Wie erstellt man ein Löschkonzept?

Im Kontext eines Löschkonzeptes beschreibt die Frage „An wen wird das Dokument innerhalb der Organisation und/oder an externe Parteien weitergegeben?“ die Festlegung, welche internen Abteilungen, Rollen oder Personen sowie ggf. externe Dienstleister, Partner oder Behörden Zugriff auf das Löschkonzept erhalten oder dieses erhalten sollen. Dies ist wichtig, um sicherzustellen, dass alle relevanten Stellen über die Regelungen und Prozesse zur Datenlöschung informiert sind und diese umsetzen können. Typische interne Empfänger sind beispielsweise die IT-Abteilung, das Datenschutzteam, die Fachabteilungen, die für die Datenverarbeitung verantwortlich sind, sowie die Geschäftsleitung. Externe Empfänger könnten Auftragsverarbeiter (z. B. IT-Dienstleister), Auditoren oder – falls gesetzlich erforderlich – Aufsichtsbehörden sein. Die Dokumentation dieser Weitergabe dient der Transparenz und Nachvollziehbarkeit, wer mit den Inhalten des Löschkonzeptes vertraut ist und wer für die Einhaltung der Löschvorgaben verantwortlich ist.

Im Kontext eines Löschkonzepts bezeichnet das Wort **Datenquelle** den Ursprung oder Speicherort, an dem personenbezogene oder relevante Daten im Unternehmen erfasst, verarbeitet oder gespeichert werden. Eine Datenquelle kann zum Beispiel eine Datenbank, ein E-Mail-Postfach, ein Dateisystem, eine Cloud-Anwendung oder ein bestimmtes IT-System sein. Im Löschkonzept wird für jede Datenquelle festgelegt, wie und wann dort gespeicherte Daten gelöscht werden müssen, um gesetzlichen Vorgaben (z. B. Datenschutz-Grundverordnung – DSGVO) zu entsprechen. Das Ziel ist, sicherzustellen, dass personenbezogene Daten nach Ablauf der Aufbewahrungsfristen oder bei Wegfall des Verarbeitungszwecks zuverlässig und vollständig aus allen relevanten Datenquellen entfernt werden.

Ein Angebot für ein Löschkonzept im Datenschutz sollte klar strukturiert und informativ sein. Hier sind einige Schritte und Inhalte, die du berücksichtigen kannst: 1. **Einleitung**: - Kurze Vorstellung deines Unternehmens und deiner Expertise im Bereich Datenschutz. - Ziel des Angebots: Erstellung eines Löschkonzepts gemäß den gesetzlichen Vorgaben. 2. **Bedarfsermittlung**: - Beschreibung der aktuellen Situation des Unternehmens in Bezug auf Datenverarbeitung und -speicherung. - Identifikation der relevanten gesetzlichen Anforderungen (z.B. DSGVO). 3. **Leistungsbeschreibung**: - Detaillierte Darstellung der angebotenen Leistungen, z.B.: - Analyse der bestehenden Datenbestände. - Entwicklung eines Löschkonzepts, das die Fristen und Verfahren für die Datenlöschung festlegt. - Schulung der Mitarbeiter zu den Löschprozessen. - Implementierung von technischen und organisatorischen Maßnahmen zur Sicherstellung der Löschung. 4. **Zeitplan**: - Vorschlag eines Zeitrahmens für die Umsetzung des Löschkonzepts. 5. **Kosten**: - Transparente Auflistung der Kosten für die Erstellung und Implementierung des Löschkonzepts. 6. **Referenzen**: - Gegebenenfalls Beispiele ähnlicher Projekte oder zufriedene Kunden. 7. **Schlussfolgerung**: - Zusammenfassung der Vorteile des Löschkonzepts und der Zusammenarbeit. - Einladung zur Kontaktaufnahme für Rückfragen oder zur Besprechung des Angebots. 8. **Kontaktinformationen**: - Deine Kontaktdaten für eine einfache Erreichbarkeit. Achte darauf, das Angebot professionell zu gestalten und auf die spezifischen Bedürfnisse des potenziellen Kunden einzugehen.

