Datenschutz

Entwicklung eines Löschkonzepts

30. Oktober 2023 Löschkonzept
Datenschutz
Quelle: iStock.com, ojogabonitoo

Konzepte zur Löschung von personenbezogenen Daten zu erstellen ist ein vielschichtiger Prozess. Jedoch müssen sich auch Betriebs- und Personalräte dieser Aufgabe stellen. Eine Norm bietet Hilfe und Orientierung. Mehr dazu erfahrt Ihr von Jan Wiznerowicz in der »Computer und Arbeit« 10/2023.

Wann personenbezogene Daten gelöscht werden müssen, ist sowohl für Arbeitgeber als auch Betriebs- und Personalräte eine wichtige Frage. Denn sind Arbeitgeber rechtlich verantwortlich, so stehen die Gremien vor der Herausforderung, Löschkonzepte als Teil von Betriebs- und Dienstvereinbarungen mit den Arbeitgebern zu verhandeln und ihre korrekte Umsetzung zu kontrollieren.

Pflicht zur Löschung

Personenbezogene Daten dürfen nur für festgelegte, legitime Zwecke verarbeitet werden. Sobald die Daten für diese Zwecke nicht mehr erforderlich sind, oder wenn die Rechtsgrundlage der Datenverarbeitung wegfällt, müssen die Daten gelöscht werden. Die Zwecke, für die Daten erhoben werden, können sehr unterschiedlich sein, und damit sind auch die Löschfristen unterschiedlich. Für jedes einzelne Datum eine eigene Löschfrist festzulegen, diese Löschfrist idealerweise in einer automatisierten Datenverarbeitungsanlage zu hinterlegen, dabei eventuell bestehende Haltefristen, die einer Löschung entgegenstehen, zu berücksichtigen und schließlich die Daten sicher zu tilgen, ist eine Sisyphusarbeit. Mit begrenzten personellen und zeitlichen Mitteln wird sie kaum umzusetzen sein.

Normiertes Erfahrungswissen als Empfehlung

Um ein Löschkonzept zu etablieren, ist es notwendig, auf bewährte Methoden zurückzugreifen. Zu empfehlen ist hierzu die Anwendung der Norm DIN 66398 »Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten«.

Der Kerngedanke der Norm besteht darin, sich von der Einzelfallbetrachtung für jedes einzelne Datum, jeden einzelnen Zweck und jede einzelne Zweckerfüllung zu lösen. Stattdessen wird angeregt, Daten, Zwecke, Löschfristen und Startzeitpunkte für den Fristablauf zusammenzufassen und auf eine übersichtliche Anzahl von Datenarten und Löschklassen zu reduzieren.

Schritt 1: Datenarten

Schritt 2: Löschfristen

Schritt 3: Löschklassen und Löschregeln

Mehr lesen?

Den vollständigen Beitrag von Jan Wiznerowicz lesen hier in »Computer und Arbeit« 10/2023. Abonnent:innen  Weitere Highlights:

  • Titelthema: Was gilt jetzt beim Datenaustausch mit den USA?
  • IT-Mitbestimmung: »Halbwertszeit« von Betriebsvereinbarungen
  • Praxis: Sichtschutz gegen Neugierige

Noch kein Abo?

Jetzt zwei Ausgaben »Computer und Arbeit« gratis testen und sofort online auf alle Inhalte zugreifen!

© bund-verlag.de (jv)

AiB-Banner Viertel Quadratisch - Anzeige -
CuA-Banner Viertel (768px)

Das könnte Sie auch interessieren

Dollarphotoclub_38678685_160503
Gewerkschaften - Aktuelles

"Mehr Lohn, mehr Freizeit, mehr Sicherheit" - DGB-Aufruf zum 1. Mai 2024

Arbeitsschutz
Arbeitsschutz - Aus den Fachzeitschriften

Kooperation der Akteure im Arbeitsschutz

Podcast KI-Verordnung
»Der Personalrat«-Podcast - Aktuelles

Was regelt die KI-Verordnung?

Dollarphotoclub_8141867
Betriebsratswahl - Rechtsprechung

BAG: Betriebsräte dürfen klein anfangen