltefristFrist,fürdieeineDatenartzurVerwendunginderverantwortlichenStelleverfügbarseinmuss.ANMERKUNG:NebenderAufbewahrungsfristtragenauchandereAnforderungenzurVorhaltefristbei.

VI. AbkürzungenAbb.-AbbildungAbs.-AbsatzAO-AbgabenordnungBDSG-BundesdatenschutzgesetzBFStrMG-BundesfernstraßenmautgesetzBGB-BürgerlichesGesetzbuchDIN-DeutschesInstitutfürNormunge.V.INS-InnovationendurchNormenundStandardsHGB-HandelsgesetzbuchISO-InternationalStandardizationOrganisationpbD-personenbezogeneDatenStGB-StrafgesetzbuchTKG-TelekommunikationsgesetzTMG-TelemediengesetzSecorvoSecurityConsultingGmbH

VII. GrundlageneinesLöschkonzeptsAllgemeinesDiese Leitlinie bezieht sich nur auf das Löschen vonpbD. Sie beschreibt,wie ein betriebliches LöschkonzeptetabliertwerdenkannundwelcheFestlegungendafürgetroffenunddokumentiertwerdenmüssen.DiesesKapitelstelltdieBausteineeinesLöschkonzeptsimÜberblickvor.IndenweiterenKapitelnwerdendieeinzelnenBausteinedetailliertbeschrieben.Das LöschenvonpbDmussdie jeweilsgemäßdereinschlägigenRechtsvorschriftenverantwortlicheStelle si-cherstellen.DasLöschendieserDatenstelltdieverantwortlicheStelleallerdingsvorvielfältigeHerausforderun-gen.FüreinedauerhafteUmsetzungvonLöschprozessen,diedengesamtenBestandanpbDeinerverantwort-lichenStelleabdecken, istdahereinstrukturiertesundgeregeltesVorgehenerforderlich.DieverantwortlicheStellemussdazuFestlegungentreffen,durchdieeinedatenschutzkonformeLöschungerreichtwird.DieFest-legungenmüssenumfassen,

§ welcheLöschregelnfürwelcheDatenbeständegelten,

§ wiedieausdenLöschregelndieUmsetzungderLöschunginProzessenderverantwortlichenStelleer-reichtwird,

6von32

§ wiedieLöschregeln,UmsetzungsvorgabenunddurchgeführtenLöschmaßnahmenzudokumentierensindund

§ wer für die aus dem Löschkonzept entstehenden Aufgaben der Umsetzung, Überprüfung und Fort-

schreibungverantwortlichist.DieseFestlegungenbildendasLöschkonzeptderverantwortlichenStelle.DieseLeitliniesolldiefolgendenZieleunterstützen:

§ DerRessourcenbedarfderBeteiligtensollnachMöglichkeitgeringgehaltenwerden.

§ Eswerden gemeinsameBegriffe für dieDiskussionen zwischenDatenschutzverantwortlichen, fachli-chenAnwendern,Administratoren,Software-EntwicklernundanderenBeteiligtenbereitgestellt.

§ EswerdenmöglichstwenigeundeinfacheLöschregelndefiniert.Dadurchsolldas Löschkonzeptvon

denBeteiligtenbesserverstandenwerden.DieLöschregelnsindaußerdembetrieblicheinfacherum-setzbar.

§ DerDynamikvonVeränderungenanGeschäftsprozessenundIT-SystemenwirdRechnunggetragen.

DieseFormderEffizienzkannnurerreichtwerden,wenndieKomplexitätdesLöschkonzepts imRahmendereinschlägigenRechtsvorschriften soweitwiemöglich reduziertwird.Andernfalls drohtdie EntwicklungoderUmsetzungeinesLöschkonzeptszuscheitern.Wasbedeutet„Löschen“?Datenobjekte, die Personenbezug aufweisen,werden gemäß der Definition gelöscht,wenn sie nach der Lö-schungnichtmehrvorhandensind,unkenntlichsindundnichtmehrverwendetwerdenkönnen.Löschenwirdz.B.durchdasphysischeÜberschreibenvonDatenobjektenerreicht.Datenobjektekönnenauchgelöschtwerden,indemderDatenträger,aufdemsieenthaltensind,geeignetzer-störtodervernichtetwird.Gegebenenfalls können die Datenobjekte auch anonymisiert werden, statt sie zu löschen. Denn wenn keinPersonenbezugmehrhergestelltwerdenkann,unterliegensienichtmehrdendatenschutzrechtlichenLöschre-geln. Daten richtig zu anonymisieren ist allerdings oft sehr schwierig. Es wird dringend empfohlen, der Lö-schungvonDatendenVorrangzugeben.ANMERKUNG1:WelcheVerfahren für die LöschungoderVernichtung einzusetzen sind, richtet sich nachder Sensitivität derDaten, denDatenträgernunddeneinschlägigenRechtsvorschriften.DieAuswahl derVerfahren ist nichtGe-genstandderLeitlinie.WeiterführendeInformationendazufindensichz.B.in[NISTSP800-88]und[CSEC2006].ANMERKUNG2:FürdieAnonymisierungvonDatenartenmüssenhäufigzahlreicheBedingungenbeachtetwer-den–siehedazudieAnmerkungenzurDefinition„Anonymisieren“.WelcheEigenschaftenundQualitätdieAnonymisierungmindestensaufweisenmuss,richtetsichnachdenjeweilseinschlägigenRechtsvorschriften.ANMERKUNG3:ImWeiterenwirdnurnochderBegriff"Löschen"verwendet.DieAlternativen„VernichtenvonDatenträgern“und„AnonymisierenvonDatenarten“sindimmereingeschlossen.Löschregeln

7von32

PersonenbezogeneDaten sollen nicht nur zufällig, sondern nach sinnvollen Regeln gelöschtwerden. DeshalbwirdfürjedeDatenarteinedatenschutzkonformeLöschregeldefiniert.JedeLöschregelenthälteineLöschfristundeinenStartzeitpunkt,abdemdieFristzulaufenbeginnt.BEISPIELE:FürdieDatenart„Buchhaltungsdaten"könnteinDeutschlanddieLöschregellauten:„11JahrenachdemEndedesGeschäftsjahres,indemdieBuchunginderBilanzberücksichtigtwurde“.FürdieDatenart"Interessenten-adressen",dieausschließlichzurBearbeitungvonAnfragennachProspektmaterialverwendetwird,könntedieLöschregellauten„1JahrnachBearbeitungderAnfrage“.Löschregeln,diedieLöschungdesgesamtenDatenobjektsvorgeben,sindinderRegeeinfachzudokumentierenundzuimplementieren.WenneinDatenobjektnuranonymisiertwerdensoll,mussfürdieAttributeimEinzel-nengeprüftundfestgelegtwerden,wiedieshinreichendsichererfolgt.InderRegelistesdahervielaufwändi-ger,Anonymisierungsregelnzuerstellenundzuimplementieren,alsDatenobjekteinsgesamtzulöschen.DatenartenEsmussentschiedenwerden,wannpbDzu löschensind.DieeinschlägigenRechtsvorschriften fordern inderRegel, dass Daten gelöschtwerdenmüssen,wenn sie nichtmehr erforderlich sind. Außerdem sind für einedatenschutzgerechte Gestaltung von IT-Prozessen die Prinzipien „Use, Retention and Disclosure Limitation“und„DataMinimization“anzuwenden.DanachsindpbDsofrühwiemöglichzulöschen.SoweitTeiledesGesamtdatenbestandeseinerverantwortlichenStellefürunterschiedlicheZweckeverwendetwerden,könnensichauchunterschiedlicheRegelnfürdieLöschungergeben.EinTeildesDatenbestandes,derfüreineneinheitlichenfachlichenZweckverwendetwird,bildeteineDaten-art, unabhängig davonwodieDaten imEinzelfall gespeichertwerden. Jeder so abgegrenztenDatenartwirddanneineLöschregelzugeordnet.FüreineklareKommunikationüberdas Löschkonzept ist es sinnvoll, jedeDatenarteindeutig zubezeichnen.DieBezeichnungsollsichamfachlichenVerwendungszweckinnerhalbderverantwortlichenStelleorientierenundzwischendemVerantwortlichenfürdenDatenschutzunddenanderenBeteiligtenabgestimmtwerden.BEISPIELE:AlsDatenartenkönntenbeieinemTelekommunikations-Providerz.B.Stammdaten,Standortdaten,Verkehrsdaten,AbrechnungsdatenundEinzelverbindungsnachweiseunterschiedenwerden.LöschenimRegelprozessFür jede Datenart ist zu klären, wie lange sie in Geschäftsprozessen benötigt wird. Der Zeitraum, innerhalbdessensieaufGrundeigenerfachlicherAnforderungenodergesetzlicherAufbewahrungspflichtenmindestensverfügbarseinmuss,wirdalsVorhaltefristbezeichnet.Rechtliche Aufbewahrungspflichten sind Teil des Verwendungsprozesses in der verantwortlichen Stelle unddamitauchTeilderAufbewahrungsfrist.Sieergebensich,wennineinschlägigenRechtvorschriftenMindestfris-tenfürdieAufbewahrungvonDatenartenfestgelegtsind.Aufbewahrungsfristenkönnensichauchausvertrag-lichen Vereinbarungen ergeben. Schließlich können auch andere fachliche Anforderungen dazu führen, dasseineverantwortlicheStelleDatenartenfüreinenZeitraumnachdemEndederaktivenVerwendungderDatenaufbewahrenwill.AusdenverschiedenAnforderungenergebensichüberlappendeAnteilederAufbewahrungs-frist.BEISPIEL:ZurechtlichenAufbewahrungspflichtenzählenbeispielsweisedieVorgabendesSteuerrechtsfürHandelsbriefeundBuchhaltungsunterlagen.ZuanderenfachlichenAnforderungenzählenz.B.Garantiezusagenoderpotenti-elleRückrufaktionen.ANMERKUNG:DieeinschlägigenRechtvorschriftenkönnenbesondereMaßnahmenfordern,wennDatenobjekte

8von32

nurnochgespeichertwerden,umAufbewahrungspflichtenzuerfüllen.NachdemBDSGistbeispielsweisedieEinschränkungderZugriffsberechtigtengefordert(Sperrung).Die Vorhaltefrist für eineDatenart impliziert, dass dieseDatenart inmindestens einem Systembis zu ihremEndeverfügbarseinmuss.NachdemEndederjeweiligenVorhaltefristwerdendieDateninderverantwortlichenStellenichtmehrbenö-tigt.SiemüssendanninnerhalbeinerdatenschutzrechtlichenvertretbarenFristgelöschtwerden.DieSummeausVorhaltefristundderdatenschutzrechtlichvertretbarenFristfürdieGestaltungderLöschprozessedefiniertdie längsteLöschfristbeiderVerarbeitungderDaten imRegelprozess.DieseFristwirdalsRegellöschfristbe-zeichnet.NachAblaufderRegellöschfristmüssendieentsprechendenBeständederDatenartinallenSystemenderverantwortlichenStellegelöschtsein.DiesschließtdieLöschungbeiAuftragnehmernderverantwortlichenStelleein

Quelle:https://secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf,21.03.2018

SoweitdieVerwendungvonpbDnachderjeweiligenRechtsordnungeinerRechtsgrundlagebedarf,bestimmendiezulässigenVerwendungszweckeauchdieVorhaltefristunddieRegellöschfrist.WenndieRechtslageSpiel-räume für die Fristen zur Verwendung einer Datenart einräumt, kann der Verwendungs- und Löschprozessgestaltetwerden.DieverantwortlicheStellemussabschätzenunddatenschutzrechtlichverantwortenkönnen,obundwielangenachdemEndederVorhaltefristdieLöschungerfolgenkann.ANMERKUNG1:WennrechtlicheSpielräumebestehen,mussdieVorhaltefristinvielenFällennichtexaktanalysiertwerden.Oftgenügteszuprüfen,obdieVerwendungszweckefüreineDatenartvernünftigerweiseinnerhalbeinerbestimm-tenVorhaltefristabgearbeitetwerden.InanderenFällenkanndieVorhaltefristdirektausrechtlichenVorgabenabgeleitet werden, weil die Aufbewahrungspflichten sowieso längere Fristen fordern, als die Datenobjekteaktiv in Prozessen verwendet werden. Für beide Fälle können Löschklassen zur Festlegung der Löschregelnbenutztwerden.ANMERKUNG2:

9von32

ImBeispielinderAbbildungistdieVorhaltefristkürzeralsdieRegellöschfrist.JenachDatenartundLöschfris-tenderverantwortlichenStellekönnenVorhaltefristundRegellöschfristauchgleich langsein.Wenndieein-schlägigenRechtsvorschriftendieRegellöschfristbegrenzen,darfdieVorhaltefristfüreineDatenartdieRegel-löschfristnichtüberschreiten.Beispielsweisebegrenzt§97TKGdieSpeicherdauerderfürdieBerechnungderEntgelteerforderlichenVerkehrsdatenaufsechsMonate.WeitereHinweisezurZuordnungvonRegellöschfris-tenzuDatenartenfindensichimKapitel.ANMERKUNG3:DurchdenZeitraumzwischendemEndederVorhaltefristunddemEndederRegellöschfristsolldiePraktikabili-tät des Löschkonzepts und der betrieblichen Umsetzung von Löschmaßnahmen erreicht werden. In diesemZeitraumbefindensichdiejeweiligendieDatenimZulaufzumLöschenundsolltendemZugriffderAnwenderentzogensein.SonderfälleWennDateninAusnahmefällenineinemvomRegelbetriebabweichendenProzessverwendetwerden,könnensie für diese Verarbeitung einer anderen Datenart zugeordnet werden, soweit dies nach den einschlägigenRechtsvorschriftenzulässigist.ZurBehandlungvonStörfällenkanndieLöschungzeitweiseausgesetztwerden.ArchiveundSicherungskopienFürdasLöschkonzeptisteineklareUnterscheidungzwischenArchivenundSicherungskopiennotwendig.ArchiveDienendazu,Datenlangfristigvorzuhalten.DatenwerdenhäufiginArchiveverlegt,wennanDatensätzenoderanderen Beständen keine Veränderungen mehr vorgenommen werden, sie jedoch aus zulässigen Gründenweiterhin aufbewahrt werden müssen. Ein Archiv kann unterschiedliche Datenarten mit unterschiedlichenLöschfristenenthalten.Sicherungskopien(Backup)DürfennichtalsArchiveverwendetwerden,dennsiehabeneineandereFunktion.SiewerdenzurWiederher-stellungvonSystemenundDatenbeständennachStörungenbenötigt. Siedürfendahernichtverändertwer-den.SicherungskopienexistiereninderRegelinverschiedenenVersionenoderVersionsketten.JedederVersionenkannunterschiedlichalteDatenbeständedergleichenDatenartenthalten.DieeinzelnenInstanzenvonDaten-objektenerreichendaherihreLöschfristzusehrunterschiedlichenZeiten.ZurEinhaltungvonLöschregelnwä-rendeshalbhäufigeinzelneDatenausdenSicherungskopienzulöschen.ZwischenSicherungskopienundArchivenmussdeshalbklargetrenntwerden.DiepbDinArchivenunterliegendenLöschregelnderjeweiligenDatenartenundmüssennachdiesenRegelnimArchivgelöschtwerden.FürdieLöschung von Sicherungskopienmüssen dagegen eigene Fristen festgelegtwerden, die bezüglich der Regel-löschfristenderimBackupenthalten„gemischten“Datenverhältnismäßigsind.GesperrteDatenbeständeManche Rechtsvorschriften verlangen, dass Datenbestände besonderen Zugriffsbeschränkungen unterliegen,wenn sie nicht mehr für produktive Prozesse benötigt werden (Sperrung von Daten). Beispiele hierfür sindDatenbestände,dienurnoch zuDokumentationszweckengespeichertwerdenoder solche,dienurnochderFehlerbehebungoderFehleranalysedienen.DieZugriffsrechtesinddannaufdieMitarbeitereinzuschränken,diedieverbliebenenAufgabenbearbeiten.Esistmöglich,fürDatenartennebendenLöschregelnauchSperrregelnanzugeben.DieserAspektwirdindieserLeitlinienichtweiterverfolgt.Standardlöschfristen,Startzeitpunkte,LöschregelnundLöschklassen

10von32

FürdieFestlegungderLöschregelnfüreinzelneDatenartenkannvielfältigerAnalyseaufwandentstehen.DadieVerantwortlichen für denDatenschutz an der datenschutzrechtlichen Bewertung vonAbläufen beteiligt seinmüssen,sindderenRessourcenbeiderEntwicklungundPflegedesLöschkonzeptseinkritischerFaktor.Auchfür andereMitarbeiter der verantwortlichen Stelle sollen hoheAufwände vermiedenwerden. ZumAufwandträgtbei,dassGeschäftsprozesseundIT-SystemteilweisemithoherDynamikgeändertwerden.DaskannwiederholteAnalysenerfordern.Es wird deshalb empfohlen, Standardlöschfristen zu verwenden, die die verantwortliche Stelle anhand dereinschlägigenRechtsvorschriftenfestlegt.AuchdieStartzeitpunktefürdieLöschfristenlassensichzuwenigenabstraktenKategoriengruppieren.BEISPIEL:EinsolcherabstrakterStartzeitpunktist„EntstehungderDaten“,einanderer„EndeeinesVorgangs“.DieStandardlöschfristenunddieabstraktenStartzeitpunktekönnenkombiniertwerden.JedeKombinationvonLöschfristundStartzeitpunktbildeteinesogenannteLöschklasse.DieDatenartenkönnendenLöschklassenaufeinfacheundeffizienteWeisezugeordnetwerden:IneinerLöschklassewerdenalleDatenartenzusammengefasst,diedergleichenLöschfristunterliegenundfürdiedergleicheabstrakteStartzeitpunktgilt.VondenBeteiligtenkanngutverglichenundgeprüftwerden,obdieDatenartenrichtigeingeordnetwurden.LöscheninSondersituationenDasLöscheninmanchenSondersituationenkannnichtvonLöschregelnimSinnedieserLeitliniebestimmtwer-den.Dazugehören:

§ dasLöschenvonunberechtigterhobenenpbD

§ dasLöschenvonpbDnacheinemberechtigtenLöschbegehrendesBetroffenen(z.B.§35BDSG)

§ dasLöschenvonpbDbeimRückbauvonSystemenFürdieseundähnlicheSonderfällemüssenebenfallsLöschmaßnahmenbestimmtwerden.SiesindimRahmenderProzesseundVerantwortlichkeitenfürdasLöschenvonpbDzuorganisieren.Voraussetzung fürdas LöscheneinzelnerDatenvonBetroffenen ist,dassdie technischenSystemeübereinegeeigneteFunktionzumLöschenverfügen.DiesesindinProzessenderSystembeschaffungoder-entwicklungzufordern.DokumentationsstrukturdesLöschkonzeptsDie Festlegungen des Löschkonzepts müssen dokumentiert werden. Die Inhalte der Dokumente sollen ziel-gruppenspezifischaufgeteiltundbeschriebenwerden.AlsZielgruppenkönneninderRegelunterschiedenwer-den:dieVerantwortlichenfürDatenschutz,fachlicheAnwender,Entwickler,AdministratorenundAuftragneh-mer.DieDokumentesollenmöglichst ineinebestehendeDokumentationsstrukturderverantwortlichenStelleein-geordnetwerden.Wodiessinnvoll ist,könnendieInhalteauchinbestehendeDokumenteintegriertwerden.Umsicherzustellen,dass inderDokumentationkeine InkonsistenzenentstehenunddiePflegeeffizienterfol-genkann,solltejedeFestlegungnuraneinerStelledokumentiertwerden.IndeneinzelnenAbschnittendieserLeitliniewerdenEmpfehlungengegeben,woFestlegungendesLöschkon-zeptsundMaßnahmenzuseinerUmsetzungdokumentiertwerdenkönnen.ProzesseundVerantwortlichkeiten

11von32

ImerstenSchrittwirddieVerantwortungfürdieAufgabenimLöschkonzeptfestgelegt.DieVerantwortlichensindentsprechenddemProjektfortschrittmitdennotwendigenRessourcenauszustatten.ProjektLöschkonzeptUmdenImplementierungsaufwandfürLöschmaßnahmenzureduzieren,istessinnvoll,dieLöschregelnfüralleArtenvonpbDineinemIT-Systemgemeinsamzuimplementieren.ZusätzlichkönnenzwischendenLöschfunk-tionen inverschiedenenSystemenAbhängigkeitenbestehen,weilDatenbestände inFolgesystemenabhängigvon Daten in Primär-Systemen zu löschen sind. Solche Abhängigkeiten müssen für die Implementierung voLöschmaßnahmenineinemSystemberücksichtigtwerden.BEISPIEL:In einem Dokumentenmanagementsystem (DMS) werden Dokumente zu Vorgängen aus einem Customer-Relationship-Managementsystem(CRM)gespeichert.WenndasCRMführendfürdieLöschungimDMSist,müssenfürdieImplementierungvonLöschfunktionenimCRMalleDatenartenbekanntsein,fürdiedasCRMdieLöschungimDMSanstoßensoll.Esistdeshalbempfehlenswert,ineinererstenPhasezurEtablierungdesLöschkonzeptsdieLöschregelnmög-lichst vieler Datenarten zu bestimmen. Dazu sind die Datenarten abzugrenzen), die Standardlöschfristen zubestimmenunddieDatenartendenLöschklassenzuzuordnen.AlleLöschregelnwerdendokumentiert,z.B.imDokument„Regellöschfristen“.InderzweitenProjekt-PhasestehtdieImplementierungderLöschregelnfürdieRegelprozesseimMittelpunkt.DazusinddieUmsetzungsvorgabenzuerstellenundzurealisieren.DieReihenfolgederMaßnahmensolltesobestimmtwerden,dass

§ BeständemitsehrsensiblenDatenartenhochpriorisiertwerden,

§ DatenartenmitkurzenLöschfristenhochpriorisiertwerden,

§ DatenartmitgroßenBeständen,diebereitsdieLöschfristüberschrittenhaben,möglichstbaldberei-nigtwerdenund

§ abhängigeSystemeaufdieLöschunginPrimär-Systemenvorbereitetsind

Quelle:https://secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf,21.03.2018

12von32

RegelabläufeNachAbschluss des Projekts „Löschkonzept“ sollten die initialenAufgaben, die einen vergleichsweise hohenAufwanderfordern,umgesetztsein.DieRegellöschfristen,dieZuordnungderVerantwortungunddieProzessedes Löschkonzepts solltendannetabliert sein.Die kontinuierlicheFortschreibungdes LöschkonzeptsunddiePflege seiner Umsetzungsvorgaben erfolgt in Regelprozessen der verantwortlichen Stelle, beispielsweise imBetriebundimChange-Management.

VIII. Datenartenbilden

Datenbestände,ZweckeundDatenartenDatenbeständekönnennachVerwendungszweckenlogischunterschiedenwerden.DieUnterscheidungistnachdeneinschlägigenRechtsvorschriftenundden fachlichen Zwecken zu treffen.Die unterschiedenenBeständewerdenalsDatenartenbezeichnet.UnterschiedlicheZweckeunddamitunterschiedlicheDatenartenergebensichinsbesondere,wenn

§ dieeinschlägigenRechtvorschriftenunterschiedlicheVorgabenfürDatenbeständetreffen,

§ sichDatenbeständeaufunterschiedlicheBetroffenebeziehen,

§ sichdieRechtsgrundlagefürdieErhebungvonDatenbeständenunterscheidetoderdieinderRechts-grundlageangegebenenZweckefürverschiedeneDatenbeständeunterschiedlichsind,

§ DatenbeständenurinnerhalbvoneigenständigenTeilprozessenverwendetwerden.

