Löschkonzept (Deletion Concept / Data Erasure Policy)

Ein Löschkonzept legt verbindlich fest, welche Datenbestände wann, durch wen und mit welcher Methode datenschutzkonform zu löschen oder zu vernichten sind, und erfüllt damit die Anforderungen aus Art. 5 Abs. 1 e DSGVO (Speicherbegrenzung). Es muss alle Datenarten, Systeme und Speicherorte berücksichtigen, einschließlich Backups, Archiven und Cloud-Umgebungen; zertifizierte Löschmethoden (z.B. nach BSI TL-03423 oder DIN 66399) sichern die Unwiederbringlichkeit. In IT-Vergaben sollten Auftraggeber das Löschkonzept des Auftragnehmers als Pflichtdokument anfordern und Löschfristen sowie Nachweispflichten im AVV verankern.