< zurück zum Blog

(Keine) Aufbewahrungs- und Löschfristen

13.07.2021

Viele Unternehmen sammeln Tag für Tag personenbezogene Daten ihrer Arbeitnehmer, Kunden, Interessenten und Geschäftspartner. Kaum einer aber macht sich Gedanken darüber, dass diese personenbezogenen Daten auch irgendwann wieder gelöscht werden müssen. Dies wird gerne auf „später“ verschoben. Dabei könnte man sich viel Arbeit und Aufwand im Nachgang sparen, wenn man bewusst Daten verarbeitet und von vorneherein Aufbewahrungs- und Löschfristen beachtet bzw. festlegt.

Löschen von Daten

Die Datenschutzgrundverordnung (DSGVO) regelt in Art. 17 Abs.1, wann personenbezogene Daten zu löschen sind. Danach ist der Verantwortliche in folgenden Fällen zur unverzüglichen Löschung von personenbezogenen Daten verpflichtet:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

In der Praxis relevant sind in der Regel die Punkte a)-d).
Auch der Grundsatz der Rechtmäßigkeit, der Zweckbindung und der Datenminimierung (Art. 5 Abs.1 lit. a), b), c) DSGVO) erfordern die Löschung von personenbezogenen Daten zum nächstmöglichen Zeitpunkt.

Muss also der Verantwortliche sofort die Daten löschen, wenn einer der Fälle eintritt?

Nein, ganz so einfach ist es in der Praxis nicht. Bevor der Verantwortliche die Daten löscht, muss er prüfen, ob der Löschung möglicherweise gesetzliche Aufbewahrungsfristen entgegenstehen.

Was sind gesetzliche Aufbewahrungsfristen?

Gesetzliche Aufbewahrungsfristen geben vor, wie lange bestimmte Daten bzw. Unterlagen von dem Verantwortlichen aufbewahrt werden müssen. Eine vorherige Löschung der Daten ist also „verboten“.

Die wohl bekannteste gesetzliche Aufbewahrungsfrist ergibt sich aus § 147 der Abgabenordnung (AO). Danach sind sämtliche Buchungsbeläge zehn Jahre aufzuheben, gerechnet ab dem Schluss des Kalenderjahres, in dem der Buchungsbeleg entstanden ist.

Aber es gibt natürlich noch viele weitere gesetzliche Aufbewahrungsfristen, die zu beachten sind.

Aber wie weiß ich, wann ich welche Daten löschen muss?

Die Antwort ist an sich recht einfach! Wenn Sie ein Löschkonzept in Ihrem Unternehmen entwickelt haben, dann wissen Sie genau, wann Sie welche Daten auf welche Weise löschen müssen. In einem Löschkonzept werden die Aufbewahrungs- und Löschristen festgehalten, die Art der Löschung sowie dessen Dokumentation definiert und die Aufgaben der Löschung und der Kontrolle der Löschung festgelegt.

Damit eine Löschung in der Praxis aber auch vollständig durchgeführt werden kann, muss bereits bei der Datenerhebung sowie der weiteren Verarbeitung klar sein, zu welchen Zwecken diese Daten benötigt werden und wo und wie diese Daten gespeichert, dupliziert und weitergegeben werden. Denn nur so kann sichergestellt werden, dass die Daten für die Zwecke, für die sie nicht mehr benötigt werden, auch wirklich gelöscht werden können.

Was passiert, wenn ich mir keine Gedanken zu den Aufbewahrungs- und Löschfristen gemacht habe?

Bußgelder drohen

Wie sollte es auch anders sein? Die Aufsichtsbehörden (nicht nur in Deutschland) überprüfen Unternehmen auch immer wieder darauf, ob ein Löschkonzept vorliegt und ob dieses auch entsprechend angewandt wird.

Erst in jüngster Vergangenheit wurde BRICO PRIVÉ, welche einen Online-Shop für die Bereiche Gartenarbeit und Heimwerken, u. a. in Frankreich und Spanien betreiben von der Aufsichtsbehörde überprüft. Hierbei wurde festgestellt, dass sie keine Aufbewahrungs- und Löschfristen für gespeicherte Nutzerdaten definiert hatte. Da also auch keine Löschung stattfand, hatten sich in der aktiven Datenbank zahlreiche Einträge von Personen befunden, die seit mehr als 5 Jahren keine Bestellung mehr aufgegeben hatten. Das Unternehmen kam zudem auch den Löschbegehren betroffener Personen nicht nach und hob auch diese Daten weiter auf.

Im Rahmen der Ermittlungen trat dann noch zu Tage, dass das Unternehmen seinen Informationspflichten nicht ordnungsgemäß nachgekommen war und auch keine ausreichenden technischen und organisatorischen Maßnahmen nachweisen konnte. Es wurde daher ein Bußgeld in Höhe von 500.000,00 € gegen das Unternehmen verhängt.

Mangelnde Aufbewahrungs- und Löschfristen sowie eine fehlende Erstellung sowie Umsetzung eines Löschkonzepts kann also teure Folgen haben.

Wir beraten unsere Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ umfassend rund um das Aufbewahrungs- und Löschfristen sowie die Erstellung eines Löschkonzepts.

Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931-780 877-0 oder info@sidit.de

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.