Internes Dokument · nicht öffentlich verlinkt
Löschkonzept
1. Zweck und Geltungsbereich
Dieses Löschkonzept legt fest, wann und wie personenbezogene Daten in der KiNi WebApp gelöscht oder anonymisiert werden. Es gilt für alle Mandanten-Instanzen sowie für die Daten der Marketing-Website. Ziel ist die Einhaltung des Grundsatzes der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Daten werden nicht länger aufbewahrt, als es für den jeweiligen Zweck oder aufgrund gesetzlicher Pflichten erforderlich ist.
2. Allgemeine Löschregeln
- Routine-Löschung: Daten, deren Aufbewahrungs- frist abgelaufen ist, werden spätestens im darauffolgenden Quartal gelöscht.
- Soft-Delete: Beim Löschen einer Mandanten- Instanz werden die Daten zunächst 30 Tage als Soft-Delete vorgehalten (Wiederherstellung bei versehentlicher Kündigung), danach unwiderruflich entfernt (Container + Datenbank-Volume).
- Betroffenenrechte: Löschanträge nach Art. 17 DSGVO werden innerhalb eines Monats bearbeitet (siehe Abschnitt 5).
- Backups: Tägliche Datenbank-Backups enthalten gelöschte Daten noch bis zum Ablauf der Backup-Retention; sie werden nicht selektiv bereinigt, sondern laufen automatisch aus dem Aufbewahrungsfenster.
3. Löschfristen nach Datenkategorie
| Datenkategorie | Frist | Grundlage |
|---|---|---|
| Nutzerkonten (Login, Name, Rolle, Passwort-Hash) | Vertragslaufzeit + 30 Tage Soft-Delete | Art. 6 Abs. 1 lit. b DSGVO |
| Termine, Veranstaltungen, RSVP, Sitzungen, Dokumente (allgemein) | Vertragslaufzeit | Art. 6 Abs. 1 lit. b/f |
| Dokumente / Weiterbildungen mit Nachweispflicht (z. B. Brandschutz, UVV-Schulung) | 10 Jahre | Art. 6 Abs. 1 lit. c; arbeits-/aufsichtsrechtliche Nachweispflichten |
| Chat-Nachrichten | Chat-Nachrichten und Datei-Anhänge werden automatisch nach 30 Tagen gelöscht (täglicher Cleanup-Job 03:00 UTC) | Art. 6 Abs. 1 lit. f |
| In-App-Postfach | Postfach-Nachrichten werden automatisch nach 30 Tagen gelöscht (täglicher Cleanup-Job) | Art. 6 Abs. 1 lit. f |
| Snack-/Getränke-Käufe, Verzehr-/Einrichtungs-Abrechnung | 10 Jahre | § 257 HGB, § 147 AO |
| Fahrtenbuch (Fahrten, GPS, Unterschrift) | 10 Jahre, wenn buchhalterisch genutzt | § 257 HGB, § 147 AO |
| Stripe-Belege, Subscription-Daten, Rechnungen | 10 Jahre | § 147 AO, § 257 HGB |
| Bike-to-Work, Tippspiel | Vertragslaufzeit; Aggregate ohne Personenbezug länger | Art. 6 Abs. 1 lit. f |
| Push-Subscriptions | Bis Subscription ungültig; tote Endpoints (HTTP 404/410) werden beim nächsten Sendeversuch automatisch entfernt | Art. 6 Abs. 1 lit. f / lit. a |
| Sicherheits-/Audit-Logs (administrative Änderungen) | 12 Monate | Art. 6 Abs. 1 lit. f (IT-Sicherheit) |
| Server-Logs (Web/nginx, IP) | 14 Tage | Art. 6 Abs. 1 lit. f |
| Registrierungs-Formular (Marketing-Website), bei Abbruch | 30 Tage | Art. 6 Abs. 1 lit. b (Vertragsanbahnung) |
| Kontaktanfragen (Marketing-Website) | Bis Erledigung, längstens 12 Monate | Art. 6 Abs. 1 lit. b/f |
4. Technische Umsetzung
- Pro Mandant eigene Datenbank: Beim Löschen einer Instanz werden Container und Postgres-Volume entfernt – damit sind sämtliche Mandantendaten in einem Schritt gelöscht.
- Automatische Cleanup-Jobs: Ein täglicher Lauf um 03:00 UTC löscht (1) Chat-Nachrichten samt Anhang-Dateien und (2) Postfach-Nachrichten, sobald sie älter als 30 Tage sind. Ungültige Push-Endpoints werden beim Versand automatisch verworfen.
- Soft-Delete-Markierung: Instanzen tragen ein
deleted_at-Datum; nach Ablauf der 30-Tage-Frist erfolgt die endgültige Entfernung. - Backups: Datenbank-Backups laufen automatisch aus dem Retention-Fenster; eine selektive Löschung einzelner Datensätze aus Altbackups erfolgt nicht (Stand der Technik).
5. Löschung auf Betroffenen-Antrag (Art. 17)
Da KiNi WebApp gegenüber den Kunden als Auftragsverarbeiter handelt, werden Löschanträge betroffener Mitarbeitender grundsätzlich über den jeweiligen Kunden (Verantwortlicher) abgewickelt. Der Auftragsverarbeiter unterstützt den Kunden dabei und löscht auf dessen dokumentierte Weisung. Gesetzliche Aufbewahrungspflichten (siehe Abschnitt 3) gehen einem Löschverlangen vor; in diesem Fall werden die Daten gesperrt (eingeschränkte Verarbeitung) statt gelöscht.
6. Verantwortlichkeit und Review
Verantwortlich für die Pflege dieses Konzepts ist Stefan Eschbach. Überprüfung mindestens jährlich oder bei wesentlichen Änderungen an Verarbeitungstätigkeiten, Aufbewahrungspflichten oder der technischen Architektur.