Löschfrist für personenbezogene Daten und Datenschutz nach DSGVO einhalten

Think paperless

Löschfrist für personenbezogene Daten und Datenschutz nach DSGVO einhalten

Viele Unternehmen schenken dem Löschzwang zu wenig Beachtung – DMS hilft bei der Einhaltung

Kunden haben nach Artikel 17 DSGVO ein Anrecht auf Löschung ihrer Daten mit Personenbezug.

Persönliche Daten sind eine harte Währung

Im digitalen Zeitalter sind persönliche Daten eine harte Währung. Mit ihnen wird Handel betrieben wie mit physischen Waren. Damit sensible Daten nicht in falsche Hände geraten, gibt es die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Beide legen einen Handlungsrahmen fest, um diese Daten zu schützen. Löschungspflichten sind ein Teil davon. In diesem Blogbeitrag erklären wir Ihnen, welche Löschfristen die DSGVO kennt, welche gesetzlichen Aufbewahrungspflichten diesen entgegenstehen und wie Sie den Datenschutz am besten einhalten.

Was sind gesetzliche Löschfristen laut DSGVO?

Die DSGVO regeln den Umgang von Unternehmen mit digital verarbeiteten, personenbezogenen Daten. Das können Kundendaten, aber auch Mitarbeiterdaten oder Bewerberdaten sein, die zu einem bestimmten Zweck gespeichert wurden und die Sie laut DSGVO bis Fristablauf zu löschen haben. Im B2C-Umfeld beziehen sich solche Daten mit Personenbezug meist auf die erfolgreiche Abwicklung eines Geschäftsvorgangs oder die Vertragsdauer einer Mitgliedschaft in einem Klub oder Vorteilsprogramm.

Keine Übersicht über Löschfristen nach DSGVO

Wichtig ist: Unternehmen dürfen persönliche Daten nur zweckgebunden sammeln, also für einen begrenzten Zeitraum. In der DSGVO heißt es sinngemäß und etwas schwammig zum Thema Löschfristen: Sobald der Zweck erfüllt ist, zu dem die persönlichen Daten erhoben wurden, sind diese Unterlagen unwiederbringlich zu vernichten. Eine Übersicht über gesetzliche Löschfristen laut DSGVO gibt es nicht. In vielen Fällen richtet sich die Dauer der Speicherung nach den geltenden Aufbewahrungsfristen für Geschäftsunterlagen, die steuerlich relevant sind.

Wer regelt die gesetzlichen Löschfristen?

Die gesetzlichen Löschfristen, die sich durch die DSGVO ergeben, regeln den Umgang mit personenbezogenen Daten nur ungenau. Weil das so ist, lassen viele Unternehmen den nötigen Ernst im Umgang mit diesen Daten und dem damit verbundenen Löschzwang vermissen. Bedeutet: Sie bewahren Kundendaten viel zu lange auf und torpedieren damit die Grundsätze der Datensparsamkeit und Zweckbindung. Dabei haben Kunden ein Anrecht auf Löschung ihrer persönlichen Daten (Artikel 17 DSGVO), wenn der Zweck ihrer Erhebung erfüllt worden ist.

Löschfristen und Aufbewahrungspflichten kollidieren

Den aus der DSGVO hervorgehenden Löschfristen können allerdings gesetzlich festgelegte Aufbewahrungspflichten entgegenstehen. Diese ergeben sich aus dem Steuer- und Handelsrecht und sind unterschiedlich lang. Abrechnungsbelege (Aufbewahrungsfrist von 10 Jahren) oder Lieferscheine (Aufbewahrungsfrist von 6 Jahren) müssen Sie also aufbewahren, obwohl sie persönliche Daten enthalten. Eine Liste der aufbewahrungspflichtigen Dokumente stellt die IHK-NRW unter diesem Link als PDF zur Verfügung.

Wie muss man personenbezogene Daten löschen?

In der Regel ist mit dem Löschen von personenbezogenen Daten wie etwa Kunden- oder Bewerberdaten deren physikalische Vernichtung gemeint. Das bedeutet, dass diese einer natürlichen Person zuordenbaren Daten nach Ablauf der Löschfrist unwiederbringlich gelöscht oder zerstört werden müssen. Das gilt für Daten in der Cloud wie auch solche, die auf physischen Datenträgern wie DVDs und Papier gespeichert wurden.

Daten-Anonymisierung setzt Löschfristen der DSGVO außer Kraft

Eine zweite Möglichkeit bei digitalen Daten besteht darin, Datensätze so weit zu anonymisieren, dass kein Personenbezug mehr feststellbar ist. Fehlt nämlich der Personenbezug, greift auch die DSGVO mit ihren Löschfristen nicht mehr. Bei dieser Methode ist allerdings eine Menge Knowhow gefragt, weil eine Pseudonymisierung nicht genügt. Auch darf durch Zuhilfenahme weiterer Informationsquellen keine Identität rekonstruierbar sein. Es muss sich also um eine echte Anonymisierung handeln.