Datenbeständesindunterschiedlichstrukturiert,z.B.alsAttributeoderDatensätzeinDatenbanken,inDateienoder in Form von Dokumenten. ImWeiterenwird die Bezeichnung Datenobjekt stellvertretend für die ver-schiedenen Objekte verwendet, die einer Datenart zuzuordnen sind. Datenobjekte können Daten in unter-schiedlicherGranularitätsein,beispielsweiseAttribute,Datensätze,elektronischeDokumenteoderAusdrucke.EineDatenartwirddurch alleDatenobjekte gebildet, die zu einemZweck verarbeitetwerden.DerDatenbe-standeinerDatenartkannanverschiedenenSpeicherortenabgelegtsein,z.B.inmehrerenTabelleneinerDa-tenbankundindenDateien,ausdenenereingelesenwurde.BEISPIELE:BeispielefürDatenartensind:Buchhaltungsdaten,VertragsdokumenteoderProtokolle,indenenAnmeldungenan IT-Systemenaufgezeichnetwerden. ZurDatenart Buchhaltungsdaten könnten z. B. dieDateno-bjekteBu-chungssatz (mitdenAngaben zuKreditor/Debitor, ZahlungszeitpunktundBetrag)wieauchRechnungenundZahlungstransaktionenmitBankengehören.EineDatenartwirddurchdieDatenobjektegebildet,diedenPersonenbezugherstellensowiedieDatenobjekte,die zum jeweiligen Zweck verwendetwerden.Der Personenbezug kann in der Regel über ein odermehrereidentifizierendeAttributehergestelltwerden.DaessichbeidenhierbetrachtetenDatenartenumpbDhandelt,enthältjedeDatenartDatenobjekte,durchdiedieBetroffenenidentifiziertwerdenkönnen.BEISPIELE:Name,AdresseundGeburtsdatum,eineeindeutigeKundennummerodertechnischeSchlüssel,diedenRück-schluss auf den Betroffenen zulassen, sind solche identifizierenden Attribute. Name, Anschrift und Kunden-nummersindeinerseitsTeilderDatenart„StammdatendesKunden“undwerdenimmerauchaufRechnungenverwendet,sindalsoauchTeilderDatenart„Buchhaltungsdaten“.In der Regel sind in verschiedenen Datenarten die gleichen identifizierenden Attribute enthalten.Wenn einanderesDatenobjektzuverschiedenenZweckenverwendetwird,kannesebenfallssinnvollsein,esinmehrereDatenarten aufzunehmen. Dies sollte insbesondere dann erfolgen, wenn die Datenarten unterschiedlichenLöschregeln unterliegen. Die Löschregeln der verschiedenen Datenartenmüssen für die jeweils zugehörigenDatenobjekteeindeutigsein.

13von32

BEISPIEL:DieDatenart"Protokolle"enthältalleDatensätze,diefürEreignisseaneinemIT-SystemzumZweckdesMonitoringsaufgezeichnetwerden.FürProtokollekönnteeineeinheitlicheLöschfristvon42TagennachAuf-zeichnunggelten,weilsiemonatlichausgewertetwerden.GleichzeitigwilldieverantwortlicheStelleaberdenZustanddesIT-SystemsnachvollziehenkönnenundverwendetdazuDatenobjekteinderDatenart„Systemzu-standsdokumentation“.AusgewählteLog-DatensätzewerdenauchindieSystemzustandsdokumentationüber-nommen,weilsieZuständeundAuffälligkeiteninSystemkomponenten,DefekteunderfolgreicheReparaturenbelegen.FürdieLog-DatensätzederDatenartSystemzustandsdokumentationwirdeineeigeneLöschregeldefiniert,z.B.4JahrenachAufzeichnung.DieseRegelgiltdannauchfürdieLog-DatensätzeindieserDatenart.ANMERKUNG:Wennerkanntwird,dassdieDatenartenmitüberschneidendenDatenobjektendergleichenLöschregelunter-liegen,kannessinnvollsein,dieDatenobjekteineinerDatenartzusammenzufassen.DieZuordnungvonDatenobjektenzuDatenartenistorganisationsspezifischfestzulegen,daeinzelneDatenob-jektejenachverantwortlicherStelleunterschiedlichverwendetwerden.BEISPIELE:FürdieVerwaltungvonKundenbeziehungenkannzwischenDatenobjektenunterschiedenwerden,dienurwährendderaktivenKundenbeziehungundkurzdanachbenötigtwerdenundsolchen,diewegenAufbe-wahrungspflichtennochmehrereJahredanachvorgehaltenwerdenmüssen.DieseUnterscheidungistoftauchfür Datenobjekte von Stammdatenmöglich. Z. B. könnten die "ergänzenden Stammdaten" als Datenart fürInformationen verwendetwerden, die Kontaktdaten der aktiven Kundenbeziehung enthalten. Datenobjekte,dieerforderlichsind,umdasKundenkontozubilden(dasaufrechterhaltenwerdenmuss,umdenAufbewah-rungspflichtennachzukommen), könntenderDatenart "Kernstammdaten" zugeordnetwerden. IneinerBankwirddieKontonummereinesKundendannvermutlichindieDatenartKernstammdateneingeordnet.EinVer-sandhändler benötigt die Kontonummer eines Kunden dagegen nur als Bankverbindung, beispielsweise fürGutschriften,undordnetsiedeshalbindieDatenart„ergänzendeStammdaten“ein.BeiihmwürdendieKern-stammdatendieKundennummer,NameundAdresseumfassen.DatenartensystematischerfassenImLöschkonzeptderverantwortlichenStellesolltesichergestelltwerden,dassalleDatenobjekte,diealspbDeinzustufensind,Datenartenzugeordnetwerden.Dazu kann zunächst identifiziert werden, welche Datenarten in den verschiedenen Geschäftsprozessen derverantwortlichenStelleverwendetwerden.ZusätzlicheDatenarten ergeben sich aus denArbeiten am Löschkonzept und seinerUmsetzung inmehrerenIterationen:

§ ImRahmenderFestlegungvonLöschklassenundLöschregelnfürdiebereitsidentifiziertenDatenartenkannfestgestelltwerden,dasseinzelneDatenartenaufgeteiltwerdenmüssen.

§ ImKontextderFestlegungvonUmsetzungsvorgabenmussbestimmtwerden,welcheDatenbestände

inkonkretenIT-SystemenoderanderenAbläufenverwendetwerden.AlleDatenbeständemitPerso-nenbezugmüsseneinerDatenartzugeordnetwerden.WenndiesfüreinenDatenbestandnichtmög-lichist,weilerfüreinenbishernichtidentifiziertenZweckverwendetwird,musseineneueDatenartdefiniertwerden.

AlleDatenartensollenimDokument„Regellöschfristen“beschriebenwerden.GestaltungskriterienfürdieBildungvonDatenarten–HinweiseausderPraxisVielfachistdieBildungvonDatenartenausdenfachlichenZusammenhängennaheliegend.DiefolgendenHinweisehelfenbeiderZuordnungvonDatenobjektenzuDatenarten.OrientierunganRechtsvorgaben

14von32

Wenn fürGruppen vonDatenobjekten einheitliche Rechtsregeln gelten, ist es sinnvoll, sie in einerDatenartzusammenzufassen.WennAufbewahrungspflichtennurfürbestimmteTeileeinerDatenartgeltenwürden,unddadurchdieRegel-löschfristinsgesamterheblichverlängertwürde,solltensieaufverschiedeneDatenartenaufgeteiltwerden.OrientierunganVerwendungszweckenWennGruppenvonDatenobjektengemeinsamverwendetundgelöschtwerden,kannes sinnvoll sein, sie ineinerDatenartzusammenzufassen.DieNamenderDatenartendienenderVerständigungzwischendenamLöschkonzeptbeteiligtenGruppen.Eskann daher sinnvoll sein, für Datenbestände, die fachlich unterschiedlich verwendet werden, verschiedeneDatenarteneinzuführen,obwohlsiedengleichenLöschregelnunterliegen.BEISPIEL:Die ergänzenden Stammdaten eines Kunden können in einem Kundenstammdatensatz gespeichert werden.SollendieDatengeändertwerden,werdenÄnderungsaufträgefürergänzendeStammdatenangelegt,diemög-licherweise–genausowiedieergänzendenStammdaten–einJahrnachdemEndederKundenbeziehungge-löschtwerdensollen.ObwohldieÄnderungsaufträgewiedieeigentlichenergänzendenStammdatengelöschtwerden,kannesfürdiefachlicheDiskussionsinnvollsein,siealseigeneDatenartzuführen.Wenn sichDatenobjekte auf unterschiedlicheGruppen von Betroffenen beziehen, kann es sinnvoll sein, ge-trennteDatenartenzubilden.BEISPIELE:KontaktdatenwieAnsprechpartner,TelefonnummernundE-Mail-Adressenkönnenz.B.fürKunden,Mitarbei-tervonLieferantenundServicetechnikervonDienstleisterngespeichertwerden.InderRegelistesdannsinn-voll,zwischendenDatenarten"ergänzendeStammdatenvonKunden","ergänzendeStammdatenvonLieferan-ten"und"ergänzendeStammdatenvonServicetechnikern"zuunterscheiden.WennDatenobjektemitstarkunterschiedlichenVorhaltefristen ineinemDatenbestandenthaltensind, istessinnvoll,dieseinunterschiedlicheDatenartenzugruppieren.WennallepbDeinerDatenartausproduktivenBeständenarchiviertwerdenmüssen,danngehtdieArchivie-rungsdauerindieRegellöschfristein.WennnureinigeausgewählteBeständeeinerDatenartarchiviertwerdensollen,solltedieserBestandeineeigeneDatenartbilden.VertraulichkeitsklassifikationundDatenartenDaten hoher Sensitivität, beispielsweise Patientendaten oder generell besondere Arten pbD, sind auch mithoherVertraulichkeit zubehandeln.DadassichereLöschenvonDatenderenkünftigeVertraulichkeit sicher-stellt, stehen füreineeventuelleErweiterungderVorhaltefrist zueiner längerenRegellöschfrist inderRegelnur geringe Spielräume zur Verfügung. Eine verzögerte Löschung von Datenarten mit hoher Sensitivität istdaherdatenschutzrechtlichbesonderskritischzuprüfen.DatenartenhoherSensitivitätmüsseninderRegelvertraulicherbehandeltwerdenalspbDniedrigerSensitivi-tät.GrundsätzlichkanneinerDatenartauchdieSchutzstufeeinerentsprechendenVertraulichkeitsklassifikationzugeordnetwerden.Dadurchwird implizit festgelegt,welchen Sicherheitsanforderungendie Löschmechanis-mengenügenmüssen,diefürdieDatenartangewandtwerden.ANMERKUNG:VertraulichkeitsklassifikationenbesteheninvielenOrganisationenbereits.EsergebensichunmittelbareSyner-gieeffekte,wennfürdasLöschkonzeptderenSicherheitsanforderungenfürdieLöschmechanismenübernom-menwerdenkönnen.EineKombinationvonDatenartundVertraulichkeitsstufeistauchnaheliegend,weilaucheineVertraulichkeitsklassifikationDatenbeständeinKlassenaufteilt.

