Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
Datenschutzberatung

Löschkonzept nach DSGVO

Wir sind Ihr Partner bei der Konzeptionierung und Umsetzung eines DSGVO-konformen Löschkonzepts.

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Hochqualifiziert
    Hochqualifizierte Consultants

    Die vielen unterschiedlichen Qualifikationen unserer Berater im Datenschutz und IT‑Bereich sind in der Branche einzigartig.

  • Praxiserprobtes Spezialwissen

    Kunden profitieren bei der Implementierung eines Löschkonzepts von unserem großen Erfahrungsschatz und Best Practices.

  • Individuell zugeschnitten

    Das Löschkonzept wird gemeinsam mit Ihnen und ganz individuell auf Ihre Anforderungen und Strukturen hin zugeschnitten erstellt.

Wir begleiten Sie bei der Durchführung des Löschkonzepts

Löschkonzept als praktischer Leitfaden für den Datenschutz

Personenbezogene Daten dürfen nur in dem Ausmaß und nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Sie sind zwingend zu löschen, wenn kein berechtigter Grund mehr besteht, diese aufzubewahren. Durch die Datenschutz-Grundverordnung, insbesondere Art. 17 und Art. 18 DSGVO, wurden diese Löschpflichten konkretisiert und die Nichtbeachtung mit drastischen Bußgeldern bewehrt. Waren Löschfristen früher oftmals eher eine interne Thematik, hat sich dies mit der DSGVO und den Informationspflichten und Auskunftsrechten in §§12ff DSGVO komplett gewandelt. Wenn heute Betroffene, etwa Kunden, Mitarbeitende oder Bewerbende Auskunfts- und Löschbegehren stellen, müssen Unternehmen schnell reagieren und darlegen können, welche Informationen sie wie lange aufbewahren – und dazu auch ein Löschkonzept etabliert haben.

Dieser an sich einfache Grundsatz gestaltet sich in der praktischen Umsetzung eines Löschkonzepts für Unternehmen allerdings oftmals schwierig. Denn bei Beantwortung der Frage sind verschiedene Bereiche und Abteilungen im Unternehmen involviert – mit differierenden Interessen, unterschiedlichen Aufbewahrungspflichten und Anforderungen sowie Wissensständen. Verstärkt wird die Unsicherheit dann, wenn historisch bedingt viele Daten nicht in zentralen Systemen, sondern als „unstrukturierte Daten“ in E‑Mail‑Ordnern, Laufwerksordnern oder Cloud‑Speichern abgelegt werden. Ziel des Projekts ist es daher nicht nur aufzuzeigen, wie Sie die gesetzeskonforme Löschung bzw. Sperrung von personenbezogenen Daten vornehmen können, sondern dass Sie mit dem Löschkonzept einen praktischen Leitfaden an die Hand bekommen, der sämtliche relevante Verfahren und Abteilungen abdeckt und als zentrales Dokument Ihres Datenschutzmanagements dient.

Erstellung von Löschkonzepten

Mit unserer spezialisierten Datenschutzberatung unterstützen Sie bei der Einhaltung der gesetzlichen Vorgaben zum Löschkonzept. Gemeinsam mit Ihnen definieren wir Ihre genauen Anforderungen und identifizieren nach Risikogruppen Ihre relevanten Systeme und Verfahren. Dabei orientieren wir uns nach den geltenden Standards, hier insbesondere DIN 66398 und den dort definierten Leitlinien zur Entwicklung eines Löschkonzepts. Zusammen mit Ihnen und den einzelnen Fachbereichen ermitteln wir die Datenflüsse, die relevanten Verarbeitungstätigkeiten und die einzelnen Aufbewahrungsfristen, etwa aus Kundenauftrag, Arbeitsvertrag, aus HGB, Abgabenordnung (AO) oder sonstigen Vorgaben wie den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung (GoBD).

