Die DSGVO sieht vor, dass personenbezogene Daten gelöscht werden, sobald der Zweck erlischt, für den sie erhoben wurden. Allerdings kann es unabhängig von der DSGVO Regelungen für eine längere Aufbewahrungsfrist geben. Diese Regelungen sind im Normalfall in der nationalen Gesetzgebung definiert, wie zum Beispiel steuer- und finanzrechtliche Aufbewahrungsfristen.

Zur Erinnerung: Für Erasmus+-Projekte gibt es ebenfalls spezielle Aufbewahrungsfristen. Siehe dazu das Modul "Datenschutz in der Praxis" > Datenschutz in der Projektnachbearbeitung.

Aufgrund der Vielzahl an Regelungen und den nationalen Unterschieden können wir an dieser Stelle keine konkreten Löschfristen angeben. Unsere Vorlage hilft Ihnen aber bei der Dokumentation Ihres Löschkonzeptes.

Vorgehensweise

Mit der Dokumentation der Verarbeitungstätigkeiten haben Sie einen Überblick bekommen, welche personenbezogenen Daten in Ihrer Organisation verarbeitet werden. Darauf aufbauend können Sie nun im Löschkonzept festlegen, wann diese Daten gelöscht werden. 

Prüfen Sie in folgender Reihenfolge:

1. Fragen Sie sich zunächst, wann der Zweck der Datenverarbeitung erlischt.
2. Prüfen Sie anschließend, ob Sie bei der Verarbeitung anderen gesetzlichen Regelungen unterliegen (z.B. steuer- oder finanzrechtliche Gesetze, Regelungen für den Nachweis von Finanzierungen oder der Vergabe öffentlicher Gelder).
3. Prüfen Sie, ob sich daraus konkrete Aufbewahrungsfristen ergeben.
   
4. Mit den vorliegenden Informationen können Sie nun eine Löschregel definieren. Die Löschregel besteht aus einem auslösenden Ereignis (z.B. Jahresende oder Beendigung des Vertrages) und einer Löschfrist (z.B. 6 Monate, 1 Jahr, 3 Jahre, etc.)
5. Klären Sie im letzten Schritt, wie die entsprechende Löschregel umgesetzt wird. Kann die Löschung automatisiert erfolgen oder muss eine Person die Löschung manuell vornehmen.  

Vorlagen und Dokumente

• Vorlage eines Löschkonzept in tabellarischer Form (docx-Datei)
• Informationen zum Löschkonzept (pdf-Datei)