Die DSGVO schreibt vor, dass Unternehmen verpflichtet sind, personenbezogene Daten nur so lange zu speichern, wie dies zur Zweckerfüllung unbedingt notwendig ist. Viele Verjährungsfristen beginnen mit Ende des Kalenderjahres. Daher sollten Sie spätestens jetzt aktiv werden!
Art. 5 DSGVO „Speicherbegrenzung“
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist…
Auch nach der Zweckerfüllung ist eine weitere Speicherung möglich, wenn es dafür andere rechtliche Grundlagen gibt. Der häufigste Grund, personenbezogene Daten längerfristig im Unternehmen zu speichern, sind meist die Aufbewahrungsfristen nach BGB oder AO. Diese Verjährungsfristen von 3, 6 oder 10 Jahren beginnen und enden in der Regel zum Ende des Kalenderjahres.
Wichtige Verjährungsfristen zum Ende des Kalenderjahres
- Drei Jahre regelmäßige Verjährungsfrist, §§ 195, 199 BGB.
Beispiel: Aufbewahrung von Bewerbungsunterlagen eines eingestellten Bewerbers, dürfen bis zu drei Jahre nach Schluss des Kalenderjahres, in dem das Arbeitsverhältnis beendet wurde, aufbewahrt werden. Grund hierfür ist die Verjährung des Zeugnisanspruches gemäß § 109 Gewerbeordnung (GewO) nach der allgemeinen Frist von drei Jahren. - Aufbewahrungsfrist von sechs Jahren, § 147 Abs. 1 Nr. 2, 3 und AO
Beispiel: Aufbewahrungsfrist für Handels- und Geschäftspapiere, wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und weitere steuerrelevante Dokumente, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind. - Aufbewahrungsfrist von zehn Jahren, § 147 Abs. 1 Nr. 1, 4 und 4a AO
Beispiel: Bücher, Jahresabschlüsse, die Eröffnungsbilanz und die zu ihrem Verständnis erforderlichen Unterlagen fallen unter die Aufbewahrungsfrist von zehn Jahren. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem der letzte Buchungsbeleg, z.B. Lohnabrechnung erstellt wurde.
Weitere Beispiele finden Sie in folgender Tabelle:
| Datenkategorien | Rechtsgrundlage zur Aufbewahrung | Speicherdauer, Aufbewahrungsfrist |
| An-, Ab- oder Ummeldungen zur Krankenkasse | § 25 DEÜV, § 28 p SGB IV | Bis zum Ablauf des auf die letzte Prüfung folgenden Jahres |
| AU-Bescheinigungen | Selbstbestimmt nach § 6 AAG | 4 Jahre |
| Lohnkonto, Gehaltslisten | § 41 Abs. 1 EStG | 10 Jahre |
| Listen von Überstunden, sofern diese nicht lohnrelevant sind | § 16 Abs. 2 ArbZG | 2 Jahre |
| Zeugnisse | § 195 BGB | 3 Jahre |
| Buchungsbelege | § 147 Abs. 3 AO | 10 Jahre |
| Angebote, Bestellungen, Auftragsbestätigungen, Verträge | § 257 HGB, § 147 Abs. 3 AO | 6 Jahre |
| Mahnungen | § 257 HGB, § 147 Abs. 3 AO | 6 Jahre |
| Empfangene und abgesandte Handelsbriefe, z.B. auch aus E-Mails | § 257 HGB, § 147 Abs. 3 AO | 6 Jahre |
| Handelsbücher | § 257 HGB, § 147 Abs. 3 AO | 10 Jahre |
Einschränkung der Verarbeitung
Aus Sicht des Datenschutzes müssen Sie beachten, dass personenbezogene Daten, die nur noch aufgrund von Aufbewahrungspflichten gespeichert werden, in deren Verarbeitung einzuschränken sind. So dürfen beispielsweise, nach Ablauf einer aktiven Kundenbeziehung, Kundendaten nur mit beschränkten Zugriffsmöglichkeiten gespeichert werden. Die Daten dürfen für andere Zwecke, z.B. für Kundenanschreiben zu Werbezwecken nicht weiter genutzt werden.
