Viele Unternehmen sammeln Tag für Tag personenbezogene Daten ihrer Arbeitnehmer, Kunden, Interessenten und Geschäftspartner. Kaum einer aber macht sich Gedanken darüber, dass diese personenbezogenen Daten auch irgendwann wieder gelöscht werden müssen. Dies wird gerne auf „später“ verschoben, dabei kann man sich viel Arbeit und Aufwand im Nachgang sparen. Machen Sie sich der Datenverarbeitungen bewusst und legen von vorneherein Aufbewahrungs- und Löschfristen fest.
Löschen von Daten
Die Datenschutzgrundverordnung (DSGVO) regelt in Art. 17 Abs.1, wann personenbezogene Daten zu löschen sind. Danach ist der Verantwortliche in folgenden Fällen zur unverzüglichen Löschung von personenbezogenen Daten verpflichtet:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
In der Praxis relevant sind in der Regel die Punkte a)-d).
Auch der Grundsatz der Rechtmäßigkeit, der Zweckbindung und der Datenminimierung (Art. 5 Abs.1 lit. a), b), c) DSGVO) erfordern die Löschung von personenbezogenen Daten zum nächstmöglichen Zeitpunkt. Muss also der Verantwortliche sofort die Daten löschen, wenn einer der Fälle eintritt? Nein, ganz so einfach ist es in der Praxis nicht. Bevor der Verantwortliche die Daten löscht, muss er prüfen, ob der Löschung möglicherweise gesetzliche Aufbewahrungsfristen entgegenstehen.
Was sind gesetzliche Aufbewahrungsfristen?
Gesetzliche Aufbewahrungsfristen geben vor, wie lange bestimmte Daten bzw. Unterlagen von dem Verantwortlichen aufbewahrt werden müssen. Eine vorherige Löschung der Daten ist also „verboten“.
Die wohl bekannteste gesetzliche Aufbewahrungsfrist ergibt sich aus § 147 der Abgabenordnung (AO). Danach sind sämtliche Buchungsbeläge zehn Jahre aufzuheben, gerechnet ab dem Schluss des Kalenderjahres, in dem der Buchungsbeleg entstanden ist. Aber es gibt natürlich noch viele weitere gesetzliche Aufbewahrungsfristen, die zu beachten sind.
Aber wie weiß ich, welche Aufbewahrungs- und Löschfristen gelten?
Die Antwort ist an sich recht einfach! Ein Löschkonzept in Ihrem Unternehmen legt fest, wann Sie welche Daten auf welche Weise löschen müssen. Hier werden die Aufbewahrungs- und Löschfristen festgehalten, die Art der Löschung sowie dessen Dokumentation definiert und die Aufgaben der Löschung und der Kontrolle der Löschung festgelegt.
Damit eine Löschung in der Praxis aber auch vollständig durchgeführt werden kann, müssen zwei Dinge im Vorfeld geklärt sein. Erstens muss bereits bei der Datenerhebung sowie der weiteren Verarbeitung klar sein, zu welchen Zwecken diese Daten benötigt werden. Und zweitens wo und wie diese Daten gespeichert, dupliziert und weitergegeben werden. Denn nur so kann sichergestellt werden, dass die Daten für die Zwecke, für die sie nicht mehr benötigt werden, auch wirklich gelöscht werden können.
Was passiert, wenn ich mir keine Gedanken zu den Aufbewahrungs- und Löschfristen gemacht habe?
Bußgelder drohen
Wie sollte es auch anders sein? Die Aufsichtsbehörden (nicht nur in Deutschland) überprüfen Unternehmen auch immer wieder darauf, ob ein Löschkonzept vorliegt und ob dieses auch entsprechend angewandt wird.
Erst in jüngster Vergangenheit wurde BRICO PRIVÉ, welche einen Online-Shop für die Bereiche Gartenarbeit und Heimwerken, u. a. in Frankreich und Spanien betreiben von der Aufsichtsbehörde überprüft. Hierbei wurde festgestellt, dass sie keine Aufbewahrungs- und Löschfristen für gespeicherte Nutzerdaten definiert hatte. Da also auch keine Löschung stattfand, hatten sich in der aktiven Datenbank zahlreiche Einträge von Personen befunden, die seit mehr als 5 Jahren keine Bestellung mehr aufgegeben hatten. Das Unternehmen kam zudem auch den Löschbegehren betroffener Personen nicht nach und hob auch diese Daten weiter auf.
Im Rahmen der Ermittlungen trat dann noch zu Tage, dass das Unternehmen seinen Informationspflichten nicht ordnungsgemäß nachgekommen war und auch keine ausreichenden technischen und organisatorischen Maßnahmen nachweisen konnte. Es wurde daher ein Bußgeld in Höhe von 500.000,00 € gegen das Unternehmen verhängt. Mangelnde Aufbewahrungs- und Löschfristen sowie eine fehlende Erstellung sowie Umsetzung eines Löschkonzepts kann also teure Folgen haben.
Wir beraten unsere Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ umfassend rund um das Aufbewahrungs- und Löschfristen sowie die Erstellung eines Löschkonzepts. Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931-780 877-0 oder info@sidit.de
 Aufbewahrungs- und Löschfristen){kind=link}
[…] gesetzlichen Aufbewahrungsfristen entgegenstehen. Wir raten unseren Kunden daher zur Führung eines Löschkonzepts. Mit Hilfe dessen dokumentiert man, wer wann wie die Löschfristen aus dem Verarbeitungsverzeichnis […]