Anschließend definieren wir gemeinsam mit Ihnen Löschregeln anhand der gesetzlichen Vorgaben und Ihren individuellen Gegebenheiten. Die Ergebnisse überführen wir in ein auf Ihre speziellen Vorgaben angepasstes Regelwerk in einer Sperr- bzw. Löschmatrix. Falls Sie bereits eine eigene Dokumentation wesentlicher Prozesse haben, wie das Verzeichnis Ihrer Verarbeitungstätigkeiten, können wir hierauf aufbauen und diese fortentwickeln. Diese Ergebnisse dokumentieren wir in einer begleitenden Fachkonzeption, die auch Basis für eine weiterführende technisch orientierte Konzeption und Umsetzungsplanung ist.

Falls Sie bereits unsere Datenschutzmanagement Software Guardileo nutzen, können Sie anschließend sämtliche Ergebnisse und Dokumentationen einfach direkt in ein zentrales System überführen.

So können wir Sie beim Löschkonzept unterstützen

  • Projektbegleitung und -steuerung, Rahmenkonzeption, Einführungs‑Schulung
  • Ermittlung der relevanten Prozesse und IT‑Systeme mit personenbezogenen Daten
  • Bildung von Clustern der relevanten Daten und Datenflüsse
  • Ableitung von Löschfristen anhand der Aufbewahrungspflichten mit Fachabteilungen
  • Erstellung von Löschregeln und Löschmatrix
  • Erarbeitung eines Umsetzungsplans mit Fachabteilungen und IT
  • Erstellung einer Fachkonzeption für ein kontinuierliches Sperren und Löschen personenbezogener Daten in Produktivsystemen
Hintergrundgrafik intersoft consulting services AG
Datenschutz-Profis: alle Branchen, alle Unternehmensstrukturen. Hier unverbindlich anfragen

Häufig gestellte Fragen zum Löschkonzept

Wir sagen Ihnen, was Sie zum Löschkonzept wissen sollten.

Das Löschkonzept wird individuell angepasst und gemeinsam mit dem Kunden erstellt. Daher startet das Projekt gewöhnlich mit einem Kick-off, bei dem basierend auf den speziellen Gegebenheiten der genaue Umfang des Projekts erarbeitet wird. Zu ermittelnde Informationen sind hierbei u. a. die IT-Umgebung, eingesetzte Soft- und Hardware, Ermittlung der beteiligten Abteilungen und verantwortlichen Personen, Ermittlung etwaiger Dienstleister und eine Übersicht über die Verarbeitungszwecke. Diese Informationen fließen in ein seitens der Auftragnehmerin zu erstellendes erstes Rahmenkonzept, das dann Basis der weiteren Tätigkeit ist.

Je nach Größe des Unternehmens finden dann Informationsveranstaltungen statt, um alle definierten Personen über Umfang und Ablauf des Projekts zu schulen und die nächsten Projektschritte zu planen. Nachdem der Scope definiert ist, beginnen wir gemeinsam mit Ihnen die einzelnen relevanten Löschfristen zu ermitteln. Diese erfassen wir in einer Löschmatrix, aus der im Anschluss gemeinsam Löschroutinen entwickelt werden.

Letztlich münden die Ergebnisse der einzelnen Teilprojekte in ein fertiges Rahmenkonzept, das als finales Löschkonzept die Basis für eine weiterführende technisch orientierte Konzeption und Umsetzungsplanung dient. Außerdem bildet es alle erforderlichen Informationen und Handreichungen für die dauerhafte datenschutzkonforme Löschpraxis in Ihrem Unternehmen.

Die Erstellung eines Löschkonzepts erfolgt individuell nach den jeweiligen Gegebenheiten des Unternehmens, etwa der Branche, der Art der Daten, der Verarbeitungszwecke und der Struktur des Unternehmens. Dennoch gibt es wesentliche Eckpunkte, die bei der Erstellung des Löschkonzepts regelmäßig zu beachten sind:

  • Klare Definition des Scopes und Festlegung eines Projektrahmens und der Verantwortlichkeiten
  • Zusammenbringen der relevanten Abteilungen, Standorte
  • Ermittlung der relevanten Verfahren und IT-Systeme auf den Inhalt personenbezogener Daten
  • Identifikation der relevanten, unstrukturierten Daten und Operatoren (z. B. Exceltabellen)
  • Clustering der personenbezogenen Daten nach einem einheitlichen fachlichen Zweck und Bildung von Datenkategorien und von Betroffenenzuständen
  • Individuelle Ermittlung der jeweiligen zwingenden Aufbewahrungspflichten
  • Definition von Löschregeln anhand gesetzlicher Vorgaben und individueller Gegebenheiten beim Auftraggeber
  • Erstellung eines Regelwerks in einer Lösch- und Sperrmatrix
  • Matching der Lösch- und Sperrmatrix mit dem Verzeichnis der Verarbeitungstätigkeiten, hinsichtlich der Systeme, Datenkategorien und Aufbewahrungsfristen
  • Umsetzungsplanung der Ergebnisse
  • Dokumentation sämtlicher Ergebnisse wie Lösch- und Sperrfristen und Ausnahmeregeln in einem begleitenden Fachkonzept

Ein funktionierendes Löschkonzept bringt das Know-how aus den verschiedenen Bereichen zusammen und dient der langfristigen Steuerung Ihrer Prozesse.

Die Herausforderung beim Löschkonzept ist gleichzeitig dessen größter Vorteil. Sie müssen verschiedene Bereiche und Abteilungen im Unternehmen und Standorte mit teilweise verschiedenen gesetzlichen Anforderungen und oftmals verschiedenen Interessen zusammenbringen und einheitliche Prozesse definieren. So besteht oftmals eine heterogene IT-Landschaft, in der die einzelnen Abteilungen verschiedene Systeme einsetzen und dann zusätzlich unterschiedliche Erwartungen an die Aufbewahrung von Daten haben. So können z. B. die Marketingabteilung, BI oder der Customer Support Daten eher länger aufbewahren wollen, während IT-Abteilung, Personalabteilung oder Betriebsrat eher zu knappen Fristen neigen. Bestehen mehrere Niederlassungen oder Standorte, national oder international, haben diese oftmals für sich unterschiedliche Vorgaben definiert und es besteht keine einheitliche Praxis, weder hinsichtlich der einzelnen Fristen noch hinsichtlich der genutzten Systeme.

Zudem kann es in Fällen, in denen noch keine gesetzlich vorgeschriebene Dokumentation der Verfahren vorhanden ist, dazu kommen, dass noch gar nicht klar ist, welche Verfahren und welche Daten überhaupt wie verarbeitet sind.

Doch hier liegen genau die Vorteile des Löschkonzepts. Es bringt die unterschiedlichen Bereiche zusammen und hilft Prozesse zu erkennen, zu verstehen und zu optimieren. Das ist wichtig, da das Wissen im Unternehmen oftmals heterogen und nicht einheitlich vorliegt. So entstehen Schwachstellen, die nicht nur eine datenschutzgerechte Praxis erschweren und zu erheblichen Bußgeldern führen können. Lücken in der Dokumentation machen Sie auch blind für technische und organisatorische Schwachstellen – gerade in Zeiten zunehmender Cyberangriffe ist dies ein klassisches Einfallstor für Kriminelle. Nur wenn Sie wissen, wie Ihre Organisation aufgestellt ist und welche Daten wie und wo verarbeitet werden, können Sie entsprechende Schutzmaßnahmen erstellen.

Sofern Ihr Unternehmen also hier noch Umsetzungsbedarf hat, kann die Erstellung eines Löschkonzepts zentrales Tool nicht nur des Datenschutzmanagements, sondern auch einer sicheren IT-Landschaft insgesamt sein.

Kompetenz von mehr als 70 Consultants

Mehr als 70 Beraterinnen und Berater liefern passende Lösungen für Ihr Unternehmen.

