Ziele
Diese Richtlinie soll dazu beitragen, dass die Rechtsvorschriften zur Löschung personenbezogener Daten umgesetzt und eingehalten werden.
Zuständigkeiten
Die Verfahrensverantwortlichen werden jeweils in ihrem Verantwortungsbereich eine oder mehrere Personen mit der Planung und Durchführung von Datenlöschungen („Löschkoordinatoren“) beauftragen.
Löschkoordinatoren und Ermittlung von Regellöschfristen
Die Löschkoordinatoren werden – soweit noch nicht erfolgt – für die im jeweiligen Verfahren verarbeiteten personenbezogenen Daten etwaige gesetzliche oder vertragliche Aufbewahrungspflichten ermitteln und dokumentieren.
Die Löschkoordinatoren werden nach Ermittlung der Aufbewahrungspflichten untersuchen, wie lange nach Ablauf einer Aufbewahrungspflicht eine Erforderlichkeit für eine weitere Verarbeitung der verarbeiteten Datenarten regelmäßig besteht. Hierbei sollen insbesondere gesetzliche Verjährungsfristen berücksichtigt werden.
Sollten für eine oder mehrere Datenarten keine Aufbewahrungspflichten bestehen, werden die Löschkoordinatoren in gleicher Weise für die betroffenen Datenarten eine Zeitdauer ermitteln, die regelmäßig für die Annahme einer Erforderlichkeit einer Datenverarbeitung angesetzt werden kann.
Die Löschkoordinatoren werden aus den gewonnenen Erkenntnissen für jede Daten Art eine
Regellöschfrist ermitteln und diese nach Absprache mit dem Verantwortlichen definieren. Bei der Ermittlung der Regellöschfrist ist in Erwägung zu ziehen, dass die Durchführung der Löschung an die betrieblichen Erfordernisse anzupassen
ist. Zudem kann berücksichtigt werden, ob eine Löschung durch technische Maßnahmen automatisch erfolgt oder vor Durchführung einer Löschung eine weitere Prüfung der Erforderlichkeit einer weiteren Verarbeitung zu erfolgen hat.
Im Verarbeitungsverzeichnis sind die Regellöschfristen zur jeweiligen Verarbeitung zu dokumentieren.
Durchführung von Löschungen
Die Löschkoordinatoren werden auf Basis der im Verarbeitungsverzeichnis dokumentierten
Regellöschfristen die praktische Durchführung der Löschung planen und umsetzen.
Sofern eine automatische Löschung durch IT-Systeme erfolgen soll, werden die
Löschkoordinatoren mit den zuständigen Administratoren des IT-Systems besprechen, wie die Löschung praktisch umzusetzen und zu dokumentieren ist.
Im Falle einer nicht-automatischen Löschung werden die Löschkoordinatoren die Löschung der jeweils betroffenen Daten initiieren und durchführen.
Aufträge von Löschkoordinatoren zur Löschung von Daten müssen in Textform (z.B. E-Mail) erfolgen.
Evaluierung und Anpassung
Die Löschkoordinatoren werden regelmäßig, mindestens aber einmal jährlich, überprüfen, ob die nach dieser Richtlinie getroffenen Maßnahmen wirksam sind und ob diese ggf. angepasst und optimiert werden sollten. Die Ergebnisse der Überprüfung sind zu dokumentieren und etwaige Änderungen mit den Verantwortlichen abzustimmen.
Sanktionen
Ein Verstoß gegen diese Richtlinien kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.