Löschkonzept
GG Hair
vom 14.09.2025
Ein wesentlicher Aspekt der DSGVO ist das "Recht auf Vergessenwerden", das den Betroffenen das Recht gibt, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. Außerdem etabliert die DSGVO die Grundsätze der Datenminimierung, der Datensparsamkeit und der Speicherbegrenzung, wonach immer nur die Daten verarbeitet werden sollen, die zur Erreichung des Zwecks zwingend erforderlich sind. Um diesen Anforderungen gerecht zu werden und die Einhaltung der DSGVO sicherzustellen, haben wir ein Löschkonzept erstellt.
Das Löschkonzept soll sicher stellen, dass personenbezogene Daten gemäß den Vorgaben der DSGVO effektiv, effizient und rechtlich konform gelöscht werden.
Die Durchführung der Datenlöschungen soll das Vertrauen von Kunden, Partnern oder Mitarbeitern in unseren Umgang mit personenbezogenen Daten stärken.
3. Allgemeines
Grundsätzlich löschen wir personenbezogene Daten immer dann, wenn der Zweck entfällt, zu dem personenbezogene Daten verarbeitet wurden, es sei denn, es stehen gesetzliche Aufbewahrungspflichten entgegen.
4. Löschmethode
Wir bestimmen geeignete Löschmethoden für die jeweiligen Datenarten.
4.1 Papier
Papierdokumente werden bei uns physisch vernichtet, indem sie angemessen klein geschreddert und anschließend in der Papiertonne entsorgt werden.
4.2 Elektronische Daten
Elektronische Daten werden derart aus den Systemen entfernt, dass sie nicht wiederhergestellt werden können.
Abhängig von der Art des Speichermediums, der Sensibilität der Daten und den rechtlichen Anforderungen greifen wir zu Löschung elektronischer Daten auf folgende Methode(n) zurück:
-
Dateilöschung: Die Dateien und Ordner, die personenbezogene Daten enthalten, werden manuell von den Systemen gelöscht. Dabei werden die Daten auch aus dem Papierkorb entfernt, damit sie nicht wiederhergestellt werden können.
Wir berücksichtigen bei der Anwendung der Löschmethode immer die bestmöglichen Praktiken und Verfahren um sicherzustellen, dass die Daten ordnungsgemäß und sicher gelöscht werden.
5. Dokumentation
Um nachweisen zu können, dass wir datenschutzkonform löschen, dokumentieren wir unseren Löschprozess. Dabei achten wir darauf, dass die Dokumentation klar, umfassend und leicht zugänglich ist. Dabei berücksichtigen wir folgende Aspekte:
-
Zeitpunkt und Datum: Wir erfassen den genauen Zeitpunkt und das Datum, an dem wir den Löschprozess durchführen. Dadurch haben wir eine klare und nachvollziehbare zeitliche Dokumentation.
-
Durchgeführte Schritte: Wir dokumentieren detailliert die Schritte, die wir im Rahmen des Löschprozesses unternehmen. Wir beschreiben genau, welche Daten gelöscht wurden, welche Löschmethode angewendet wurde (z. B. manuelle Löschung, Formatierung, Überschreibung) und wie die Löschung durchgeführt wurde.
-
Verantwortliche Personen: Wir halten die Namen oder Bezeichnungen der Personen oder Abteilungen fest, die für die Durchführung des Löschprozesses verantwortlich sind. Dadurch können wir die Verantwortlichkeiten klar zuordnen und Transparenz gewährleisten.
-
Verwendete Tools und Software: Spezielle Tools und Software, die wir für die Datenlöschung verwenden, dokumentieren wir. Wir gebe an, welche Art von Software oder Technologie wir einsetzen und vermerken gegebenenfalls die Versionsnummer.
-
Bestätigungen und Zertifizierungen: Wenn Dritte, wie zum Beispiel externe Datenlöschunternehmen, in den Löschprozess involviert sind, halten wir Bestätigungen oder Zertifizierungen über die ordnungsgemäße Durchführung der Datenlöschung fest.
-
Aufbewahrung und Dokumentation: Wir stellen sicher, dass die Dokumentation des Löschprozesses sicher und dauerhaft aufbewahrt wird. Wir legen fest, wo wir die Aufzeichnungen speichern und für wie lange, um die gesetzlichen Anforderungen zu erfüllen.