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

ISO 9001 zertifiziert

ISO 9001 zertifiziert

Mit der Zertifizierung seines Qualitätsmanagements nach ISO 9001 dokumentiert die intersoft consulting services AG ihr Streben nach stetiger Verbesserung der Dienstleistungen, Prozesse und Kosteneffizienz, um die Zufriedenheit von Kunden und Mitarbeitern weiter zu erhöhen.
Zertifikat öffnen

Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

Als gemeinnütziger Verein setzt sich die GDD für einen angemessenen, vertretbaren und technisch umsetzbaren Datenschutz ein. Ihr Zweck besteht darin, datenverarbeitende Stellen bei der Bearbeitung und Erfüllung von rechtlichen, technischen und organisatorischen Anforderungen in Bezug auf Datenschutz und Datensicherheit zu unterstützen. Wir engagieren uns im ERFA-Kreis Nord und schätzen den fachlichen Austausch.

IAPP Corporate Member

IAPP Corporate Member

Durch die Firmenmitgliedschaft in der International Association of Privacy Professionals (IAPP) sind unsere Berater weltweit mit führenden Datenschutz- und IT‑Sicherheitsexperten vernetzt. Als international anerkannter Standard signalisiert IAPP großes Vertrauen und gewinnt durch die neue DSGVO einen hohen Stellenwert.

ISO 27701 zertifiziert

ISO 27701 zertifiziert

Mit diesem Zertifikat belegt die intersoft consulting services AG, dass sie ihr bereits bestehendes Informationssicherheitsmanagementsystem nach ISO 27001 erfolgreich um ein Datenschutzmanagementsystem erweitert hat und nachweislich einen sicheren Umgang mit personenbezogenen Daten pflegt.
Zertifikat öffnen

Nach Verbandskriterien des BvD verpflichtet

Nach Verbandskriterien des BvD verpflichtet

intersoft consulting services ist mit ihren externen Datenschutzbeauftragten nach den Verbandskriterien „Fachkunde“ und „Zuverlässigkeit“ des Berufsverband der Datenschutzbeauftragten e.V. (BvD) verpflichtet. Die Kriterien gewährleisten ein hohes und konstantes Datenschutzniveau.

Hamburger Datenschutzgesellschaft e.V. (HDG)

Hamburger Datenschutzgesellschaft e.V. (HDG)

Die “Hamburger Gesellschaft zur Förderung des Datenschutzes e.V.” wurde als Forum für den Datenschutz von Vertreterinnen und Vertreter aus Wirtschaft, Wissenschaft und Medien gegründet. Als Mitglied beim HDG wirken wir aktiv an der Weiterentwicklung von Datenschutzthemen mit.

Deutsche Vereinigung für Datenschutz e.V. (DVD)

Deutsche Vereinigung für Datenschutz e.V. (DVD)

Die DVD verfolgt das Ziel, die Interessen von Bürgerinnen und Bürgern in allen Fragen des Datenschutzes, der Datenverarbeitung und der Datensicherung wahrzunehmen. Die Mitgliedschaft ermöglicht uns den Zugang zu umfangreichem Fachwissen und Netzwerkmöglichkeiten in der Datenschutzwelt.

CIPP/E-Zertifizierung

CIPP/E-Zertifizierung

Berater der intersoft consulting services AG sind durch die International Association of Privacy Professionals (IAPP) zum Certified Information Privacy Professional (CIPP/E) zertifiziert worden. Das Zertifikat ist ANSI- und ISO-konform (ISO 17024) und weist den Berater aus, über anerkannte Qualifikationen im europäischen Datenschutzbereich zu verfügen.

  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • ISO 27701 Lead Implementer
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
  • ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
  • IT-Sicherheitsbeauftragte (TÜV)
  • Business Continuity Manager (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Science Informationsmanagement
  • Bachelor of Science Informatik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • Cloud Information Security (ISO 27017/27018)

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

Mann + Hummel
SYZYGY
Panasonic Electric Works Europe
IQTIG Institut für Qualitätssicherung und Transparenz im Gesundheitswesen
GWH Wohnungsgesellschaft
Tourismusverband Hamburg
Porsche Consulting
Gemeinsamer Bundesausschuss

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Vertriebsleiterin Julia Reiter
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download

NEWSLETTERInfos zum Unternehmenkostenlose WebinareFachbeiträge