15von32

WennmiteinerLöschregelallerdingsunterschiedlicheVertraulichkeitsstufenumgesetztwerdensollen,müss-tenmehrereDatenartengebildetwerden.DadurchwürdendieAnzahlderLöschregelnunddieUmsetzungs-komplexitätdesLöschkonzeptserhöht.Eserscheintstattdessensinnvoller,allenTeilenderDatenartdiehöhereVertraulichkeitsstufezuzuweisen.Dadurchwird fürdieseDatenarteineeinheitlicheLöschregeleinemSicher-heitsniveaudefiniert.DerAspektderVertraulichkeitsklassifikationwirdindieserLeitlinienichtweiterbetrachtet.SecorvoSecurityConsultingGmbH

IX. Löschfristenfestlegen

StandardlöschfristenverwendenEinsehrwichtigerBausteinzurVereinfachungdesLöschkonzeptsistdieVerwendungvonStandardlöschfristen.SieerleichterndasVerständnisdesLöschkonzeptsundsparenRessourcenbeiallenBeteiligten.Standardlösch-fristen sollten immer eingesetzt werden, wenn unter Datenschutz-Gesichtspunkten auf eine feingranulareFestlegungvonLöschfristenverzichtetwerdenkannundstattdesseneineNutzungder jeweils„nächstgelege-nen“Standardlöschfristausreicht.StandardlöschfristenwerdenvonjederverantwortlichenStellefürihrenBereichfestgelegt.DieStandardlöschfristenwerdenverwendet,umdieLöschklassenzubilden.Eswirdempfohlen,dieZahlderStandardlöschfristenkleinzuhalten.EinerDatenartmit einerVorhaltefrist, die nicht ohnehin einer Standardlöschfrist entspricht,wird die nächstgrößereStandardlöschfristzugewiesen.DieDifferenzdergewähltenStandardlöschfristzurVorhaltefristmussunter demGesichtspunkt der einschlägigen Rechtsvorschriften verhältnismäßig und vertretbar sein. Andern-fallsistzuprüfen,obeinezusätzlicheStandardlöschfristsinnvollist.ANMERKUNG1:Zur Festlegung ihrer Standardlöschfristenkanndie verantwortlicheStelle auf Fristkataloge zurückgreifen, so-weitsolchevorhandenundgeeignetsind.FürspezifischeZweckemussdieverantwortlicheStelleaberprüfen,obesnotwendigist,dasssieeigeneStandardlöschfristenfestlegt.ANMERKUNG2:DieBegrenzungaufwenigeStandardlöschfristenhat sich inderpraktischenUmsetzungbewährt.Viele Stan-dardlöschfristenführenzuKomplexitätsowohlbeiFestlegungderRegellöschfristenalsauchfürdienachgela-gertenMaßnahmen zur Implementierung und betrieblichen Umsetzung der Löschmaßnahmen. Die Zahl derStandardfristensolleinengutenKompromisszwischeneinerdatenschutzrechtlichvertretbarenFristabstufungund einer beherrschbaren Komplexität der Fristen ermöglichen. In Zweifelsfällen sollte die verantwortlicheStelledieFristabstufungmitIhrerAufsichtsbehördeabstimmen.ANMERKUNG3:Der Grund für eine Begrenzung aufwenige Standardlöschfristen ist ein einfach verständliches LöschkonzeptunddieeinfacheAbleitungvonLöschregeln.StandardfristenfüreinzelneDatenarteneinzuführen,widersprä-chediesemZiel.WenndieÜberschreitungderVorhaltefristnurfüreineeinzelneDatenartalsSpezialfallnichtvertretbarist,kannesdahersinnvollsein,fürdieseDatenarteinebesondereLöschfristzuverwenden,dienichtin den Katalog der Standardfristen aufgenommen wird. Nach Möglichkeit sollten die Sonderfälle aber ver-miedenwerden.AlternativsolltefürsolcheDatenartengeprüftwerden,obdieVorhaltefristnichtdurchAnpas-sungendesVerwendungsprozesses verkürztwerden kann, umnachder nächst kürzeren Standardfrist zu lö-schen.Fristfestlegungen-ÜbersichtüberdieVorgehensweisenzurFristdefinitionWenndieverantwortlicheStelleeigeneLöschfristenfestlegenmuss,benötigtsiedafürgeeigneteVorgehens-weisen.DieseVorgehensweisenmüssenberücksichtigen:

16von32

§ Die einschlägigen Rechtsvorschriften. Dazu gehören beispielsweise Vorgaben aus Gesetzen, Verord-nungenodervertraglichenRegelungen.DiesekönnensowohlkonkreteFristvorgabenmachenalsauchdieEinhaltungallgemeinerPrinzipienwieErforderlichkeitundDatensparsamkeitverlangen.

§ Wie langedie pbD für die Zweckeder verantwortlichen Stelle in ihrenGeschäftsprozessenbenötigt

werden(Regelverarbeitung).Dazugehörenauchalle rechtlichgefordertenProzessschritte,beispiels-weisedieAufbewahrungvonUnterlagenfürdiePrüfungdurchFinanzbehörden.

DieeinschlägigenRechtsvorschriftenräumenunterschiedlichgroßeGestaltungsspielräumeein,umLöschfristenzubestimmen.EstretendreiFälleauf,fürdiejeweilsunterschiedlicheVorgehensweisenzurFristanalysever-wendetwerden:

§ Für dieDatenart ist in den Rechtsvorschriften eine Löschfrist angegeben:Die Löschfrist kann direktübernommenwerden.

§ Für die Löschung der Datenart bestehen spezifische Rechtsvorschriften ohne konkrete Fristvorgabe

oder die Sensitivität der Datenbestände erfordern eine enge Fristregelung: Für solche DatenartenmussdieFristfestlegunghäufigdurchdieAnalysevonVerwendungsprozessunddieInterpretationderRechtsvorschriftenerfolgen.

§ Die LöschungderDatenartmuss nur anden allgemeinenPrinzipiender Erforderlichkeit undDaten-

sparsamkeit ausgerichtetwerden,beispielsweise inDeutschlandnurnach§35BDSG:DieAbleitungvonStandardlöschfristenanhandeinfacherKriterienistausreichend.

ImRegelfall istesausreichend,dieStandardlöschfristendesLöschkonzeptsanhandausgewählterDatenartenfestzulegen.Dazuwerden ineinem iterativenProzessDatenarten identifiziert,diemöglicheStellvertreter fürLöschklassensind.FürdieseerfolgtdieFristfestlegungunddieDefinitionderLöschklassen.WennalleweiterenDatenarten in datenschutzrechtlich vertretbarerWeise den so gefundenen Löschklassen zugeordnetwerdenkönnen, istderProzessabgeschlossen.WennDatenartennichtgeeignetzugeordnetwerdenkönnen,müsseneinodermehrereweitereStellvertreterausgewähltwerdenundweitereLöschklassengebildetwerden.Fristen,diealsRegellöschfristenfürKernprozessederverantwortlichenStelleidentifiziertwerden,sindhäufigfürvieleDatenbeständeundverschiedeneDatenartenanzuwenden.SiesinddahermeistauchsinnvolleStan-dardlöschfristen.BEISPIELE:EinTelekommunikations-ProviderkönntebeispielsweisedieFristfürdieLöschungvonEinzelverbindungsnach-weisen als eine Standardfristwählen. EinUnternehmen, dasMaut erhebt,würde dagegen die Löschfrist fürFahrtdatenalseineStandardfristeinsetzen.UnmittelbareFristenausRechtsvorschriftenWenndie einschlägigenRechtsvorschriften feste Fristen fürdie Löschung vonDatenarten vorgeben,müssendieseFristenalsObergrenzefürdieLöschfristherangezogenwerden.DieProzessederverantwortlichenStellemüssensogestaltetwerden,dassdievorgegebeneFristinderRegel-verarbeitungeingehaltenwird.Esistsinnvoll,solcheFristenindenKatalogderStandardlöschfristenaufzunehmen,wennderKatalogdadurchnichtzusehrdifferenziertwird.ANMERKUNG:Wenn dies im Verwendungsprozess möglich ist, und die einschlägigen Rechtvorschriften es zulassen, mussdieseFristabernichtausgeschöpftwerden.DurcheineVerkürzungderLöschfristgegenüberderMaximalfristaus einer Rechtsvorgabe auf eine Standardlöschfrist kann die Zahl der Standardlöschfristen gegebenenfallsverringertwerden.FristfestlegungnachProzessanalyse

17von32

SensitiveDatenartenoderDatenarten,fürdiedieeinschlägigenRechtsvorschriftennurengeSpielräumefürdieLöschungzulassen,müssenkurznachdemWegfallderErforderlichkeitgelöschtwerden.DieverantwortlicheStelleistdanngehalten,dieVorhaltefristfürdiejeweiligeDatenartgenauzubestimmen,damitdieLöschfristentsprechendengdaranorientiertwerdenkann.DazukanneineAnalysedesGeschäfts-prozessesdurchgeführtwerden.IndieserProzessanalysewirdbestimmt,wielangedieeinzelnenProzessschrit-te inderRegelverarbeitungdauern.DieSummeüberdieseZeitabschnitteergibtdieVorhaltefrist fürdieDa-tenart.DieRegellöschfristfürdiejeweiligeDatenartdarfdannnursoviellängeralsdieVorhaltefristgewähltwerden,wiediesnachdeneinschlägigenRechtsvorschriftenverhältnismäßigundzulässigist.Es ist sinnvoll, solche Löschfristen in den Katalog der Standardlöschfristen aufzunehmen, wenn der Katalogdadurchnichtzusehrdifferenziertwird.AbleitungvonLöschfristennacheinfachenKriterienDie Abstufung der Standardlöschfristen, die durch Rechtsvorgaben oder durch die Prozessanalyse gefundenwurden,kanngroßeAbständeaufweisen.Dieskanndazuführen,dassbeiderZuordnungvonDatenartenge-mäßKapitel 8.3dieVorhaltefrist fürmehrereDatenarten soweit überschrittenwird, dassdiesdatenschutz-rechtlichnichtmehrvertretbarist.DannsolltenweitereStandardlöschfristenergänztwerden,umeinefeinereAbstufungzuerreichen.SoweitdieVerwendungvonpbDnurdurchallgemeineRechtsvorschriftengeregeltist,könnenSpielräumefürdieFestlegungvonLöschfristenbestehen.DieseSpielräumekönnengenutztwerden,umdiezusätzlichenStan-dardlöschfristenfestzulegen.ANMERKUNG:EinelangfristigeSpeicherungzuunbestimmtenZwecken(Vorratsdatenspeicherung)kannmitdenSpielräumenaber nicht begründet werden undwiderspricht dem Prinzip der Datensparsamkeit. Auch die frei gewähltenStandardlöschfristenmüssen so festgelegtwerden,dass fürdie zugeordnetenDatenartenderGrundsatzderErforderlichkeitaufdatenschutzrechtlichvertretbareWeiseeingehaltenwird.InderallgemeinenAbleitungwerdenzunächstFristenbevorzugt,diesichausRechtsregelnergeben,z.B.durchAufbewahrungspflichten. Diese Fristen sollten so gewählt werden, dass die bestehenden Abstände sinnvollunterteiltwerden.SofernweitereAbständezugroßsind,könnendiesedurch freigewählteStandardlöschfristenunterteiltwer-den. Quelle:https://secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf,22.03.2018

DurchdieLöschfristennacheinfachenKriterienkannderFristkatalogsoergänztwerden.dassdieAbstufungderStandardlöschfristendatenschutzrechtlichvertretbarist.

