Ihre Vorteile
-
Hochqualifizierte Consultants
Die vielen unterschiedlichen Qualifikationen unserer Berater im Datenschutz und IT‑Bereich sind in der Branche einzigartig.
-
Praxiserprobtes Spezialwissen
Kunden profitieren bei der Implementierung eines Löschkonzepts von unserem großen Erfahrungsschatz und Best Practices.
-
Individuell zugeschnitten
Das Löschkonzept wird gemeinsam mit Ihnen und ganz individuell auf Ihre Anforderungen und Strukturen hin zugeschnitten erstellt.
Wir begleiten Sie bei der Durchführung des Löschkonzepts
Personenbezogene Daten dürfen nur in dem Ausmaß und nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Sie sind zwingend zu löschen, wenn kein berechtigter Grund mehr besteht, diese aufzubewahren. Durch die Datenschutz-Grundverordnung, insbesondere Art. 17 und Art. 18 DSGVO, wurden diese Löschpflichten konkretisiert und die Nichtbeachtung mit drastischen Bußgeldern bewehrt. Waren Löschfristen früher oftmals eher eine interne Thematik, hat sich dies mit der DSGVO und den Informationspflichten und Auskunftsrechten in §§12ff DSGVO komplett gewandelt. Wenn heute Betroffene, etwa Kunden, Mitarbeitende oder Bewerbende Auskunfts- und Löschbegehren stellen, müssen Unternehmen schnell reagieren und darlegen können, welche Informationen sie wie lange aufbewahren – und dazu auch ein Löschkonzept etabliert haben.
Dieser an sich einfache Grundsatz gestaltet sich in der praktischen Umsetzung eines Löschkonzepts für Unternehmen allerdings oftmals schwierig. Denn bei Beantwortung der Frage sind verschiedene Bereiche und Abteilungen im Unternehmen involviert – mit differierenden Interessen, unterschiedlichen Aufbewahrungspflichten und Anforderungen sowie Wissensständen. Verstärkt wird die Unsicherheit dann, wenn historisch bedingt viele Daten nicht in zentralen Systemen, sondern als „unstrukturierte Daten“ in E‑Mail‑Ordnern, Laufwerksordnern oder Cloud‑Speichern abgelegt werden. Ziel des Projekts ist es daher nicht nur aufzuzeigen, wie Sie die gesetzeskonforme Löschung bzw. Sperrung von personenbezogenen Daten vornehmen können, sondern dass Sie mit dem Löschkonzept einen praktischen Leitfaden an die Hand bekommen, der sämtliche relevante Verfahren und Abteilungen abdeckt und als zentrales Dokument Ihres Datenschutzmanagements dient.
Mit unserer spezialisierten Datenschutzberatung unterstützen Sie bei der Einhaltung der gesetzlichen Vorgaben zum Löschkonzept. Gemeinsam mit Ihnen definieren wir Ihre genauen Anforderungen und identifizieren nach Risikogruppen Ihre relevanten Systeme und Verfahren. Dabei orientieren wir uns nach den geltenden Standards, hier insbesondere DIN 66398 und den dort definierten Leitlinien zur Entwicklung eines Löschkonzepts. Zusammen mit Ihnen und den einzelnen Fachbereichen ermitteln wir die Datenflüsse, die relevanten Verarbeitungstätigkeiten und die einzelnen Aufbewahrungsfristen, etwa aus Kundenauftrag, Arbeitsvertrag, aus HGB, Abgabenordnung (AO) oder sonstigen Vorgaben wie den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung (GoBD).
Anschließend definieren wir gemeinsam mit Ihnen Löschregeln anhand der gesetzlichen Vorgaben und Ihren individuellen Gegebenheiten. Die Ergebnisse überführen wir in ein auf Ihre speziellen Vorgaben angepasstes Regelwerk in einer Sperr- bzw. Löschmatrix. Falls Sie bereits eine eigene Dokumentation wesentlicher Prozesse haben, wie das Verzeichnis Ihrer Verarbeitungstätigkeiten, können wir hierauf aufbauen und diese fortentwickeln. Diese Ergebnisse dokumentieren wir in einer begleitenden Fachkonzeption, die auch Basis für eine weiterführende technisch orientierte Konzeption und Umsetzungsplanung ist.
Falls Sie bereits unsere Datenschutzmanagement Software Guardileo nutzen, können Sie anschließend sämtliche Ergebnisse und Dokumentationen einfach direkt in ein zentrales System überführen.
So können wir Sie beim Löschkonzept unterstützen
- Projektbegleitung und -steuerung, Rahmenkonzeption, Einführungs‑Schulung
- Ermittlung der relevanten Prozesse und IT‑Systeme mit personenbezogenen Daten
- Bildung von Clustern der relevanten Daten und Datenflüsse
- Ableitung von Löschfristen anhand der Aufbewahrungspflichten mit Fachabteilungen
- Erstellung von Löschregeln und Löschmatrix
- Erarbeitung eines Umsetzungsplans mit Fachabteilungen und IT
- Erstellung einer Fachkonzeption für ein kontinuierliches Sperren und Löschen personenbezogener Daten in Produktivsystemen
Häufig gestellte Fragen zum Löschkonzept
Wir sagen Ihnen, was Sie zum Löschkonzept wissen sollten.