6. Löschfrist
In unserem Verarbeitungsverzeichnis listen wir detailgenau alle Datenarten und den Zweck der Verarbeitung zu jeder Verarbeitungstätigkeit auf. Für jede Datenart und deren Verarbeitungszweck bilden wir eine Löschfrist.
Soweit es eine gesetzliche Aufbewahrungspflicht gibt, ist die Löschfrist mindestens so lang wie diese. Außerdem beinhaltet die Löschfrist einen Zeitraum, in dem der Löschvorgang erfolgt.
So ergibt sich z.B. für Datenarten, die solange aufbewahrt werden, wie die regelmäßige Verjährungsfrist läuft, eine Löschfrist von 4 Jahren. Die regelmäßige Verjährungsfrist beginnt mit dem Ende des Kalenderjahres, in welches das Ereignis fällt und läuft von da an 3 Jahre. Unter zusätzlicher Einbeziehung eines Zeitraums für den Löschprozess bemessen wir unsere Löschfrist für diese Datenart regelmäßig auf 4 Jahre.
7. Beginn der Löschfrist
Die Löschfristen beginnen mit dem Wegfall des Verarbeitungszwecks. Das bedeutet, dass die Löschfrist für Daten, die aufgrund einer vertraglichen Beziehung verarbeitet werden, erst mit dem Ende dieser Vertragsbeziehung zu laufen beginnt. In manchen Fällen gibt es nach der Datenerhebung keinen weiteren Verarbeitungszweck. In diesem Fall beginnt die Löschfrist direkt mit der Datenerhebung zu laufen.
8. Einwilligung
Wir verarbeiten Daten auch aufgrund von Einwilligungen der Betroffenen. Sobald die Einwilligung entfällt, weil sie zum Beispiel widerrufen wurde, entfällt auch die Rechtsgrundlage für die Verarbeitung. Wir löschen diese Daten unmittelbar nach dem Widerruf der Einwilligung. Eine Ausnahme besteht nur dann, wenn eine gesetzliche Aufbewahrungspflicht einer sofortigen Löschung entgegensteht.
-
Betroffenenrecht: Recht auf Löschung nach Art. 17 DSGVO
Macht ein Betroffener rechtswirksam von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch löschen wir die entsprechenden Daten unmittelbar und unabhängig von der zuvor festgelegten Löschfrist.
Dem Anspruch wird erst nach rechtlicher und tatsächlicher Überprüfung entsprochen.
10. Zusammenfassung
Zusammenfassend lässt sich sagen, dass unser Löschkonzept ein entscheidendes Element ist, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden. Es legt die Grundlage für einen strukturierten und rechtskonformen Löschprozess, der das Recht auf Vergessenwerden respektiert und das Vertrauen der Betroffenen stärkt. Durch die Einhaltung von Löschfristen, die Auswahl geeigneter Löschmethoden und die sorgfältige Dokumentation des Löschprozesses können wir das Risiko von Datenschutzverletzungen minimieren. Unser Löschkonzept dient uns somit als Leitfaden für die sichere und effektive Löschung personenbezogener Daten und unterstützt unser Unternehmen dabei, einen verantwortungsvollen Umgang mit sensiblen Informationen zu gewährleisten.
11. Kontaktdaten des Verantwortlichen
Name: GG Hair
Adresse: 8259 Kaltenbach
E-Mail-Adresse: info@gg-hair.ch
12. Löschkonzept konkret
Die mit der jeweiligen Datenart verbundenen Daten werden nach den folgenden Regeln gelöscht.