18von32

BesonderheitenfürFristfestlegungenRegellöschfristenundAbweichungenInderbetrieblichenPraxisisteskaummöglich,mitsehrstarrenFristzuordnungenalleSondersituationenindenVerarbeitungsprozessenabzudecken.DerAusweg,füralleDatenartensehrlangeLöschfristenfestzulegen,istdatenschutzrechtlichjedochnichtvertretbar.ImFolgendenwerdendaherVerfahrensweisenbeschrieben,mitdeneneinLöschkonzeptdienotwendigeFlexi-bilitäterhält,umeinerseitskurzeRegellöschfristenzudefinieren,anderseitsaberauchfürSondersituationentragfähigeVorgehensweisenanzubieten.FriständerungendurchVerdichtungmitWechselderDatenartImRahmenderVerarbeitungsprozessekanneinAusgangsdatenbestanddurchstatistischeAuswertungenoderandereVerdichtungenineinenErgebnisdatenbestandüberführtwerden.DerErgebnisdatenbestandkannmög-licherweiseeineranderenDatenartzugeordnetwerden,beispielsweiseweilereinemanderenZweckdientundwenigersensitivist.FürdieandereDatenartgiltdannmöglicherweiseaucheineandereLöschregelmitlänge-rerFristoderspäteremStartzeitpunkt.WechselderDatenartfürSonderfälleInmanchenGeschäftsprozessenwirdderüberwiegendeAnteilderDatenartenimRegelprozessverarbeitet.IneinzelnenFällenwerdenDatenaberlängerbenötigtalsnachderRegellöschfristvorgesehen,z.B.weileinRe-klamationsfallodereinRechtsstreitanhängigist.FürdieseSonderfällebietetessichan,diebetroffenenDateneineranderenDatenartmitentsprechend längerer Löschfrist zuzuordnen,wenndiesnachdeneinschlägigenRechtsvorschriftenzulässigist.Technischkanndiesbeispielsweiseabgebildetwerden,indemdieDatenobjekteentsprechendgekennzeichnetoderanandererStellegespeichertwerden.BEISPIELE:DieDatenartfürDaten,diezurBearbeitungeinerReklamationbenötigtwerden,könnte„Reklamationsdaten“heißen.DieLöschregeldafürkönnte lauten:„Ein JahrnachdemEndederGarantiedauer“.DieDaten,die füreinenRechtsstreitbenötigtwerden,könntenindieDatenartStreitfalldateneingeordnetwerden.DieLöschre-gelkönnteebenfallseineFristvoneinemJahrvorsehenundalsStartzeitpunktaufdieRechtskraftdesUrteilsabstellen.AuchbeiÄnderungdesVerwendungszwecksvonpbD, soweitdieseÄnderungnachdeneinschlägigenRecht-vorschriftenzulässigist,kanngegebenenfallsdieLöschregeldurcheinenWechselderDatenartangepasstwer-den.AusnahmenvonRegelprozessen:AussetzungderLöschungInbesonderenSituationenkannesnotwendigsein,AusnahmenvonFristregelnzutreffen.ZudiesenSituatio-nengehörenz.B.FehlerinProgrammenoderfehlerhafteDatenbestände.SoweitdieeinschlägigenRechtsvorschriftendieszulassen,kannfürsolcheSondersituationendieRegellöschungvon Datenbeständen ausgesetzt werden. Durch allgemeine Regelungen kann für den betroffenen Datenbe-standeineVerlängerungderLöschfristzugelassenwerden.BEISPIEL:EineRegelungzurFehlerbehandlungkönntelauten:„DaeinRelease-ZyklusfürdieAnpassungvonIT-SystemeninderRegel6Monatedauert,kanndieLöschfristfürfehlerhafte Datenbestände grundsätzlich um 12 Monate verlängert werden. Dadurch besteht ausreichendSpielraum,umdenFehlerzuanalysierenundMaßnahmenzuseinerBeseitigungzuergreifen.“Über geeignete Prozessemuss sichergestellt werden, dass die Aussetzung der Löschung begrenzt wird, derbetroffeneDatenbestandmöglichstkleinundderZeitraumderAussetzungverhältnismäßigist.AlsKriterienfürdieAusgestaltungderAussetzungheranzuziehensindbeispielsweisedieSensitivitätderDatenunddieMaß-

19von32

nahmenzurZweckbindungderDatenwährendderAusnahme.FürdieRückkehrzumRegelbetriebmüssenalleDatenderAusnahmeregelunggelöschtwerden.DieRückbaumaßnahmensollenüberwachtundbeiBedarfüberprüftwerden.AbweichungenvonStandardlöschfristenfürSicherungskopienInSicherungskopienmitpbDsindregelmäßigDatenenthalten,diebaldgelöschtwerdenmüssen.FüreineWie-derherstellungnacheinempotentiellenStörfallmüssendieSicherungskopienabereinegewisseZeitvorgehal-tengehaltenwerden.DadurchwirddieLöschfristfürTeilederDatenüberschritten.Ein sinnvolles Sicherungs- undWiederherstellungs-Konzept kanndaher nur umgesetztwerden,wenn für dieDatenbestände in Sicherungskopien akzeptiert wird, dass die Regellöschfristen überschrittenwerden. DurchspezifischeVorhaltefristenfürSicherungskopiendürfendieLöschfristenderDatenarten,dieinderSicherungs-kopieenthaltensind,abernurumeindatenschutzrechtlichvertretbaresMaßüberschrittenwerden.DieLösch-fristderSicherungskopiemusssichanderkürzestenLöschfristderjeweilsenthaltenenDatenartenorientieren.BEISPIELE:SokönnteeinekurzeLöschfristvonwenigenWochenfürSicherungskopienvonDatenartenmitkurzerLösch-fristundeineLöschfristvon3MonatenfürSicherungskopienvonDatenartenmit langerLöschfrist festgelegtwerden.UmdieKomplexitätzubegrenzen,solltennurwenigespezifischeLöschregelnfürdieSicherungskopienfestgelegtwerden.GegebenenfallsmüssendieSicherungs-StrategienunddieMaßnahmenzumWiederanlauf soangepasstwer-den, dass sie mit den datenschutzrechtlich vertretbaren Löschfristen für die Sicherungskopien auskommen.Dazu kann auch gehören, dass Datenbeständemit unterschiedlichen Löschfristen in unterschiedliche Siche-rungsbeständeaufgenommenwerden.DieseSicherungsbeständekönnendannjeweilsnachunterschiedlichenFristengelöschtwerden.DurcheinRecoverywerdenDateninSystemezurückgespielt,derenLöschfristbereitsüberschrittenseinkann.DieUmsetzungsmaßnahmenmüssendiesberücksichtigen.Z.B.könnenautomatischeLöschmechanismenallelöschfälligenDatenbehandeln.Alternativkönnen inWiederanlauf-PlänenauchgeeigneteeinmaligeMaßnah-menzurBereinigungderlöschfälligenDatenfestgelegtwerden.Für die pbD in Sicherungskopienmuss durch geeigneteMaßnahmen gewährleistetwerden, dass sie nur fürZweckederSystemwiederherstellungverwendetwerden.

X. Löschklassen

AbstrakteStartzeitpunkte–abstrakteLöschregelnEineLöschregelbestehtauseinerLöschfristundeinemStartzeitpunkt,abdemderLaufderFristbeginnt.DerStartzeitpunktstelltaufeineBedingungab,dieimLebenszyklusderjeweiligenDatenartauftritt.Diekokre-tenBedingungen könnendanachunterschiedenwerden, ob sie auf den Erhebungszeitpunkt derDatenodereineBedingungwährenddesLebenszyklusabstellen.DamitergebensichzweiabstrakteStartzeitpunkte:

§ Erhebung der pbD: Die Löschfrist für ein konkretes Datenobjekt beginnt bereits bei der ErhebungdurchdieverantwortlicheStelle.

§ EndeeinesVorgangs:DieLöschfristfüreinkonkretesDatenobjektbeginnterstmitdemAbschlussei-

nesVorgangsimLebenszyklusdesObjekts.DasEndederBeziehungzumBetroffenen“isteinSonderfalldeszweitenTyps.DamitdemEndederBeziehungzumBetroffenendieLöschfristinderRegelmehrererDatenartengleichzeitigbeginnt,solltediesesEreignisalsdritterabstrakterStartzeitpunktdefiniertwerden:

20von32

§ EndederBeziehungzumBetroffenen:DieLöschfristfüreinekonkretesDatenobjektbeginntmiteinemEreignis,dasalsEndederBeziehungzumBetroffenendefiniertwird.

ANMERKUNG1:UnterBetroffenensindauchandereSchutzsubjektedatenschutzrechtlicherRechtsvorschrifteneingeschlossen.BeispielsweisewerdeninDeutschlandimBereichdesPostdatenschutzesoderderMauterhebungauchjuristi-schePersonenerfasst.IndiesemFallwäredasEndederBeziehungzumjeweiligenSchutzsubjektderentspre-chendeStartzeitpunktfürdieLöschfrist.WegenderallgemeinenAusrichtungdesDatenschutzesaufnatürlichePersonenundumsprachlichklarzudenDatenobjektenzuunterscheiden,wirdimDokumentnurdieBezeich-nung„Betroffener“verwendet.ANMERKUNG2:HäufigverwendeteineverantwortlicheStelleDatenunterschiedlicherKategorienvonBetroffenen,z.B.Mitar-beitern,KundenundAnsprechpartnernbeiVertragspartnern.FürjedeKategoriekanndas„EndederBeziehungzumBetroffenen“aufeineandereBedingungabstellen.EineLöschregel,dienuraufeinenabstraktenStartzeitpunktabstellt,wirdabstrakteLöschregelgenannt.MatrixderLöschklassenMitdenStandardlöschfristenunddenabstraktenStartzeitpunktenkönnenabstrakteLöschregelngebildetwer-den.JedeKombinationbildeteinesogenannteLöschklasse.DaesdreiabstrakteStartzeitpunktegibt,könnenjeStandardlöschfristdreiLöschklassenentstehen.Esbietetsichan,dieLöschklassenineinerMatrixdarzustellen.InderPraxiszeigtsich,dassoftnichtalleLösch-klassenbenötigtwerden,weilnichtzujederFristjederabstrakteStartzeit-punktbenötigtwird.

Quelle:https://secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf,22.03.2018InderMatrixderLöschklassenkönnenPositionen freibleiben,wenndiesnachdeneinschlägigenRechtsvor-schriften und den fachlichen Anforderungen gerechtfertigt ist. Dadurch reduziert sich die Komplexität desLöschkonzeptsweiter.Datenarten,LöschklassenundLöschregeln

21von32

Die Datenarten der verantwortlichen Stelle werden den Löschklassen zugeordnet. Jede Datenart mit einerVorhaltefirst,dienichteinerderStandardlöschfristenentspricht,wird–wenndatenschutzrechtlichzulässig–ineineLöschklassemitdernächstgrößerenStandardlöschfristeingeordnet.Istdiesnichtmöglich,mussgeprüftwerden, ob eine weitere Standardlöschfrist benötigt wird oder ob für die Datenart eine spezifische eigeneLöschfristfestgelegtwird.ANMERKUNG1:ZurBewertungdesZeitraumszwischendemEndederVorhaltefristunddemEndederRegellöschfristsinddiePrinzipienderErforderlichkeitundderDatensparsamkeitheranzuziehen.FürdiePraktikabilitätdesLöschkon-zeptsunddieGestaltungderLöschprozessekönnendaherzwarrechtlicheSpielräumegenutztwerden.Dieseerlaubenesabernicht,dieLöschungbeliebiglangehinauszuzögern.ANMERKUNG2:DieFrist,währenddereineDatenartnachderVorhaltefirstnochgespeichertwird,mussverhältnismäßigunddatenschutzrechtlichvertretbarsein.SodürfteesnurinwenigenFällenbegründbarsein,dassdieRegellösch-fristdasDoppeltederVorhaltefristbeträgt.DurchdieEinordnungeinerDatenartineineLöschklasseistdieabstrakteLöschregelbestimmt.UmdarauseinekonkreteLöschregelfürdieUmsetzungzubilden,mussfestgelegtwerden,durchwelcheskonkreteEreignisderStartzeitpunktgebildetwird:BEISPIELE:FüreinenReparaturauftragkönntederStartzeitpunktdie„ÜbergabedesrepariertenGerätesandenKunden“sein. Für Buchungsdatensätzeunddie zugehörigenbuchungsbegründendenUnterlagen könnteder Startzeit-punktdie „FertigstellungderBilanz“ sein, inderdieBuchungenberücksichtigtwurden. Fürdie StammdateneinesMitglieds in einem sozialenNetzwerk könnte der Startzeitpunkt sein „Link der Bestätigungs-Mail nachDeregistrierungwurdegeklickt“.ANMERKUNG:DerStartzeitpunktmussinÜbereinstimmungmitdeneinschlägigenRechtsvorschriftengewähltwerden,damitdurchihndieLöschungnichtunnötighinausgezögertwird.Die Standardlöschfristen, Löschklassen und die Zuordnung der Datenarten sollten in einem eigenständigenDokument „Regellöschfristen“ festgelegtwerden. Die Löschregeln sollen technikneutral definiertwerden. Eskannsinnvollsein,indiesemDokumentauchGründefürdieFristdefinitionenunddieZuordnungvonDatenar-ten zu Löschklassen festzuhalten. Dadurch werden bisherige Entscheidungen nachvollziehbar und künftigeEntscheidungenerleichtert.PrimäreZielgruppendesDokumentsRegellöschfristensinddiefürdenDatenschutzverantwortlichenMitarbei-ter, die Projekt-Teams, die Umsetzungsvorgaben für Systeme entwickeln sowie fachliche Anwender, die dieLöschregelnvonDatenartenprüfenoderalsInformationbenötigen.

