Personenbezogene Daten sind sensibel. Welche gesetzlichen Löschfristen gelten für sie? Und wie können Sie diese am besten einhalten? ►Jetzt mehr erfahren
Im digitalen Zeitalter sind persönliche Daten eine harte Währung. Mit ihnen wird Handel betrieben wie mit physischen Waren. Damit sensible Daten nicht in falsche Hände geraten, gibt es die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Beide legen einen Handlungsrahmen fest, um diese Daten zu schützen. Löschungspflichten sind ein Teil davon. In diesem Blogbeitrag erklären wir Ihnen, welche Löschfristen die DSGVO kennt, welche gesetzlichen Aufbewahrungspflichten diesen entgegenstehen und wie Sie den Datenschutz am besten einhalten.
Die DSGVO regeln den Umgang von Unternehmen mit digital verarbeiteten, personenbezogenen Daten. Das können Kundendaten, aber auch Mitarbeiterdaten oder Bewerberdaten sein, die zu einem bestimmten Zweck gespeichert wurden und die Sie laut DSGVO bis Fristablauf zu löschen haben. Im B2C-Umfeld beziehen sich solche Daten mit Personenbezug meist auf die erfolgreiche Abwicklung eines Geschäftsvorgangs oder die Vertragsdauer einer Mitgliedschaft in einem Klub oder Vorteilsprogramm.
Wichtig ist: Unternehmen dürfen persönliche Daten nur zweckgebunden sammeln, also für einen begrenzten Zeitraum. In der DSGVO heißt es sinngemäß und etwas schwammig zum Thema Löschfristen: Sobald der Zweck erfüllt ist, zu dem die persönlichen Daten erhoben wurden, sind diese Unterlagen unwiederbringlich zu vernichten. Eine Übersicht über gesetzliche Löschfristen laut DSGVO gibt es nicht. In vielen Fällen richtet sich die Dauer der Speicherung nach den geltenden Aufbewahrungsfristen für Geschäftsunterlagen, die steuerlich relevant sind.
Die gesetzlichen Löschfristen, die sich durch die DSGVO ergeben, regeln den Umgang mit personenbezogenen Daten nur ungenau. Weil das so ist, lassen viele Unternehmen den nötigen Ernst im Umgang mit diesen Daten und dem damit verbundenen Löschzwang vermissen. Bedeutet: Sie bewahren Kundendaten viel zu lange auf und torpedieren damit die Grundsätze der Datensparsamkeit und Zweckbindung. Dabei haben Kunden ein Anrecht auf Löschung ihrer persönlichen Daten (Artikel 17 DSGVO), wenn der Zweck ihrer Erhebung erfüllt worden ist.
Den aus der DSGVO hervorgehenden Löschfristen können allerdings gesetzlich festgelegte Aufbewahrungspflichten entgegenstehen. Diese ergeben sich aus dem Steuer- und Handelsrecht und sind unterschiedlich lang. Abrechnungsbelege (Aufbewahrungsfrist von 10 Jahren) oder Lieferscheine (Aufbewahrungsfrist von 6 Jahren) müssen Sie also aufbewahren, obwohl sie persönliche Daten enthalten. Eine Liste der aufbewahrungspflichtigen Dokumente stellt die IHK-NRW unter diesem Link als PDF zur Verfügung.
In der Regel ist mit dem Löschen von personenbezogenen Daten wie etwa Kunden- oder Bewerberdaten deren physikalische Vernichtung gemeint. Das bedeutet, dass diese einer natürlichen Person zuordenbaren Daten nach Ablauf der Löschfrist unwiederbringlich gelöscht oder zerstört werden müssen. Das gilt für Daten in der Cloud wie auch solche, die auf physischen Datenträgern wie DVDs und Papier gespeichert wurden.
Eine zweite Möglichkeit bei digitalen Daten besteht darin, Datensätze so weit zu anonymisieren, dass kein Personenbezug mehr feststellbar ist. Fehlt nämlich der Personenbezug, greift auch die DSGVO mit ihren Löschfristen nicht mehr. Bei dieser Methode ist allerdings eine Menge Knowhow gefragt, weil eine Pseudonymisierung nicht genügt. Auch darf durch Zuhilfenahme weiterer Informationsquellen keine Identität rekonstruierbar sein. Es muss sich also um eine echte Anonymisierung handeln.
Das A und O bei der Einhaltung von Löschfristen besteht darin, dass Sie ein DSGVO-konformes Löschkonzept erstellen, das genau Auskunft darüber gibt, wie Sie personenbezogene Daten speichern und welche Mechanismen Sie zur fristgerechten Löschung der Daten anwenden. Dazu ist es ratsam, für bestimmte Datentypen zum Beispiel in Ihrem Dokumentenmanagement-System (DMS) Automatisierungen einzurichten, die Daten fristgerecht anhand bestimmter Parameter löschen. Auch in Ihrem GoBD-konformen, digitalen Archiv können Sie Löschinformationen hinterlegen, die vielleicht mit Aufbewahrungsfristen einhergehen. Das gibt Ihnen die Sicherheit, dass in Ihrem Unternehmen alles datenschutzkonform abläuft, und schützt Sie vor teuren Strafzahlungen, die bei Verstößen fällig werden.
Wer als Unternehmen auf das papierlose Büro setzt und viel mit personenbezogenen Daten arbeitet, sollte die DSGVO in Verbindung mit Löschfristen genau kennen und sich auch daran halten. Im digitalen Umfeld gibt es zudem gute Möglichkeiten, diese personengebundenen Daten automatisiert zu löschen, sodass Sie keine Löschfristen mehr versäumen.
Dokumente digital empfangen und zentral archivieren: Ist das sicher? Die individuelle Zugriffsberechtigung im DMS sorgt für den DSGVO-konformen...
Wie sicher sind Ihre Daten in der Cloud? Wir sagen Ihnen, wie Datenschutz und Cloud-Computing gemeinsam funktionieren. ► Jetzt mehr darüber erfahren
Eine durchdachte Datenschutzstrategie minimiert Sicherheitsrisiken und schützt das gute Image
Erhalten Sie regelmäßig spannende Informationen und Updates zum papierlosen Büro.
