Rechtliches
Personalakte und Löschfristen: So vermeiden Sie Datenschutzrisiken und Bußgelder
Aufbewahrungsfristen von Personalakten: Das sollte man über Arbeitsverträge & Co. wissen
Personenbezogene Daten sind sensibel. Welche gesetzlichen Löschfristen gelten für sie? Und wie können Sie diese am besten einhalten? ►Jetzt mehr erfahren
Löschfrist für personenbezogene Daten und Datenschutz nach DSGVO einhalten
Viele Unternehmen schenken dem Löschzwang zu wenig Beachtung – DMS hilft bei der Einhaltung
Persönliche Daten sind eine harte Währung
Im digitalen Zeitalter sind persönliche Daten eine harte Währung. Mit ihnen wird Handel betrieben wie mit physischen Waren. Damit sensible Daten nicht in falsche Hände geraten, gibt es die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Beide legen einen Handlungsrahmen fest, um diese Daten zu schützen. Löschungspflichten sind ein Teil davon. In diesem Blogbeitrag erklären wir Ihnen, welche Löschfristen die DSGVO kennt, welche gesetzlichen Aufbewahrungspflichten diesen entgegenstehen und wie Sie den Datenschutz am besten einhalten.
Was sind gesetzliche Löschfristen laut DSGVO?
Die DSGVO regeln den Umgang von Unternehmen mit digital verarbeiteten, personenbezogenen Daten. Das können Kundendaten, aber auch Mitarbeiterdaten oder Bewerberdaten sein, die zu einem bestimmten Zweck gespeichert wurden und die Sie laut DSGVO bis Fristablauf zu löschen haben. Im B2C-Umfeld beziehen sich solche Daten mit Personenbezug meist auf die erfolgreiche Abwicklung eines Geschäftsvorgangs oder die Vertragsdauer einer Mitgliedschaft in einem Klub oder Vorteilsprogramm.
Keine Übersicht über Löschfristen nach DSGVO
Wichtig ist: Unternehmen dürfen persönliche Daten nur zweckgebunden sammeln, also für einen begrenzten Zeitraum. In der DSGVO heißt es sinngemäß und etwas schwammig zum Thema Löschfristen: Sobald der Zweck erfüllt ist, zu dem die persönlichen Daten erhoben wurden, sind diese Unterlagen unwiederbringlich zu vernichten. Eine Übersicht über gesetzliche Löschfristen laut DSGVO gibt es nicht. In vielen Fällen richtet sich die Dauer der Speicherung nach den geltenden Aufbewahrungsfristen für Geschäftsunterlagen, die steuerlich relevant sind.
Wer regelt die gesetzlichen Löschfristen?
Die gesetzlichen Löschfristen, die sich durch die DSGVO ergeben, regeln den Umgang mit personenbezogenen Daten nur ungenau. Weil das so ist, lassen viele Unternehmen den nötigen Ernst im Umgang mit diesen Daten und dem damit verbundenen Löschzwang vermissen. Bedeutet: Sie bewahren Kundendaten viel zu lange auf und torpedieren damit die Grundsätze der Datensparsamkeit und Zweckbindung. Dabei haben Kunden ein Anrecht auf Löschung ihrer persönlichen Daten (Artikel 17 DSGVO), wenn der Zweck ihrer Erhebung erfüllt worden ist.
Löschfristen und Aufbewahrungspflichten kollidieren
Den aus der DSGVO hervorgehenden Löschfristen können allerdings gesetzlich festgelegte Aufbewahrungspflichten entgegenstehen. Diese ergeben sich aus dem Steuer- und Handelsrecht und sind unterschiedlich lang. Abrechnungsbelege (Aufbewahrungsfrist von 10 Jahren) oder Lieferscheine (Aufbewahrungsfrist von 6 Jahren) müssen Sie also aufbewahren, obwohl sie persönliche Daten enthalten. Eine Liste der aufbewahrungspflichtigen Dokumente stellt die IHK-NRW unter diesem Link als PDF zur Verfügung.
Wie muss man personenbezogene Daten löschen?
In der Regel ist mit dem Löschen von personenbezogenen Daten wie etwa Kunden- oder Bewerberdaten deren physikalische Vernichtung gemeint. Das bedeutet, dass diese einer natürlichen Person zuordenbaren Daten nach Ablauf der Löschfrist unwiederbringlich gelöscht oder zerstört werden müssen. Das gilt für Daten in der Cloud wie auch solche, die auf physischen Datenträgern wie DVDs und Papier gespeichert wurden.
Daten-Anonymisierung setzt Löschfristen der DSGVO außer Kraft
Eine zweite Möglichkeit bei digitalen Daten besteht darin, Datensätze so weit zu anonymisieren, dass kein Personenbezug mehr feststellbar ist. Fehlt nämlich der Personenbezug, greift auch die DSGVO mit ihren Löschfristen nicht mehr. Bei dieser Methode ist allerdings eine Menge Knowhow gefragt, weil eine Pseudonymisierung nicht genügt. Auch darf durch Zuhilfenahme weiterer Informationsquellen keine Identität rekonstruierbar sein. Es muss sich also um eine echte Anonymisierung handeln.
Wie kann man die Löschfrist nach DSGVO einhalten?
Das A und O bei der Einhaltung von Löschfristen besteht darin, dass Sie ein DSGVO-konformes Löschkonzept erstellen, das genau Auskunft darüber gibt, wie Sie personenbezogene Daten speichern und welche Mechanismen Sie zur fristgerechten Löschung der Daten anwenden. Dazu ist es ratsam, für bestimmte Datentypen zum Beispiel in Ihrer DMS-Software Automatisierungen einzurichten, die Daten fristgerecht anhand bestimmter Parameter löschen. Auch in Ihrem GoBD-konformen, digitalen Archiv können Sie Löschinformationen hinterlegen, die vielleicht mit Aufbewahrungsfristen einhergehen. Das gibt Ihnen die Sicherheit, dass in Ihrem Unternehmen alles datenschutzkonform abläuft, und schützt Sie vor teuren Strafzahlungen, die bei Verstößen fällig werden.
Fazit
Wer als Unternehmen auf digitale Prozesse setzt und viel mit personenbezogenen Daten arbeitet, sollte die DSGVO in Verbindung mit Löschfristen genau kennen und sich auch daran halten. Mit der richtigen Software für das papierlose Büro gibt es zudem gute Möglichkeiten, diese personengebundenen Daten automatisiert zu löschen, sodass Sie keine Löschfristen mehr versäumen.