EmpfehlungenfürdiePflegeverantwortungundFreigaberegelnder„Regellöschfristen“

Pflegeverantwortung ->VerantwortlicherfürDatenschutz VoraussetzungenfürdieFreigabevonÄnderungen ->ReviewdurchdiebetroffenenOrganisationseinhei-

ten

datenschutzrechtlicheFreigabe ->DurchVerantwortlichenfürDatenschutz.FürgroßeÄnderungenwirempfohlen,einezusätzlicheFreigabederGeschäftsführungeinzuholen.DadurcherhaltendieLöschregelnGeltungfürdieverantwortlicheStel-le.

22von32

XI. VorgabenfürdieUmsetzungvonLöschregeln

StrukturundInhaltederUmsetzungsvorgabenVerhältniszwischenRegellöschfristenundUmsetzungsvorgabenDasDokumentRegellöschfristen ist hinsichtlichder LöschregelndieReferenz fürdieDokumentemitUmset-zungsvorgaben.DieLöschregelnmüsseninIT-SystemenundanderenProzessenumgesetztwerden.Dazusolldieverantwortli-cheStelleinihremLöschkonzeptregeln,woundwieUmsetzungsvorgabenfestgelegtwerden.Dabeikannun-terschiedenwerdennach

§ Umsetzungsvorgaben fürQuerschnittsbereiche.Durch solcheallgemeinenRegelungenkanndie ZahlderspezifischenUmsetzungsvorgabenfürIT-Systemverringertwerden.

§ spezifischenUmsetzungsvorgabenfüreinzelneIT-Systeme.

§ EinzelmaßnahmenzurBereinigungvonDatenbeständen.

§ UmsetzungsvorgabenfürAuftragnehmer.

Quelle:https://secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf,22.03.2018

DieGesamtheitderUmsetzungsvorgabensollalleBeständeanpbDderverantwortlichenStelleabdecken.DieUmsetzungsvorgabensollenindieDokumentationsstrukturderverantwortlichenStelleeingeordnetwer-den.IndenweiterenAbschnittendiesesKapitelswerdenHinweisedazuundzurVerantwortungfürdiePflegeunddieFreigabederUmsetzungsempfehlungengegeben.InhaltvonUmsetzungsvorgabenJedederUmsetzungsvorgabensolltediefolgendenFragenbeantworten:

§ FürwelchekonkretenIT-SystemeoderanderenDatenbeständegiltdieUmsetzungsvorgabe?

23von32

§ WelcheDatenartenwerdenimRegelungsbereichderUmsetzungsvorgabeverwendet?

§ FürjedederDatenarten:WelcheLöschregelistanzuwenden?WelchetechnischenBedingungenbildendenAuslöserderFrist?

§ DurchwelchenMechanismuswirddieLöschungdurchgeführt?

§ SoweitLöschmechanismenkonfigurierbarsind:WelcheParametersindmitwelchenWertenzuver-

wenden,umdiezulöschendenDatenzubestimmen?

§ WeristfürdenStartunddieÜberwachungdesMechanismusverantwortlich?

§ WieistdieDurchführungvonLöschmaßnahmenzudokumentieren?

§ AusdiesenAngabenlassensichaufeinfacheWeiseAudit-PlänefürdieLöschvorgabenerstellen.Esisthäufignichtnotwendig,dieVorhaltefristdereinzelnenDatenarteninjedemIT-Systemauszunutzen.Des-halbkönnendenUmsetzungsvorgabengegebenenfallskürzereLöschfristendefiniertwerden,alsnachdenRegellöschfristenderjeweiligenDatenartenzulässig.DadurchwirddemdatenschutzrechtlichenPrinzipderDatensparsamkeitRechnunggetragen.DieEntscheidungüberkürzereFristenmussfachlicheundbetrieblicheAnforderungenberücksichtigen.UmsetzungsvorgabenfürQuerschnittsbereicheLöschmaßnahmenmüsseninQuerschnittsbereichenumgesetztwerden.OftkönnendieVorgabeneinheitlichgeregeltwerden.InsbesonderefürdiefolgendenBereichekönneneinheitlicheRegelnnaheliegen.QuerschnittsbereichBackup:FürSicherungskopienmussnachdenenthaltenenDatenartengeregeltwerden,wannsiezulöschensind.Gegebenenfallsistfestzulegen,wieDatenbeständeaufSicherungskopienaufzuteilensind,damitdatenschutzrechtlichvertretbareLöschfristenumgesetztwerdenkönnen.SicherungskopienkönnennebenderProduktionsumgebungauchfürweitereUmgebungenerstelltwerden,z.B.TestumgebungenoderEntwicklungsumgebungen.WennindiesenSicherungskopienebenfallspbDenthaltenseinkönnen,müssendieUmsetzungsvorgabenauchfürdieseUmgebungengelten.QuerschnittsbereichProtokolle:SoweitinProtokollenpbDenthaltensind,sindsieDatenartenzuzuordnen.WennvielfachähnlicheInhalteprotokolliertwerden,kanndieLöschungübereineVorgabefürdenQuer-schnittsbereichgeregeltwerden.GegebenenfallskönnenaucheigeneDatenartenfürverschiedeneTypenvonProtokollenoderLog-Einträgendefiniertwerden.FallsinProtokollenDatenobjekteandererDatenartenenthal-tensind,istzubeachten,dassdieseDatenobjekteinProtokollennichtspätergelöschtwerdendürfen,alsdieoriginärenDatenobjekte.QuerschnittsbereichTransportsysteme:MancheSystemenehmennurTransportaufgabenwar,z.B.Kommuni-kations-ServeroderMiddleware-Komponenteninservice-orientiertenArchitekturen.DieDatenwerdennacherfolgreicherÜbertragungmöglicherweisenochkurzeZeitfürPrüf-oderRecovery-Zweckevorgehalten,imRegelbetriebaberspätestensnachwenigenTagengelöscht.SoweitkeineDatenartenübertragenwerden,de-renLöschfristenkürzersindalsdieüblicheSpeicherdauerindenTransportsystemen,kannfürdieGruppevonSystemeneineeinheitlicheVorgabefürdieUmsetzunggetroffenwerden.IndieserVorgabeistauchzuregeln,wieeinkontinuierlichesMonitoringderTransportfunktionengewährleistetwird.Diesstelltsicher,dassStörungenzeitnaherkanntundbehobenwerden.DadurchwerdenauchVerzögerungenderLöschungvonDatenströmenvermieden.QuerschnittsbereichRückbauvonSystemen:SolangeDatenträgernochpbDenthaltenkönnen,dürfensienichtwiederverwendetoderentsorgtwerden.UmdasMissbrauchsrisikomöglichstgeringzuhalten,müssendieenthaltenenDatenbeständedahermöglichstbaldnachdemRückbaudesSystemsgelöschtwerden.Dieent-sprechendenVorgabenkönneneinheitlichfürdenQuerschnittsbereichgetroffenwerden.SolcheRichtlinienkönnenschonausanderenGründenbestehen,z.B.umeineVertraulichkeitsklassifikationumzusetzen.DannkönnendieAspektedesLöschkonzeptsdorteingearbeitetwerden.

24von32

DieUmsetzungsvorgabenfürQuerschnittsbereichehabenRichtliniencharakter.SiesolltendaherindieRichtli-nien-StrukturderverantwortlichenStelleeingeordnetwerden.ZielgruppederDokumentesinddiefürdenjeweiligenQuerschnittsbereichverantwortlichenEntscheidungsträ-gersowiedieMitarbeiter,diedieRichtlinieumsetzenmüssen.

EmpfehlungenfürPflegeverantwortungundFreigaberegelnder„UmsetzungsvorgabenfürQuerschnittsbereiche“

Pflegeverantwortung:

VerantwortlicherfürDatenschutz(soweitkeineZu-ständigkeitandererOrganisationseinheitenbesteht)

VoraussetzungenfürdieFreigabevonÄnderungen:

ReviewdurchbetroffeneOrganisationseinheiten

datenschutzrechtlicheFreigabedurch:

VerantwortlicherfürDatenschutz.

Eskannnotwendigsein,dassnachgewiesenwird,welcheDatenträgerdurchLöschenfreigegebenundwelchevernichtetwurden.ErgänzendzudenUmsetzungsvorgabenimQuerschnittsbereich„RückbauvonSystemen“istesdannsinnvoll,ein„BestandsverzeichnisderDatenträger“zuführenunddieDokumentationderLöschungoderVernichtungvorzusehen:

EmpfehlungenfürPflegeverantwortung„BestandsverzeichnisderDatenträger“

PflegeverantwortungfürdasBestandsverzeichnis: fürdieLöschungbzw.VernichtungderDatenträger

verantwortlicheOrganisationseinheit

UmsetzungsvorgabenfüreinzelneIT-SystemeFürIT-SystemeoderDatenbestände,dienichtdurchdieUmsetzungsvorgabefürQuerschnittsbereicheabge-decktwerden,müssenspezielleUmsetzungsvorgabenerstelltwerden.DieUmsetzungsvorgabenfüreinzelneIT-Systemebeschreiben,welcheLöschmechanismenmitwelcherKonfi-gurationsicherstellen,dassimkonkretenSystemdieBeständemitpbDgelöschtwerden.SiebeschreibendieSoll-VorgabefürdasjeweiligeSystem.DieUmsetzungsvorgabenfürdieeinzelnenIT-SystemebildendamitdieGrundlagefürdiebetrieblicheKonfigurationundSteuerungsowiedasMonitoringeinzelnerIT-Systeme.Esistsinnvoll,indenUmsetzungsvorgabenfüreinzelneSystemdiekonkretenVerwendungszweckedereinzel-nengespeichertenDatenbeständeunddieAbhängigkeitenzuanderenSystemenanzugeben.Dadurchkannschnellentschiedenundnachvollzogenwerden,obimjeweiligenSystemdieLöschfristfüreineDatenartge-genüberderRegellöschfristverkürztwerdenkann(PrinzipderDatensparsamkeit,Kosteneinsparungen).ANMERKUNG1:OftwerdenDatenbeständenachdemEndedeseigentlichenGeschäftsprozessesnurnochwegengesetzlicherAufbewahrungspflichtenvorgehalten.Meistgenügtesdaher,dasseinSystemdieDatenfürdiesenZweckvor-hält.ANMERKUNG2:FallsDatenobjekteanDritteübertragenwerdenmüssen,beispielsweiseeinstaatlichesArchiv,istdiesalsAb-hängigkeitvoreinerLöschungzuberücksichtigen.DieUmsetzungsvorgabesolldieseAbhängigkeitausweisenundimLöschmechanismusberücksichtigen.HäufigwerdendurcheinenLöschmechanismusganzeDatensätzeoderDateiengelöscht.InmanchenFällensollenabernurfeingranulareDatenobjektegelöschtwerden.DiesistbeispielsweisedannderFall,wennDa-

25von32

tenbeständeanonymisiertwerdensollen.InsolchenFällenmussdieUmsetzungsvorgabeimDetailfestlegen,welcheDatenobjektewiezubehandelnsind.BEISPIELE:UmdenPersonenbezugeinesDatensatzesineinerDatenbankaufzulösen,müssendieeinzelnenAttributean-gegebenwerden,derenWertezulöschensind.WenndurchAggregationeinWechselzueinerDatenartmitlängererLöschfristerreichtwerdensoll,mussbeispielsweiseangegebenwerden,welcheAttributeaufsummiertoderwelche(vielleichtminutengenauen)ZeitangabenaufeineJahresangabeverallgemeinertwerden.PrimäreZielgruppedieserUmsetzungsvorgabensinddieAdministratorensowiedieAnwender,diedieProzessegestalten,indenendiejeweiligenDatenbeständeverwendetwerden.Esbietetsichan,dieUmsetzungsvorgabenfüreinzelneIT-SystemejeweilsalseigenständigesSystemlöschkon-zeptzudokumentieren.IndiesemFallkönnendieLöschmechanismenunabhängigvonanderenbetrieblichenAnforderungendargestelltwerden.Esistaberauchmöglich,dieentsprechendenInformationenindieSystem-undBetriebshandbücherderSystemezuintegrieren.