Die Meldung eines Datenschutzbeauftragten an die zuständige Aufsichtsbehörde für Mecklenburg-Vorpommern erfolgt in der Regel online über ein bereitgestelltes Meldeformular. **Vorgehen:** 1. **Online-Meldung:** Die Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) stellt ein Online-Formular zur Verfügung. Dieses findest du auf der offiziellen Webseite der Behörde: [https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/](https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/) 2. **Angaben im Formular:** Im Formular werden folgende Informationen abgefragt: - Angaben zur verantwortlichen Stelle (Unternehmen, Verein, Behörde etc.) - Kontaktdaten des Datenschutzbeauftragten (Name, Anschrift, E-Mail, Telefon) - Angaben zur Erreichbarkeit des Datenschutzbeauftragten 3. **Absenden:** Nach dem Ausfüllen wird das Formular elektronisch an die Aufsichtsbehörde übermittelt. Eine Bestätigung erfolgt in der Regel per E-Mail. **Hinweis:** Die Meldung muss unverzüglich nach der Benennung des Datenschutzbeauftragten erfolgen (§ 37 Abs. 7 DSGVO). **Weitere Informationen:** Alle Details und das Meldeformular findest du direkt auf der Seite der LfDI M-V: [https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/](https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/)

Nein, frage.de oder die dahinterstehenden Betreiber kontrollieren dich nicht. Deine Fragen und Eingaben werden verarbeitet, um passende Antworten zu generieren, aber es findet keine Überwachung oder Kontrolle deiner Person statt. Die Nutzung des Dienstes unterliegt den Datenschutzbestimmungen und Nutzungsbedingungen von frage.de. Weitere Informationen findest du auf der Website von frage.de: [https://www.frage.de](https://www.frage.de).

Grundsätzlich unterliegen alle Servertypen dem Datenschutz, sobald sie personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) verarbeiten. Es kommt also nicht auf den Servertyp selbst an, sondern darauf, ob und welche Daten darauf verarbeitet werden. Typische Servertypen, die häufig personenbezogene Daten verarbeiten und damit dem Datenschutz unterliegen, sind zum Beispiel: - **Mailserver** (verarbeiten E-Mails mit personenbezogenen Daten) - **Webserver** (verarbeiten z.B. IP-Adressen, Kontaktformulardaten) - **Datenbankserver** (speichern und verarbeiten personenbezogene Informationen) - **Dateiserver** (halten personenbezogene Dokumente und Dateien vor) - **Anwendungsserver** (verarbeiten Nutzerdaten im Rahmen von Softwareanwendungen) - **Cloud-Server** (hosten und verarbeiten Daten in der Cloud, oft auch personenbezogene) Auch andere Servertypen (z.B. Backup-Server, Authentifizierungsserver, Printserver) können dem Datenschutz unterliegen, wenn sie personenbezogene Daten speichern oder verarbeiten. **Fazit:** Nicht der Servertyp ist entscheidend, sondern die Art der Datenverarbeitung. Sobald ein Server personenbezogene Daten verarbeitet, gelten die Vorgaben des Datenschutzes, insbesondere der DSGVO. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Nein, bei der Erhebung von Verarbeitungstätigkeiten im Sinne der Datenschutz-Grundverordnung (DSGVO) geht es nicht nur um systemgestützte (also elektronische) Verarbeitung. Die DSGVO erfasst grundsätzlich **alle Arten der Verarbeitung personenbezogener Daten**, unabhängig davon, ob sie automatisiert (z. B. durch IT-Systeme) oder nicht automatisiert (z. B. in Papierakten) erfolgt, **sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen**. Das bedeutet: Auch manuelle, papierbasierte Verarbeitungsvorgänge, bei denen personenbezogene Daten in einer strukturierten Ablage (z. B. Aktenordner, Karteikarten) geführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden. Relevant ist also nicht nur die IT-gestützte Verarbeitung, sondern jede strukturierte Verarbeitung personenbezogener Daten. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_04_26_auslegung_verzeichnis_von_verarbeitungstaetigkeiten.pdf) oder direkt in [Art. 30 DSGVO](https://dsgvo-gesetz.de/art-30-dsgvo/).