Das Löschkonzept wird individuell angepasst und gemeinsam mit dem Kunden erstellt. Daher startet das Projekt gewöhnlich mit einem Kick-off, bei dem basierend auf den speziellen Gegebenheiten der genaue Umfang des Projekts erarbeitet wird. Zu ermittelnde Informationen sind hierbei u. a. die IT-Umgebung, eingesetzte Soft- und Hardware, Ermittlung der beteiligten Abteilungen und verantwortlichen Personen, Ermittlung etwaiger Dienstleister und eine Übersicht über die Verarbeitungszwecke. Diese Informationen fließen in ein seitens der Auftragnehmerin zu erstellendes erstes Rahmenkonzept, das dann Basis der weiteren Tätigkeit ist.
Je nach Größe des Unternehmens finden dann Informationsveranstaltungen statt, um alle definierten Personen über Umfang und Ablauf des Projekts zu schulen und die nächsten Projektschritte zu planen. Nachdem der Scope definiert ist, beginnen wir gemeinsam mit Ihnen die einzelnen relevanten Löschfristen zu ermitteln. Diese erfassen wir in einer Löschmatrix, aus der im Anschluss gemeinsam Löschroutinen entwickelt werden.
Letztlich münden die Ergebnisse der einzelnen Teilprojekte in ein fertiges Rahmenkonzept, das als finales Löschkonzept die Basis für eine weiterführende technisch orientierte Konzeption und Umsetzungsplanung dient. Außerdem bildet es alle erforderlichen Informationen und Handreichungen für die dauerhafte datenschutzkonforme Löschpraxis in Ihrem Unternehmen.
Die Erstellung eines Löschkonzepts erfolgt individuell nach den jeweiligen Gegebenheiten des Unternehmens, etwa der Branche, der Art der Daten, der Verarbeitungszwecke und der Struktur des Unternehmens. Dennoch gibt es wesentliche Eckpunkte, die bei der Erstellung des Löschkonzepts regelmäßig zu beachten sind:
- Klare Definition des Scopes und Festlegung eines Projektrahmens und der Verantwortlichkeiten
- Zusammenbringen der relevanten Abteilungen, Standorte
- Ermittlung der relevanten Verfahren und IT-Systeme auf den Inhalt personenbezogener Daten
- Identifikation der relevanten, unstrukturierten Daten und Operatoren (z. B. Exceltabellen)
- Clustering der personenbezogenen Daten nach einem einheitlichen fachlichen Zweck und Bildung von Datenkategorien und von Betroffenenzuständen
- Individuelle Ermittlung der jeweiligen zwingenden Aufbewahrungspflichten
- Definition von Löschregeln anhand gesetzlicher Vorgaben und individueller Gegebenheiten beim Auftraggeber
- Erstellung eines Regelwerks in einer Lösch- und Sperrmatrix
- Matching der Lösch- und Sperrmatrix mit dem Verzeichnis der Verarbeitungstätigkeiten, hinsichtlich der Systeme, Datenkategorien und Aufbewahrungsfristen
- Umsetzungsplanung der Ergebnisse
- Dokumentation sämtlicher Ergebnisse wie Lösch- und Sperrfristen und Ausnahmeregeln in einem begleitenden Fachkonzept
Ein funktionierendes Löschkonzept bringt das Know-how aus den verschiedenen Bereichen zusammen und dient der langfristigen Steuerung Ihrer Prozesse.
Die Herausforderung beim Löschkonzept ist gleichzeitig dessen größter Vorteil. Sie müssen verschiedene Bereiche und Abteilungen im Unternehmen und Standorte mit teilweise verschiedenen gesetzlichen Anforderungen und oftmals verschiedenen Interessen zusammenbringen und einheitliche Prozesse definieren. So besteht oftmals eine heterogene IT-Landschaft, in der die einzelnen Abteilungen verschiedene Systeme einsetzen und dann zusätzlich unterschiedliche Erwartungen an die Aufbewahrung von Daten haben. So können z. B. die Marketingabteilung, BI oder der Customer Support Daten eher länger aufbewahren wollen, während IT-Abteilung, Personalabteilung oder Betriebsrat eher zu knappen Fristen neigen. Bestehen mehrere Niederlassungen oder Standorte, national oder international, haben diese oftmals für sich unterschiedliche Vorgaben definiert und es besteht keine einheitliche Praxis, weder hinsichtlich der einzelnen Fristen noch hinsichtlich der genutzten Systeme.
Zudem kann es in Fällen, in denen noch keine gesetzlich vorgeschriebene Dokumentation der Verfahren vorhanden ist, dazu kommen, dass noch gar nicht klar ist, welche Verfahren und welche Daten überhaupt wie verarbeitet sind.
Doch hier liegen genau die Vorteile des Löschkonzepts. Es bringt die unterschiedlichen Bereiche zusammen und hilft Prozesse zu erkennen, zu verstehen und zu optimieren. Das ist wichtig, da das Wissen im Unternehmen oftmals heterogen und nicht einheitlich vorliegt. So entstehen Schwachstellen, die nicht nur eine datenschutzgerechte Praxis erschweren und zu erheblichen Bußgeldern führen können. Lücken in der Dokumentation machen Sie auch blind für technische und organisatorische Schwachstellen – gerade in Zeiten zunehmender Cyberangriffe ist dies ein klassisches Einfallstor für Kriminelle. Nur wenn Sie wissen, wie Ihre Organisation aufgestellt ist und welche Daten wie und wo verarbeitet werden, können Sie entsprechende Schutzmaßnahmen erstellen.
Sofern Ihr Unternehmen also hier noch Umsetzungsbedarf hat, kann die Erstellung eines Löschkonzepts zentrales Tool nicht nur des Datenschutzmanagements, sondern auch einer sicheren IT-Landschaft insgesamt sein.
Kompetenz von mehr als 70 Consultants
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
- GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Master of Science Informationsmanagement
- Bachelor of Science Informatik
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download