EmpfehlungenfürdiePflegeverantwortungundFreigaberegelnder„UmsetzungsvorgabenfüreinzelneIT-Systeme“

Pflegeverantwortung:

fürdasSystembetrieblichverantwortlicheOrganisa-tionseinheit

VoraussetzungenfürdieFreigabevonÄnderungen:

ReviewdurchweiterebetroffeneOrganisationsein-heiten

datenschutzrechtlicheFreigabedurch:

VerantwortlicherfürDatenschutz.

ANMERKUNG1:DiePflegeverantwortungsolltederbetrieblichverantwortlichenOrganisationseinheitzugewiesenwerden,weilsieineinemgeordnetenIT-ManagementdenbestenÜberblicküberÄnderungenamjeweiligenSystemhat.SiekannaußerdemWechselwirkungenzwischenUmsetzungsvorgabenzurLöschungundanderenbetrieblichenAbläufenbewerten.SchließlichmussdiebetrieblichverantwortlicheOrganisationseinheitdafürSorgetragen,dassdiefreigegebenenVorgabenauchumgesetztwerden.ANMERKUNG2:AndereOrganisationseinheitensolltenverpflichtetwerden,diebetrieblichverantwortlicheOrganisationseiheitbeiderPflegezuunterstützen.BeispielsweisesolltendiefürdieSystementwicklungundSystembeschaffungverantwortlichenOrganisationseinheitenverpflichtetsein,dienotwendigenInformationenbereitzustellen,dienachtechnischenÄnderungenfürdiePflegederUmsetzungsvorgabebenötigtwerden.ANMERKUNG3:IndenReview-ProzessmüsseninsbesonderedieAnwenderdesjeweiligenSystemseinbezogenwerden,damitsiediefachlichenAuswirkungenvonLöschregelnbewertenkönnen.ANMERKUNG4:DiedatenschutzrechtlicheFreigabemussdurchdenVerantwortlichenfürDatenschutzerfolgen,damiterveränderteUmsetzungsvorgabenaufKonformitätmitdemDatenschutzprüfenkann.WenndieUm-setzungsvorgabezumLöscheneineigenständigesDokumentist,lässtsichderFreigabeprozessinderRegeleffizientergestalten,alswenndieUmsetzungsvorgabenTeileinesSystem-oderBetriebshandbuchssind.EinzelmaßnahmenzurLöschungvonDatenbeständenAllgemeineHinweisezuUmsetzungsvorgabenfürEinzelmaßnahmen

26von32

DieUmsetzungsvorgabenfürQuerschnittsbereicheundfürdieeinzelnenIT-SystemedeckendiegroßenDaten-beständeinderautomatisiertenRegelverarbeitungab.NebendiesenDatenbeständenmüssenaberhäufigweitereBeständeanpbDberücksichtigwerden.DiefolgendenAbschnittebeschreibensolcheDatenbeständebeispielhaft.DieverantwortlicheStellemussgewährleisten,dassdieUmsetzungsvorgabenfürdieseundgegebenenfallsweitereDatenbeständeerstelltundumgesetztwerden.ZudenEinzelmaßnahmenzählenauchmancheSondersituationen,indenendasLöschennichtvonLöschregelnimSinnedieserLeitliniebestimmtwerdenkann.UmsetzungsvorgabenfürDatenobjekteimArbeitsalltagFürdenallgemeinenBürobetriebkönnenLöschregelnfestgelegtwerden,beispielsweisezurBehandlungvonDokumentenabgeschlossenerProjekteoderfürE-Mails.DieseUmsetzungsvorgabensolltenineinbestehendesMitarbeiterhandbuchintegriertwerden.Esistsinnvoll,dortauchübersichereEntsorgungsmöglichkeitenfürDateien,PapierdokumenteundDatenträgerzuinformieren.ZielgruppesindalleMitarbeiterderverantwortlichenStelle.

EmpfehlungenfürdiePflegeverantwortungundFreigaberegelnder„UmsetzungsvorgabenfürDatenobjekteimArbeitsalltag“

Pflegeverantwortung:

OrganisationseinheitmitVerantwortungfürdiePfle-gedesMitarbeiterhandbuchs

VoraussetzungenfürdieFreigabevonÄnderungen:

gemäßderRegelnderverantwortlichenStellefürdiesesMitarbeiterhandbuch

Freigabedurch:

gemäßderRegelnderverantwortlichenStellefürdiesesMitarbeiterhandbuch.DerVerantwortlichefürDatenschutzistanderFrei-gabezubeteiligen.

UmsetzungsvorgabenfürDatenbeständeinmanuellenProzessenBeständemitpbD,dieinregelmäßigenmanuellenProzessenverwendetwerden,müssenebenfallsinnerhalbderRegellöschfristengelöschtwerden.Esbietetsichan,dieentsprechendenArbeitsaufgabeninArbeitsanweisungenfestzulegen.ZielgruppederArbeitsanweisungsinddiejeweilsammanuellenProzessbeteiligtenMitarbeiterunddieLeiterderentsprechendenOrganisationseinheiten.

EmpfehlungenfürPflegeverantwortungundFreigaberegeln„UmsetzungsvorgabenfürDatenbeständeinmanuellenProzessen“

Pflegeverantwortung:

Organisationseinheit,diedenjeweiligenmanuellenProzessverantwortet.

VoraussetzungenfürdieFreigabevonÄnderungen:

ReviewdurchdieOrganisationseinheiten,dieamjeweiligenmanuellenProzessbeteiligtistbzw.dieErgebnisseabnimmt.

Freigabedurch:

Organisationseinheit,diedenjeweiligenmanuellenProzessverantwortet.DerVerantwortlichefürDaten-schutzistanderFreigabezubeteiligen,wennLösch-

27von32

regelnbetroffensind.

UmsetzungsvorgabenfürDatenabzügefürSonderverwendungenInmanchenSituationenwerdenKopienvonDatenausdemRegelbetrieb(Datenabzüge)fürbesondereVer-wendungenbenötigt.Datenabzüge,dieaußerhalbderRegelprozesseverwendetwerden,müsseninnerhalbderFristgelöschtwerden,diemitdemVerantwortlichenfürdenDatenschutzvereinbartwurde.Esbietetsichan,dieentsprechendenAufgabenfürdieLöschunginEinzelvereinbarungenmitdemVerantwort-lichenfürDatenschutzfestzulegen.DieVereinbarungenkönnenz.B.imRahmeneinesvorhandenenChange-Managementserstelltundabgearbeitetwerden.ZielgruppederjeweiligenVereinbarungensinddieanderDurchführungderSonderverwendungbeteiligtenMitarbeitersowiederLeiterderverantwortlichenOrganisationseinheit.

EmpfehlungenfürPflegeverantwortungundFreigaberegeln„UmsetzungsvorgabenfürDatenabzügefürSonderverwendungen“

Pflegeverantwortung:

Organisationseinheit,diedieSonderverwendungbeantragt.

VoraussetzungenfürdieFreigabevonDatenabzügen:

ReviewdurchdieOrganisationseinheiten,diever-antwortlichfürdieDatensind(Daten-Owner,fachli-cheAnwender),durchdieOrganisationseinheiten,dieanderSonderverwendungbeteiligtsind,sowieggf.dieOrganisationseinheitenfürIT-BetriebundInfor-mationssicherheit.

datenschutzrechtlicheFreigabedurch:

VerantwortlicherfürDatenschutz

Esistsinnvoll,fürdieNachverfolgungvonAusnahmeregelungenfürUmsetzungsvorgabenoderDatenabzügeeineÜbersichtüberdieseFällezuführen.DieRückkehrzumRegelbetrieboderdieLöschungderDatenabzügekannindieserÜbersichtnacheinerentsprechendenRückmeldungderjeweilsverantwortlichenOrganisations-einheitdokumentiertwerden.

EmpfehlungenfürPflegeverantwortungundFreigaberegeln„ÜbersichtüberAusnahmeregelungen“

Pflegeverantwortung:

VerantwortlicherfürDatenschutz

VoraussetzungenfürdenjeweiligenRückbau-Vermerk:

EntsprechendeRückmeldungvonderverantwortli-chenOrganisationseinheit.

Freigabedurch:

Nichterforderlich.

UmsetzungsvorgabenfürRestbeständeinIT-SystemenDieUmsetzungsvorgabenfürQuerschnittsbereicheundfürdieeinzelnenIT-SystemedeckendieautomatisierteRegelverarbeitungab.DiedortfestgelegtenMechanismenerfassenabermöglicherweisenichtallepbD,diezulöschensind.DieverantwortlicheStellemussdahersicherstellen,dassauchRestbeständegelöschtwerden.DarunterfallenbeispielsweisediefolgendenundgegebenenfallsweitereDatenbestände:

§ Datenbestände,fürdiekeineRegelprozesseimplementiertwurden.

28von32

§ Datenbestände,diez.B.imZusammenhangmitMigrationennichtvonRegelprozessengelöschtwer-den.

§ Datenbestände,diedurchFehlerinLöschmechanismenodernacheinemSystem-RecoveryvonRegel-

prozessennichtgelöschtwerden.DasLöschkonzeptsollteregeln,werfürdieIdentifikationundLöschungsolcherDatenbeständeverantwortlichist.Esbietetsichan,identifizierteBeständeinbetrieblichenProzessenzulöschen.DieUmsetzungsvorgaben,dieregelmäßigdurchgeführtwerdenmüssen,könnteninentsprechendenbetrieblichenArbeitsanleitungengetrof-fenwerden.EinmaligeArbeitenkönnenz.B.imRahmeneinesvorhandenenChange-Managementsfestgelegtundabgearbeitetwerden.ImRegelfallsolltefürdieseDatenbeständegeklärtsein,dasssiezulöschensind.PrimäreZielgruppederbe-trieblichenArbeitsanleitungensinddaherdiebetrieblichverantwortlichenMitarbeiter.WennUnsicherheitüberdiefachlicheVerwendungderRestbeständebesteht,kannesnotwendigsein,dieanwendendenOrganisa-tionseinheitenineinenReview-Prozesseinzubinden.

EmpfehlungenfürPflegeverantwortungundFreigaberegeln„UmsetzungsvorgabenfürRestbeständeinIT-Systemen“

Pflegeverantwortung:

FürdieLöschungverantwortlicheOrganisationsein-heit.

VoraussetzungenfürdieFreigabevonÄnderungen:

Ggf.ReviewdurchdiebetroffenenOrganisationsein-heiten.

DatenschutzrechtlicheFreigabedurch:

VerantwortlicherfürDatenschutz.

UmsetzungsvorgabenfürunzulässigeBeständemitpersonenbezogenenDatenWenn festgestelltwird, dass Beständemit pbDnachden einschlägigenRechtsvorschriften durchdie verant-wortliche Stelle unzulässigerweise gespeichertwerden, sind diese zu löschen. Im Regelfall sind unverzüglichbetrieblicheLöschmaßnahmenzuergreifen.WenneinBetroffenereinLöschbegehrenfürDatenobjektestellt,diesichaufihnbeziehen,unddieseunzulässigerweisegespeichertsind,sinddieseebenfallszulöschen.Die eingesetzten IT-Systeme und Prozesse müssen dieMöglichkeit bieten, dass nach einer entsprechendenMitteilung des Verantwortlichen für den Datenschutz die Löschung unverzüglich umgesetzt wird. Nach derMitteilung könnten die Umsetzungsvorgaben in betrieblichen Einzelweisungen gegebenwerden, z. B. durchdenDaten-Owner.DieWeisungenkönnenz.B. imRahmeneinesvorhandenenChange-Managementserstelltundabgearbeitetwerden.PrimäreZielgruppederbetrieblichenEinzelweisungensinddiebetrieblichverantwortlichenMitarbeiter.