 

Wie kann man die Löschfrist nach DSGVO einhalten?

Das A und O bei der Einhaltung von Löschfristen besteht darin, dass Sie ein DSGVO-konformes Löschkonzept erstellen, das genau Auskunft darüber gibt, wie Sie personenbezogene Daten speichern und welche Mechanismen Sie zur fristgerechten Löschung der Daten anwenden. Dazu ist es ratsam, für bestimmte Datentypen zum Beispiel in Ihrem Dokumentenmanagement-System (DMS) Automatisierungen einzurichten, die Daten fristgerecht anhand bestimmter Parameter löschen. Auch in Ihrem GoBD-konformen, digitalen Archiv können Sie Löschinformationen hinterlegen, die vielleicht mit Aufbewahrungsfristen einhergehen. Das gibt Ihnen die Sicherheit, dass in Ihrem Unternehmen alles datenschutzkonform abläuft, und schützt Sie vor teuren Strafzahlungen, die bei Verstößen fällig werden.

Fazit

Wer als Unternehmen auf das papierlose Büro setzt und viel mit personenbezogenen Daten arbeitet, sollte die DSGVO in Verbindung mit Löschfristen genau kennen und sich auch daran halten. Im digitalen Umfeld gibt es zudem gute Möglichkeiten, diese personengebundenen Daten automatisiert zu löschen, sodass Sie keine Löschfristen mehr versäumen.

FAQ

Wann werden Daten gelöscht?

Personenbezogene Daten müssen gelöscht werden, sobald der Zweck, weshalb sie verarbeitet wurden, erreicht ist. Das heißt, dass Unternehmen Daten keinesfalls so lange aufbewahren dürfen, wie sie möchten.

Wo sind die gesetzlichen Aufbewahrungsfristen geregelt?

Die gesetzlichen Aufbewahrungsfristen sind Bestandteil des Steuer- und Handelsrechts. Sie können die gesetzliche Löschungspflicht für personenbezogene Daten aushebeln, wenn die Dokumente aus steuerrechtlichen Gründen länger verwahrt werden müssen.

Wie lang sind die gesetzlichen Aufbewahrungsfristen?

Je nach Dokument betragen die Aufbewahrungsfristen entweder 6 Jahre oder 10 Jahre. In Ausnahmefällen gibt es sogar Dokumente, die für 30 Jahre aufbewahrt werden müssen.

Was muss mindestens 10 Jahre aufbewahrt werden?

Zu den Unterlagen, die aus steuerrechtliche Gründen 10 Jahre lang aufbewahrt werden müssen, gehören zum Beispiel Abrechnungsbelege, Bankbelege, Betriebskostenrechnungen, Geschäftsberichte und Handelsbücher.

LIve WebCAst Workflowmanagement

Unser WEBCAST für Sie: 

Workflow Management

Udo Prell, Geschäftsführer der PAPERLESS-SOLUTIONS GmBH gibt Ihnen in nur 30 Minuten einen Überblick über die Vorteile und zeigt Ihnen das System LIVE.

Das könnte Sie auch Interessieren: 

Unternehmen profitieren in puncto Flexibilität von Digital Readiness

Digitale Readiness: der Weg zur smarten Prozessen

Wer viele Akten verwaltet, muss sich besonders um die Einhaltung von Aufbewahrungsfristen kümmern.

Aufbewahrungsfristen

Der Fristenkalender greift beim Fristenmanagement auf das Vertragsmanagement-System zu

Fristenmanagement

Unsere neusten Blogbeiträge: 

News & Updates

Think Paperless – Unser Newsletter für Sie

Abonnieren

Eingangpostverarbeitung

Ihre Eingangspost wird jetzt ganz einfach digital

Digitale Rechnungsverarbeitung

Eingangsrechnungen erfassen sich nun ganz von allein 

Digitale Akte

Ihr Abschied vom Aktenkeller

Homeoffice Lösungen

Unsere 10 besten Lösungen fürs papierloses arbeiten im Homeoffice

Collaboration Tool: digitale Zusammenarbeit

Ortsunabhängig zusammenarbeiten: gemeinsame Bearbeitung von Dokumenten, einfaches File Sharing und mehr Effizienz.

Digitale Personalakte

Für einen effizienten Personalprozess.

Gehaltsabrechung digital zustellen

Sparen Sie mindestens 3,10 €* pro Mitarbeiter, jeden Monat.

Vertragsmanagement

Verträge blitzschnell digital erfassen, recherchieren und verwalten.

DocuSign

Einfach. Digital. Unterschreiben. Auch als integrierte Schnittstelle in d.3ecm verfügbar. Jetzt starten

Emailarchivierung

Endlich E-Mails rechtssicher archivieren