Aufbewahrung von personenbezogenen Daten
Die Datenschutzgrundverordnung trat bereits im Mai 2016 in Kraft – nach einer Übergangsfrist von zwei Jahren müssen seit 2018 alle EU-Mitgliedstaaten die DS-GVO verbindlich umsetzen. Auch die Löschfristen von personenbezogenen Daten werden in den Vorgaben geregelt.
Einige Daten müssen sofort nach deren Verwendung wieder gelöscht werden, andere müssen oder dürfen länger aufbewahrt werden. Grund genug uns jetzt noch einmal mit den Löschfristen zu beschäftigen, nachdem die DS-GVO bereits einige Jahre in Kraft ist.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – DATENVERNICHTEN, ABER RICHTIG
Wie lange dürfen personenbezogene Daten aufbewahrt werden?
Die Dauer der Aufbewahrung personenbezogener Daten hängt stark von der Art der Daten und den spezifischen gesetzlichen Anforderungen ab.
Grundsätzlich gilt aber: personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist. Nach Artikel 5 der DS-GVO ist das Prinzip der Speicherbegrenzung zu beachten, das besagt, dass Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung notwendig ist.
BLOG-TIPP: VERBOT MIT ERLAUBNISVORBEHALT – VERARBEITUNG VON PERSONENBEZOGENEN DATEN
Löschfristen orientieren sich an Aufbewahrungsfristen
Es gibt in der DS-GVO keine festen Löschfristen, es gibt die Vorgabe wie oben genannt, dass die personenbezogenen Daten nur so lange genutzt werden dürfen, wie sie für den Zweck gebraucht werden.
Wichtig ist, dass es auch gesetzliche Aufbewahrungsfristen für bestimmte Unterlagen und damit personenbezogene Daten gibt. An diesen Aufbewahrungspflichten orientieren sich auch die Löschfristen im Datenschutz.
Einige gängige Aufbewahrungsfristen umfassen z.B.:
- Geschäftliche Korrespondenz: In der Regel sechs Jahre, gemäß § 257 Handelsgesetzbuch (HGB).
- Steuerunterlagen: Zehn Jahre, wie in der Abgabenordnung (AO) festgelegt.
- Bewerbungsunterlagen von abgelehnten Kandidaten: Üblicherweise sechs Monate, um Ansprüchen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) zu begegnen.
- Vertragsunterlagen: Je nach Vertragsart und -inhalt variiert die Aufbewahrungsfrist; generell sollten diese jedoch mindestens bis zum Ablauf der Verjährungsfrist für vertragliche Ansprüche (regelmäßig drei Jahre) aufbewahrt werden.
BLOG-TIPP: AUSKUNFTSVERLANGEN NACH DS-GVO – EHEMALIGE BEWERBER
Individuelle Löschfristen prüfen
Es ist wichtig, dass Unternehmen individuelle Löschfristen für verschiedene Datenkategorien prüfen und festlegen, die sowohl die gesetzlichen Anforderungen als auch datenschutztechnische Notwendigkeiten berücksichtigen.
Nach Ablauf dieser Fristen müssen die Daten entweder gelöscht oder anonymisiert werden, um sicherzustellen, dass personenbezogene Informationen nicht länger als notwendig gespeichert werden.
BLOG-TIPP: ANONYMISIERUNG UND PSEUDONYMISIERUNG IM DATENSCHUTZ
Löschfristen im Datenschutz: Ein Leitfaden
Löschfristen sind also Zeiträume, nach deren Ablauf personenbezogene Daten gelöscht oder zumindest anonymisiert werden müssen. Diese Fristen variieren je nach Art der Daten und den gesetzlichen Vorgaben, denen ein Unternehmen unterliegt.
Die DS-GVO (Datenschutzgrundverordnung) und das BDSG (Bundesdatenschutzgesetz) bieten den rechtlichen Rahmen für die Bestimmung und Einhaltung dieser Fristen. Artikel 17 der DS-GVO, auch bekannt als das „Recht auf Vergessenwerden“, ist hierbei von zentraler Bedeutung. Dieses Recht besagt, dass personenbezogene Daten ohne unangemessene Verzögerung gelöscht werden müssen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind.
Erstellung und Nutzung von Löschkonzepten
Ein Löschkonzept hilft Unternehmen dabei, Löschfristen systematisch und zuverlässig einzuhalten. Hier ist eine Checkliste, die Sie bei der Erstellung und Nutzung eines Löschkonzepts unterstützen kann:
Checkliste für die Erstellung und Nutzung von Löschkonzepten
- Bestandsaufnahme der Daten
- Inventarisieren Sie alle gespeicherten personenbezogenen Daten.
- Kategorisieren Sie die Daten nach Typ und Zweck der Verarbeitung.
- Gesetzliche Anforderungen prüfen
- Überprüfen Sie die spezifischen Löschfristen gemäß DS-GVO und BDSG.
- Berücksichtigen Sie branchenspezifische Regelungen und Aufbewahrungsfristen.
- Löschfristen festlegen
- Definieren Sie für jede Datenkategorie klare Löschfristen.
- Dokumentieren Sie diese Fristen und machen Sie sie für alle relevanten Mitarbeiter zugänglich.
- Technische und organisatorische Maßnahmen (TOM) implementieren
- Entwickeln Sie technische Lösungen, die die automatische Löschung nach Ablauf der Frist ermöglichen.
- Implementieren Sie organisatorische Prozesse, die eine regelmäßige Überprüfung und Löschung von Daten sicherstellen.
- Schulung und Sensibilisierung der Mitarbeiter
- Schulen Sie Ihre Mitarbeiter regelmäßig zu den festgelegten Löschfristen und -verfahren.
- Fördern Sie eine Unternehmenskultur, die den Datenschutz ernst nimmt.
- Dokumentation und Nachweisführung
- Halten Sie die Löschungen sorgfältig in einem Löschverzeichnis fest.
- Stellen Sie sicher, dass Sie im Falle einer Prüfung durch Datenschutzbehörden Nachweise vorlegen können.
- Regelmäßige Überprüfung und Aktualisierung
- Überprüfen Sie Ihr Löschkonzept regelmäßig und passen Sie es an neue gesetzliche Anforderungen und technologische Entwicklungen an.
- Führen Sie interne Audits durch, um die Einhaltung der Löschfristen zu gewährleisten.
Löschfristen, Löschkonzepte und der externe Datenschutzbeauftragte
Die Einhaltung von Löschfristen im Datenschutz ist nicht nur eine gesetzliche Verpflichtung, sondern auch eine Chance, das Vertrauen und die Sicherheit Ihrer Kunden zu fördern. Ein durchdachtes und gut implementiertes Löschkonzept ist dabei unerlässlich.
Gerade bei KMU, Vereinen, Schulen, anderen Bildungseinrichtungen, Kanzleien und anderen Organisationen kann die komplexe Analyse und Umsetzung von Löschkonzepten nicht immer intern durchgeführt werden. Dabei ist der externe Datenschutzbeauftragte eine wichtige Unterstützung als Fachmann.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten, ein Datenschutz-Audit und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.