12.1 Personalwesen
12.1.1 Arbeitszeiterfassung
Zweck der Verarbeitung: Lohnabrechnung und Kontrolle der Einhaltung gesetzlicher und vertraglicher Bestimmungen
Betroffenen-Kategorie: Beschäftigte
Löschfrist: 2 Jahre für reine Arbeitszeitnachweise, die aus ArbZG-Gründen vorgehalten werden müssen. Steuerlich relevante Nachweise: 6 Jahre (§ 147 AO)
Rechtsgrundlage: Art. 17 Abs. 1 lit. a DSGVO, § 16 Abs. 2 ArbZG, § 41 Abs. 1 Satz 9 EStG in Verbindung mit § 147 Abs. 1 Nr. 5 + Abs. 3 AO
Verantwortlichkeiten: Personalabteilung
12.1.2 Bewerbungsprozess
Zweck der Verarbeitung: Begründung, Durchführung und Beendigung von Beschäftigungsverträgen
Betroffenen-Kategorie: Bewerber
Löschfrist: 6 Monate nach Abschluss des Bewerbungsverfahrens
Rechtsgrundlage: Art. 6 Abs. 1 lit. a, b DSGVO
Verantwortlichkeiten: Personalabteilung
12.1.3 Bewerbungsunterlagen (angenommen)
Zweck der Verarbeitung: Einstellungsprozess
Betroffenen-Kategorie: Bewerber
Löschfrist: Für die Dauer des Arbeitsverhältnisses, danach Überführung in Personalakte
Rechtsgrundlage: Art. 6 Abs. 1 lit. a, b DSGVO
Verantwortlichkeiten: Personalabteilung
12.1.4 Bewerbungsunterlagen (nicht angenommen)
Zweck der Verarbeitung: Bewerbermanagement
Betroffenen-Kategorie: Bewerber
Löschfrist: 6 Monate nach Abschluss des Bewerbungsverfahrens
Rechtsgrundlage: Art. 6 Abs. 1 lit. a, b DSGVO
Verantwortlichkeiten: Personalabteilung
12.1.5 Lohnbuchhaltung
Zweck der Verarbeitung: Begründung, Durchführung und Beendigung von Beschäftigungsverträgen
Betroffenen-Kategorie: Beschäftigte
Löschfrist: 6 Jahre für Lohnunterlagen (z. B. § 41 EStG), in Einzelfällen 10 Jahre, sofern nach Handelsrecht (§ 257 HGB) als Buchungsbelege eingestuft.
Rechtsgrundlage: § 41 EStG, § 147 AO, § 257 HGB
Verantwortlichkeiten: Personalabteilung, Buchhaltung
12.1.6 Mitarbeiterbewertungen
Zweck der Verarbeitung: Feedback an Mitarbeiter
Betroffenen-Kategorie: Beschäftigte
Löschfrist: 3 Jahre nach Ende des Arbeitsverhältnisses
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; §§ 195/199 BGB
Verantwortlichkeiten: Personalabteilung
12.1.7 Erstellung von Arbeitszeugnissen
Zweck der Verarbeitung: Nachweis über die Tätigkeit des Mitarbeiters und seinen Leistungen
Betroffenen-Kategorie: Beschäftigte
Löschfrist: 3 Jahre
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: Personalabteilung
12.2 Marketing
12.2.1 Website
Zweck der Verarbeitung: Marketing und Werbezwecke
Betroffenen-Kategorie: Websitebesucher
Löschfrist: 2 Jahre nach letztem Besuch
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.2.2 Newsletter
Zweck der Verarbeitung: Marketing und Werbezwecke, Versand von Newslettern
Betroffenen-Kategorie: Empfänger von Marketingmaßnahmen
Löschfrist: sofort nach Widerruf durch den Besteller
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.2.3 Social-Media: Facebook
Zweck der Verarbeitung: Marketing und Werbezwecke
Betroffenen-Kategorie: Nutzer
Löschfrist: Daten werden von Facebook/Meta verarbeitet
Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.2.4 Social-Media: Instagram
Zweck der Verarbeitung: Marketing und Werbezwecke
Betroffenen-Kategorie: Nutzer
Löschfrist: Daten werden von Instagram/Meta verarbeitet
Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.2.5 E-Mail Marketing
Zweck der Verarbeitung: Kundenbindungs- und Werbemaßnahmen, Vertrieb, Kundenkommunikation und -hilfe
Betroffenen-Kategorie: Kunden, Interessenten
Löschfrist: sofort nach Widerruf durch den Besteller
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a, 17 DS-GVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.2.6 Webtracking und Analyse
Zweck der Verarbeitung: Optimierung von Marketingkampagnen, Produkten und des allgemeinen Webauftritts
Betroffenen-Kategorie: Kunden, Interessenten
Löschfrist: Anonymisierung nach Erhebung
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f, 17 DS-GVO
Verantwortlichkeiten: Marketingabteilung, IT-Abteilung
12.3 Vertrieb
12.3.1 Kundenverwaltung
Zweck der Verarbeitung: Organisation der laufenden Kundenbeziehungen