Für die Erstellung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO können folgende Arbeitspakete sinnvoll sein: 1. **Projektvorbereitung und Zieldefinition** - Verantwortlichkeiten festlegen - Ziele und Umfang des Verzeichnisses definieren 2. **Informationssammlung** - Erhebung aller Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden - Identifikation der verantwortlichen Abteilungen und Ansprechpartner 3. **Prozesserhebung und -dokumentation** - Detaillierte Erfassung der einzelnen Verarbeitungstätigkeiten (Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen, technische und organisatorische Maßnahmen) - Nutzung von Fragebögen oder Interviews zur Datenerhebung 4. **Strukturierung und Erstellung des Verzeichnisses** - Zusammenführung und Strukturierung der gesammelten Informationen - Erstellung des Verzeichnisses in der geforderten Form (z. B. Excel, spezielle Software) 5. **Abstimmung und Validierung** - Überprüfung der Inhalte mit den Fachabteilungen - Korrekturen und Ergänzungen einarbeiten 6. **Freigabe und Dokumentation** - Endgültige Freigabe durch die verantwortliche Stelle (z. B. Datenschutzbeauftragter) - Ablage und Sicherstellung der Verfügbarkeit für Aufsichtsbehörden 7. **Schulung und Sensibilisierung** - Information und Schulung der Mitarbeitenden über das Verarbeitungsverzeichnis und deren Mitwirkungspflichten 8. **Regelmäßige Aktualisierung** - Festlegung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung des Verzeichnisses Diese Arbeitspakete können je nach Unternehmensgröße und Komplexität angepasst werden.

Die Durchführung und die Bereitstellung von Verarbeitungstätigkeiten sind aus datenschutzrechtlicher Sicht unterschiedliche Rollen. **Durchführung von Verarbeitungstätigkeiten** bedeutet, dass eine Partei (z. B. ein Unternehmen oder ein Dienstleister) tatsächlich personenbezogene Daten verarbeitet – also erhebt, speichert, verändert, übermittelt oder löscht. Wer die Verarbeitung durchführt, ist entweder **Verantwortlicher** oder **Auftragsverarbeiter** im Sinne der Datenschutz-Grundverordnung (DSGVO). **Bereitstellung von Verarbeitungstätigkeiten** ist kein fest definierter Begriff in der DSGVO, wird aber oft so verstanden, dass eine Partei die Infrastruktur, Software oder Plattform zur Verfügung stellt, mit der andere dann personenbezogene Daten verarbeiten können. Wer lediglich die technische Möglichkeit zur Verarbeitung bereitstellt, ohne selbst über die Zwecke und Mittel der Verarbeitung zu entscheiden, ist in der Regel **Auftragsverarbeiter**. **Fazit:** - Wer die Verarbeitung **durchführt** und über Zwecke und Mittel entscheidet, ist **Verantwortlicher**. - Wer die Verarbeitung **durchführt**, aber im Auftrag und nach Weisung eines anderen, ist **Auftragsverarbeiter**. - Wer nur die technische **Bereitstellung** ermöglicht, ist meist **Auftragsverarbeiter**, kann aber im Einzelfall auch Verantwortlicher sein, wenn er eigene Zwecke verfolgt. Die Rollen sind also unterschiedlich und hängen davon ab, wer über die Zwecke und Mittel der Verarbeitung entscheidet und wie die tatsächliche Tätigkeit ausgestaltet ist. Weitere Informationen findest du direkt bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder im [Text der DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.