Unternehmen und Einrichtungen sind verpflichtet personenbezogene Daten, für die keine Aufbewahrungsfristen mehr laufen und keine Aufbewahrungspflichten mehr bestehen, nach Art. 17 DSGVO zu löschen, wenn dies vom Betroffenen verlangt wird. Unabhängig davon sind Unternehmen und Einrichtung aber auch von sich aus verpflichtet aktiv zu werden, da die Grundsätze zur (Rechtmäßigkeit der) Verarbeitung personenbezogener Daten in Art. 5 Abs. 1 lit. e DSGVO besagen, dass personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“). Darüber hinaus muss der Verantwortliche die Einhaltung dieses Grundsatzes nachweisen können. Dies verlangt einen schriftlich fixierten Prozess des Löschens und ggf. Aufzeichnungen über durchgeführte Löschungen. Mit der DIN-Norm 66398 gibt es schließlich auch eine DIN-Norm, dies sich mit der Entwicklung eines Löschkonzepts beschäftigt. Sie trägt den Namen „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“. Die Norm beschreibt Vorgehensweisen, durch die Löschregeln festgelegt werden. Auch empfiehlt sie eine Struktur zur Dokumentation des Löschkonzepts. Man kann hier also von so etwas wie einem Stand der Technik sprechen.
Speziell für den Gesundheitsbereich gibt es von der GMDS Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) einen "Leitfaden für die Erstellung von Löschkonzepten im Gesundheitswesen", der einem wichtige Hinweise liefern kann.
Zusammenfassend gesagt, ist die Erstellung eines Löschkonzepts ein Thema was eine gewisse Erfahrung und Durchhaltewillen voraussetzt und nicht mal so erledigt sein wird.
Wie Umfragen zeigen, gibt es leider gerade bei dem Punkt Erstellung eines Löschkonzepts große Defizite bei Unternehen und sonstigen Einrichtungen, da es sich zugegebenermaßen um eine etwas sperriges Thema handelt, bei welchem auch eine systematische Herangehensweise erforderlich ist. Hinzu kommt, dass bei der Erstellung des Löschkonzepts auch praktische und rechtliche Fragen zu klären sind. Wie lösche ich sicher und wie lange muss ich überhaupt bestimmte Informationen aufbewahren, ist hierbei zu klären bzw. zu entscheiden. Es handelt sich also in der Regel um ein interdisziplinär zu lösendes Thema. Eine wichtige Voraussetzung ist, dass man seine Geschäftsprozesse im Rahmen der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten bereits vollständig erfasst und die vorhandenen Daten und Verarbeitungszwecke identifiziert hat. Das könnne z.B. sein:
Für die rechtlichen Fragen gibt es dann häufig leider nicht immer DIE einzig, richtige Antwort, denn schon die Frage, inwieweit man sich bezüglich der Löschung auf die gesetzlich Verjährung stützen kann ist umstritten und jedenfalls einzefallabhängig (vgl. hierzu z.B. Keppler, RDV, 2018, S.72).
Die Erstellung eines Löschkonzepts ist aufwendig und in der Regel nur interdsiziplinär zur erledigen. Wir erstellen gemeinsam mit Ihnen für Ihr Unternehmen / Ihre Einrichtung ein solches Löschkonzept, oder beraten Sie bei der eigenständigen Erstellung fortlaufend. Sie profitieren hier ganz klar von unserer langjährigen Erfahrung. Ein Problem weniger. Sofern in Einzelfällen juristische Gutachten erforderlich sind, um Speicherfristen zu bestimmen, können wir das auch gerne für Sie übernehmen.
