Phase 4 – Daten beseitigen: Geplante Löschung und Vernichtung nachweisen

Phase 4 – Daten beseitigen: Geplante Löschung und Vernichtung nachweisen

Die letzte Phase jedes Datenlebenszyklus ist die Löschung bzw. Vernichtung der Daten. Im MoeWe-Tool halten Sie unter „Daten beseitigen“ fest: „Wann (nach welcher Zeit) und wie werden die Daten oder Teile davon gelöscht oder vernichtet?“ Hier beschreiben Sie die Löschfristen und -methoden im Detail. Beispiel: „Bewerbungsdaten werden 6 Monate nach Abschluss des Bewerbungsverfahrens automatisiert aus dem System gelöscht; Backup-Daten werden nach weiteren 3 Monaten überschrieben.“ Geben Sie an, wer für die Löschung verantwortlich ist (z. B. IT-Abteilung oder Fachabteilung) und wie sichergestellt wird, dass die Löschung auch tatsächlich erfolgt (Löschkonzept, Protokollierung). Falls bestimmte Daten archiviert werden müssen (etwa aus gesetzlichen Aufbewahrungspflichten), dokumentieren Sie die Unterschiede: Was wird archiviert, was endgültig gelöscht. Dieser Schritt ist essenziell, um das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) einzuhalten. Denken Sie auch an eventuelle externe Dienstleister: Wenn Daten an Auftragsverarbeiter ausgelagert wurden, müssen diese vertraglich zur Löschung verpflichtet sein und dies bestätigen. Notieren Sie solche Anforderungen als Maßnahme. Ist der Löschprozess transparent dokumentiert, können Sie im Auditfall nachweisen, dass Ihr Unternehmen keine Daten hortet, sondern datenschutzkonform entsorgt.

Lessons Learned:

• Definieren und dokumentieren Sie klare Löschfristen für alle Datenkategorien einer Verarbeitung.
• Beschreiben Sie die Löschmethoden (automatisiert, manuell, physische Vernichtung) und Zuständigkeiten eindeutig.
• Vergessen Sie nicht ausgelagerte Daten: Stellen Sie sicher, dass Dienstleister vertraglich zur fristgerechten Löschung verpflichtet sind und dies nachweisen.