EmpfehlungenfürdiePflegeverantwortungundFreigaberegelnder„UmsetzungsvorgabenfürunzulässigeBeständemitpersonenbezogenenDaten“

Pflegeverantwortung:

Vorgabe für die Einzelweisung: Verantwortlicher fürDatenschutzSteuerungderbetrieblichenUmsetzung:Organisationseinheit mit Verantwortung für denunzulässigenDatenbestand.

VoraussetzungenfürdieFreigabevonÄnderungen:

Entfällt, da rechtlich unzulässiger Datenbestand undgesetzlicheLöschpflicht.

29von32

DatenschutzrechtlicheFreigabedurch:

ImplizitdurchdieMitteilungdesVerantwortlichenfürDatenschutz an den Prozessverantwortlichen für dieLöschung.

UmsetzungsvorgabenfürAuftragnehmerDie verantwortliche Stelle muss auch sicherstellen, dass die Regellöschfristen auch für ihre Datenbeständeeingehaltenwerden,diebeiAuftragnehmernverarbeitetwerden.DieUmsetzungsvorgabenmüssenübervertraglicheRegelungenundverbindlicheWeisungengetroffenwerden.Zielgruppe dieser Umsetzungsvorgaben sind die für die Umsetzung beim Auftragnehmer verantwortlichenMitarbeiter.

EmpfehlungenfürdiePflegeverantwortungundFreigaberegelnder„UmsetzungsvorgabenfürAuftragnehmer“

Pflegeverantwortung:

Vertragliche Vereinbarungen: die für Vertragsgestal-tungen bei der verantwortlichen Stelle zuständige/nOrganisationseinheit/en,z.B.Recht,EinkaufEinzelweisungen: für die Steuerung des Auftragneh-mers verantwortliche Organisationseinheit der ver-antwortlichenStelle.

VoraussetzungenfürdieFreigabevonÄnderungen:

Ggf.ReviewdurchweiterebetroffeneOrganisations-einheiten oder den Verantwortlichen für Daten-schutz.

Freigabedurch:

InSonderfällen:verantwortlicheOrganisationseinheitnach Rücksprache mit dem Verantwortlichen fürDatenschutz.

XII. Management-System:VerantwortungundProzessefürdasLöschenvonpersonenbezogenenDa-ten

XIII. AllgemeineEinbettungineinManagement-SystemImLöschkonzeptderverantwortlichenStellemussfestgelegtwerden,werfürwelcheAufgabenverantwortlichist.Dazuistesnotwendig,dieAufbauorganisationfürdasLöschenzudefinieren.AußerdemmussinderAblau-forganisationgeregeltwerden,wiedieimRahmendesLöschkonzeptsrelevantenProzessedurchzuführensind.Die Verantwortung und Prozesse zur Etablierung, Umsetzung, Pflege und Verbesserung des LöschkonzeptssollenineinManagement-SystemfürDatenschutz-Aufgabeneingebettetwerden.HierfüristdieGeschäftsfüh-rungverantwortlich.Die folgenden Abschnitte fassen die in den vorangehenden Kapiteln aufgeführten Aufgaben zusammen undordnensienachVerantwortungsbereichen.DurchdieFestlegungenfürdasLöschkonzeptoderseineUmsetzungkönnenOrganisationseinheitenbetroffensein,diepbDfürihreGeschäftsprozesseverwenden.SiemüssenanderGestaltunggeeignetbeteiligtwerden,z.B.inFormvonReview-Aufforderungen.RolledesVerantwortlichenfürDatenschutzPflegeverantwortungfürDokumente

30von32

Erwirdempfohlen,folgendeVerantwortungbeimVerantwortlichenfürDatenschutzanzu-siedeln:

§ PflegedesDokuments„Löschkonzept“AuslöserfürÄnderungensindEntscheidungenderverantwort-lichenStelle,VerantwortungoderDokumentationsstrukturdesLöschkonzeptsanzupassen.

§ PflegedesDokuments„Regellöschfristen“.AuslöserfürÄnderungensinddieIdentifikationzusätzlicher

Datenarten,AnpassungenvonLöschregelnoderÄnderungenvoneinschlägigenRechtsvorschriftenmitAuswirkungen auf Löschregeln. Durch solche Änderungen kann es auch notwendig sein, die Zuord-nungvonDatenartenzuLöschklassenanzupassenodergeänderteoderzusätzlicheStandardfristenzuverwenden.

§ Pflege der Dokumentemit Umsetzungsvorgaben für Querschnittsbereiche Auslöser für Änderungen

sindÄnderungenbetrieblicherAnforderungenoderProzesse.WeitereProzessebeimVerantwortlichenfürDatenschutzDerVerantwortlichefürDatenschutzsollaußerdemEigentümerderfolgendenProzessesein:

§ LöschenvonunzulässigenBeständemitpbD.FürdenProzessistfestzulegen,wiederVerantwortlichefürDatenschutzdieLöschungunzulässigerhobenerodergespeicherterpbDveranlassenkann.Essolltefestgelegtwerden,welcheOrganisationseinheitdieLöschungumsetzenmussunddasssiedemVer-antwortlichenfürDatenschutzüberdenVollzugberichtet.

§ Datenschutz-AuditfürLöschmaßnahmen

§ FürdenProzessistfestzulegen,wiediePlanungunddieDurchführungvonDatenschutz-Auditserfol-

gensollen.Eswirdempfohlen,demVerantwortlichenfürDatenschutzauchdasRechteinzuräumen,diejeweilsfürdieUmsetzungsvorgabenverantwortlicheOrganisationseinheitaufzufordern,einAuditdurchzuführenundüberdasErgebniszuberichten.

ANMERKUNG:AusdenindenUmsetzungsvorgabengefordertenAngabenlassensichaufeinfacheWeisePrüfbedingungenfürAuditsableiten.Freigabe-BeteiligungenDerVerantwortlichefürDatenschutzmussanderFreigabederfolgendenDokumentebeteiligtsein:

§ Umsetzungsvorgaben für Löschmaßnahmen (siehe Kap. 9). Es wird empfohlen, die Erstellungs- undPflegeprozessefürdiejeweiligenUmsetzungsvorgabeninvorhandeneProzesseeinzubetten,z.B.Be-trieb,Change-ManagementundEinkauf.DieProzessemüssensicherstellen,dassderVerantwortlichefürDatenschutzneuenDokumentenundrelevantenÄnderungenzustimmenmuss.

§ AnforderungsdokumentefürSystembeschaffungenundSystementwicklungsprojekte.DieErstellungs-

undPflegeprozessemüssensicherstellen,dassderVerantwortlichefürDatenschutzprüfenkann,

§ obpbDimjeweiligenSystemverwendetunddeshalbLöschmechanismenrealisiertwerdenmüssen,

§ obdie in denAnforderungendefinierten Löschmechanismenausreichend sindundden Löschregelnentsprechenund

§ obgegebenenfallsgefordertwerdenmuss,dassLöschungenimEinzelfallmöglichsind.

DiesePrüfungenkönnenindiedatenschutzrechtlichenFreigabeprozessefürSystembeschaffungenundSyste-mentwicklungsprozesseintegriertwerden.VerantwortungundProzesseimZusammenhangmitUmsetzungsvorgaben

31von32

OrganisationseinheitenmitVerantwortungfürBeständemitpersonenbezogenenDatenFürjedenBestandanpbDsollsichergestelltwerden,dasseineOrganisationseinheitdieVerantwortungfürdieUmsetzungvonLöschmaßnahmenträgt.ZuihrenAufgabengehörtes,

§ UmsetzungsvorgabenderLöschregelnfürdenjeweiligenDatenbestandmitdemVerantwortlichenfürDatenschutzabzustimmenundfestzulegen,

§ dieDurchführungderUmsetzungsvorgaben sicherzustellen, zu überwachenund gegebenenfalls denErfolgderMaßnahmenzuüberprüfen,

§ imFalle vonÄnderungenamDatenbestandoderdenVerwendungsprozessendieUmsetzungsvorga-

benzuaktualisierenunddenVerantwortlichenfürDatenschutzindieFreigabeeinzubinden.

WeitereAufgabenimZusammenhangmitUmsetzungsvorgabenDieverantwortlicheStellesollsicherstellen,dassjederBestandmitpbDgeeignetenUmsetzungsvorgabenun-terliegt.UmdieDatenbeständedenVerantwortlichenzuzuordnen,benötigtdieverantwortlicheStelleeineListederIT-SystemeundandererDatenbestände.UnterandereDatenbeständekönnenz.B.manuelloderbeiAuftragnehmern geführte Datenbestände fallen. Diese Liste und die Zuordnung der Verantwortlichen mussgepflegtwerden.

EmpfehlungenfürdiePflegeverantwortungder„ÜbersichtüberIT-SystemeundandereBeständemitpbD“

Pflegeverantwortung:

Organisationseinheit,diedenIT-Betriebsteuert.

AufnahmevonErgänzungenundÄnderungen:

Bspw. im Zusammenhang mit Release-PlanungenoderaussonstigenHinweisen.

Freigabedurch:

Nichterforderlich.

InmanchenFällenkönnenLöschmaßnahmennichtsofortrealisiertwerden,beispielsweise,weileineFehlerbe-hebung oder eineWeiterentwicklung eines IT-Systems notwendig ist. Die verantwortliche Stellemuss einenÜberblick über solche Handlungsbedarfe haben, damit sie diese priorisieren und nachverfolgen kann. Dazumussentschiedenwerden,obdieHandlungsbedarfeindenjeweiligenUmsetzungsvorgabenausgewiesenoderaneinerStellegesammeltwerden.

EmpfehlungenfürdiePflegeverantwortungder„HandlungsbedarfeausUmsetzungsvorgaben“

Pflegeverantwortung: ENTWEDER:

§ PflegederdetailliertenHandlungsbedarfe inden

UmsetzungsvorgabendurchdiefürdenDatenbe-standverantwortlicheOrganisationseinheitund

§ PflegeeinerÜbersichtsliste, die auf die entspre-chendenUmsetzungsvorgabenverweist;dieVer-antwortungfürdiePflegeistzuzuweisen.

ODER§ Pflege der detaillierten Handlungsbedarfe in

einer Gesamtliste; die Verantwortung für diePflegeistzuzuweisen.

32von32

AufnahmevonHandlungsbedarfen:

Insbesondere im Zusammenhang mit den Freigabe-prozessenfürUmsetzungsvorgaben.

VermerküberErledigungvonHandlungsbedarfen:

Nach Bestätigung durch die verantwortliche Organi-sationseinheit, dass der Handlungsbedarf erledigtwurde.

ANMERKUNG:DerVerantwortliche fürDatenschutzsollteüberdieAufnahmeundErledigungvonHandlungsbedarfen infor-miertwerden.OrganisationseinheitChange-ManagementDie Veränderungen im IT-Betrieb und betriebliche Aufgaben aus besonderem Anlass sollten bei der verant-wortlichenStelledurcheinChange-Managementgesteuertwerden.Die für das Change-Management verantwortliche Organisationseinheit muss sicherstellen, dass der Verant-wortlichefürDatenschutzzurdatenschutzrechtlichenFreigabevonAktivitätenaufgefordertwird,diezurAus-setzungderLöschungvonpbDführenoderbesondereAktivitätenzumLöschenvonpbDerfordern.LetzteresistbeispielsweisederFall,wennKopienvonDatenbeständenaußerhalbvonRegelprozessenverwendetwerdensollen.DieProzessedesChange-Managementssindentsprechendanzupassen.OrganisationseinheitenmitVerantwortungzurSteuerungvonAuftragnehmernDieVerantwortung fürdieSteuerungvonAuftragnehmernsollte inderverantwortlichenStelleeindeutig zu-gewiesensein.Die fürdieVerträgemitAuftragnehmernverantwortlichenOrganisationseinheitenmüssensicherstellen,dassnebenanderemauchdieUmsetzungvonLöschmaßnahmenvertraglichevereinbartwird.DiefürdieSteuerungvonAuftragnehmernverantwortlichenOrganisationseinheitenmüssensicherstellen,dassdievertraglichenRegelungenundweitereWeisungenbeimAuftragnehmerumgesetztwerden.DieProzessefürEinkaufundSteuerungvonAuftragnehmernsindentsprechendanzupassen.