Betroffenen-Kategorie: Kunden
Löschfrist: 2 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: Verkauf, Einkauf, Finanzbuchhaltung
12.3.2 Allgemeiner Kundenservice
Zweck der Verarbeitung: Kundenbindung, Kundenkommunikation und -hilfe, Reklamations- und Widerrufsverwaltung
Betroffenen-Kategorie: Kunden
Löschfrist: 2 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: Kundenservice, Verkauf
12.3.3 Annahme von Bestellungen über ein Webportal
Zweck der Verarbeitung: Erfassungen von Kundendaten zur Einleitung von Vertragsabschlüssen (Bestellungen)
Betroffenen-Kategorie: Kunden
Löschfrist: 10 Jahre
Rechtsgrundlage: § 147 AO, § 257 HGB
Verantwortlichkeiten: Verkauf, Einkauf, IT-Abteilung
12.3.4 Verkauf über Handelsplattformen
Zweck der Verarbeitung: Vetrieb der Produkte
Betroffenen-Kategorie: Kunden
Löschfrist: 2 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: Verkauf, Einkauf, Handelsplattformen
12.4 IT- und Kommunikationssysteme
12.4.1 E-Mail System
Zweck der Verarbeitung: Kommunikation mit internen und externen Kontakten
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 6 Jahre nach Ablauf des Kalenderjahres der Erhebung
Rechtsgrundlage: § 257 Abs. 4 HGB
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.4.2 Kalender- und Terminverwaltung
Zweck der Verarbeitung: Planung und Organisation von Terminen und Veranstaltungen
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 3 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.4.3 Chat- und Messenger-Dienste (extern)
Zweck der Verarbeitung: Kommunikation zwischen internen und externen Kontakten
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 3 Jahre
Rechtsgrundlage: §§ 195, 199 BGB
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.4.4 Kontaktformulare und Chat-Tools
Zweck der Verarbeitung: Kommunikation mit Kunden und Interessenten
Betroffenen-Kategorie: Kunden, Interessenten
Löschfrist: 2 Jahre nach letztem Kontakt
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: IT-Abteilung, Verkauf, Marketing
12.4.5 Telefonanlage
Zweck der Verarbeitung: Telefonische Kommunikation
Betroffenen-Kategorie: Beschäftigte, Kunden, Lieferanten, Dienstleister, Interessenten
Löschfrist: 5 Jahre nach Vertragende
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Verantwortlichkeiten: IT-Abteilung, Beschäftigte
12.4.6 Kommentarfunktion
Zweck der Verarbeitung: Kommunikation mit Nutzern der Webseite
Betroffenen-Kategorie: Kunden, Interessenten, Beschäftigte
Löschfrist: 2 Jahre nach letztem Kommentar
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Verantwortlichkeiten: IT-Abteilung, Marketing
12.5 Finanzen und Buchhaltung
12.5.1 Allgemeine Abwicklung des Zahlungsverkehrs
Zweck der Verarbeitung: Durchführung der Finanzbuchhaltung
Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister
Löschfrist: 10 Jahre
Rechtsgrundlage: § 257 HGB, § 147 AO
Verantwortlichkeiten: Buchhaltungsbüro
12.5.2 Elektronischer Zahlungsverkehr
Zweck der Verarbeitung: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs
Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister
Löschfrist: 10 Jahre
Rechtsgrundlage: § 257 HGB, § 147 AO
Verantwortlichkeiten: Buchhaltungsbüro
12.5.3 Finanzbuchhaltung
Zweck der Verarbeitung: Einhaltung und Durchführung der gesetzlichen Anforderungen an die Buchführung
Betroffenen-Kategorie: Kunden, Lieferanten, Dienstleister
Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten)
Rechtsgrundlage: § 257 HGB, § 147 AO
Verantwortlichkeiten: Buchhaltungsbüro
12.5.4 Mahnwesen und Inkassodienstleistungen
Zweck der Verarbeitung: Eintreiben offener Forderungen
Betroffenen-Kategorie: Kunden
Löschfrist: 10 Jahre
Rechtsgrundlage: § 147 AO, § 257 HGB
Verantwortlichkeiten: Buchhaltungsbüro
12.5.5 Kassenbuch
Zweck der Verarbeitung: Erfüllung des gesetzlichen Verpflichtung
Betroffenen-Kategorie: Kunden
Löschfrist: 10 Jahre (gemäß gesetzlichen Aufbewahrungspflichten)
Rechtsgrundlage: § 257 HGB, § 147 AO
Verantwortlichkeiten: Buchhaltungsbüro