Umsetzung eines Löschkonzeptes in der Kanzlei nach der DSGVO

Spricht man das Thema Löschkonzept an, verursacht das bei den Beteiligten nicht selten reflexartige Bauchschmerzen. Jeder weiß, es gibt zahlreiche Löschpflichten nach der DSGVO und anderen Gesetzen, die aber überwiegend nicht beachtet werden, sondern als große Lücke im Raum schweben. Wer gewillt ist, die Lücke zu schließen, stößt nicht selten auf einen bürokratischen Aufwand, der das Bemühen schnell versanden lässt. Das muss nicht sein, denn schon einfache Software-Lösungen können bei der Umsetzung eines Löschkonzeptes effizient und nachhaltig unterstützen.

Ausgangspunkt – gesetzliche Löschpflichten

Neben den bekannten sechsjährigen Aufbewahrungspflichten für Handelsbriefe oder zehnjährigen Aufbewahrungspflichten für steuerrelevante Unterlagen existieren zahlreiche gesetzliche Aufbewahrungsfristen z. B. im Personalbereich für Beitragsabrechnungen an die Sozialversicherungsträger¹, Arbeitsunfähigkeits (AU)-Bescheinigungen², Arbeitszeitnachweise³ oder Bewerbungsunterlagen⁴, um nur einige Beispiele zu nennen.
Hinzu kommen mögliche vertragliche Aufbewahrungs- und Löschfristen aus Vertragsbeziehungen der Kanzlei mit Geschäftspartnern wie z. B. Personal- oder Marketingdienstleistern.

Beispiel Bewerbungsunterlagen

Nach Abschluss des Bewerbungsverfahrens müssen die Bewerbungsdaten durch die Kanzlei unter Beachtung der gesetzlichen Vorgaben wieder gelöscht werden. Allerdings besteht die Löschungspflicht nicht sofort, sondern erst nach Ablauf von Aufbewahrungsfristen, die sich etwa aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) ergeben.

Die Kanzlei darf die Unterlagen aus dem Bewerbungsverfahren für einen Zeitraum von bis zu sechs Monaten nach der ablehnenden Entscheidung aufbewahren, um sich gegen etwaige Ansprüche des Bewerbers nach dem AGG verteidigen zu können. Dies entspricht der allgemeinen Meinung, die auch von den Datenschutzbehörden geteilt wird, z. B. in einer entsprechenden Veröffentlichung des Bundesbeauftragten für den Datenschutz⁵. Anschließend sind die Unterlagen dann fristgemäß zu löschen.

Dokumentation der Löschfristen

Die Kanzlei ist nach Art. 30 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) verpflichtet. Es ist gemäß Art. 30 Abs. 1 lit.f DSGVO für jedes Verfahren mit personenbezogenen Daten auch eine Löschfrist festzulegen. Für die Definition und Dokumentation von Löschfristen im Löschkonzept – es empfiehlt sich eine Auflistung der zahlreichen Fristen in einer gesonderten Anlage – kann deshalb ergänzend auch auf das bestehende VVT verwiesen werden.

Such- und Löschfunktionen

Im Falle von Auskunfts- bzw. Löschungsersuchen durch Betroffene (abgelehnte Bewerber, Arbeitnehmer usw.) muss die Kanzlei die Möglichkeit haben, die personenbezogenen Daten einer bestimmten Person z. B. in den Personalakten, HR- und IT-Systemen aufzufinden, Auskunft zu erteilen und gegebenenfalls beweissicher zu löschen. Entsprechend müssen die wichtigsten Such- und Löschroutinen der IT-Systeme bekannt und einsatzbereit sein.

Daher empfiehlt sich eine Erfassung und Auflistung der Suchfunktionalitäten der IT-Systeme (z. B. Anwaltssoftware, MS-Office, E-Mail usw.), des Einsatzes spezieller Löschsoftware und der Möglichkeiten der revisionssicheren Akten- und Datenträgervernichtung in einer speziellen Anlage zum Löschkonzept.

Löschungsnachweis

Die Beweislast für den Nachweis der erfolgten Löschung trägt die Kanzlei. Die detaillierte Dokumentation der Nachweismöglichkeiten sowie der erfolgten Löschvorgänge, z. B. durch Löschprotokolle (Logfiles), Screenshots, manuelle Bestätigungen der ausführenden IT-Verantwortlichen, Vernichtungsprotokolle beauftragter Dienstleister usw., ist deshalb erforderlich.

Bildung von Löschklassen

Die DIN 37002⁶ enthält eine Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten. Als Vorbedingung für die Bildung von Löschklassen muss der Datenbestand zunächst in Datenarten aufgeteilt werden, für die Löschregeln (mit Löschfristen) festgelegt werden sollen. Die Löschfristen können für die Datenarten nur abgeleitet werden, wenn zuvor sogenannte Löschklassen gebildet werden. Zur Umsetzung eines praktikablen Löschkonzeptes werden entsprechend der DIN 37002 vereinfachende Löschklassen gebildet, welche die vielfältigen gesetzlichen Löschfristen praktikabel zusammenfassen.

Fazit

Die Erfassung der gesetzlichen Löschfristen und der technischen Löschfunktionen, die Überwachung der Fristen, um sie nicht zu versäumen – man denke nur an die regelmäßige Durchforstung der Personalakten – die Beweissicherung der Löschvorgänge, all das verursacht einen erheblichen bürokratischen Aufwand, weswegen sich viele Kanzleien beim Löschkonzept wegducken und auf Lücke setzen. Das ist bei kluger Organisation und unterstützendem Einsatz einer einfachen Software-Lösung, die z. B. die Prozesse und Fristen in Löschklassen erfasst und an den Fristablauf automatisiert erinnert, ein überflüssiges und lösbares Risiko.

Mehr zum Thema Kanzleisoftware auf beck-stellenmarkt.de:

• Sichere Kanzleisoftware - Worauf man beim Kauf achten sollte 

• Wechsel der Kanzleisoftware

• Digitale Lösungen in Kanzleien und Justiz – Hohe Effizienz mit einfachen Mitteln 

Besuchen Sie uns in den Sozialen Medien:

• Facebook
• LinkedIn
• X
• Xing
• YouTube

Entdecken Sie attraktive Stellenausschreibungen für Juristinnen und Juristen auf beck-stellenmarkt.de. Jetzt schnell und einfach für Ihren Traum-Job bewerben!

Zu den Jobs für Juristinnen und Juristen

Die juristischen Positionen im BECK Stellenmarkt werden von renommierten Arbeitgebern aus der Rechtsbranche inseriert. Informieren Sie sich in unseren ausführlichen Online-Profilen über die juristischen Top-Arbeitgeber.

Zu den Arbeitgeberprofilen

Über den Autor:

Horst Speichert - Seniorpartner der Kanzlei e|s|b und Geschäftsführer der e|s|b data gmbh
Speichert ist seit Jahrzehnten auf IT-Recht und Datenschutz spezialisiert. Neben seinen Tätigkeiten als Seniorpartner und Geschäftsführer ist er auch Fachbuchautor und Lehrbeauftragter für Informationsrecht.