Weiter müssen Sie nach Art. 32 DSGVO, wie bei allen personenbezogenen Daten, entsprechende Schutzmaßnahmen treffen: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Darunter ist ein Katalog mit konkreten Schutzmaßnahmen zu verstehen, den Sie oder Ihr Dienstleister nachweisen muss. Dies umfasst im Falle der Aufbewahrung, z.B. den geschützten Zugriff auf das Firmenarchiv oder ein Dokumentenmanagementsystem.
Risiko von Bußgeldern ist nicht abstrakt
Eine Speicherung ohne Rechtsgrundlage kann von den Aufsichtsbehörden mit Bußgeldern sanktioniert werden. Noch schlimmer, nicht korrekt gelöschte Daten machen Ihr Unternehmen „erpressbar“. Denn eine Offenlegung solcher Daten erfolgt meist im Rahmen von Vorgängen, die ohnehin schon belastend für ein Unternehmen sind:
- Bei meldepflichtigem Diebstahl, z.B. von Handys oder Laptops
- Im Rahmen von Rechtsstreitigkeiten, wenn Einblick in Daten gewährt werden muss
- Wenn Daten im Rahmen der Betroffenenrechte beauskunftet werden müssen
- Bei Hackerangriffen auf das eigene Unternehmen oder auf Dienstleistern
Dies sind keine abstrakte Bedrohungslagen, sondern reale Szenarien: Im Jahr 2023 berichteten die Meden ausführlich über einem Hacker-Angriff auf eine Hotelkette. Dabei wurden mehrere Terabyte Daten aus den Servern des Unternehmens gestohlen. Die Diebe erpressten zunächst das Unternehmen und veröffentlichten später Daten im Darknet. Darunter auch personenbezogene Daten von Kunden, die sich schon lange nicht mehr im Besitz des Unternehmens hätten befinden dürfen. Ein weiterer prominenter Fall ist ein Bußgeld in Höhe von 16.000 € gegen einen bekannten Elektronikfachmarkt. Unter anderem deswegen, da dieser Daten seiner Überwachungskameras länger als die erforderlichen 72 Stunden speicherte.
Dies Konsequenzen können Sie vermeiden oder abmildern, wenn Sie im Rahmen eines Löschkonzepts klare Richtlinien festlegen und im Unternehmen kommunizieren, wer wann und wie welche Daten zu löschen hat.
Sichere Löschung von Daten
Eine sichere Datenlöschung kann durch verschiedene Methoden erreicht werden. Dabei ist ist wichtig, die geeignete Methode für das jeweilige Speichermedium auf Grundlage der rechtlichen Anforderungen, die sich aus dem Schutzbedarf der Daten ergeben, zu wählen. Für Papierunterlagen kann dies bereits die Anschaffung eines geeigneten Papier-Schredders sein. Achten Sie bei der Anschaffung des Geräts auf die passende Schutzklasse.
Bei elektronischen Medien ist die Verwendung von speziellen Löschwerkzeugen oder die physische Zerstörung von Datenträgern ratsam. Hierbei kann die Beauftragung einer Fachfirma hilfreich sein. Diese verfügt über die erforderliche Technik und das Know-How, zudem stellt Ihnen das Unternehmen Nachweise über eine datenschutzkonforme Vernichtung der Daten aus. Denn auch für eine datenschutzkonformen Löschung personenbezogener Daten sind Sie nach Art. 5 DSGVO in der Nachweispflicht. Achten Sie bei der Beauftragung darauf, dass der Dienstleister über eine entsprechende Zertifizierung verfügt. Zudem ist bei der Beauftragung zusätzlich ein Vertrag über Auftragsverarbeitung entsprechend Art. 28 DSGVO erforderlich.
Unternehmensweites Löschkonzept
Das unternehmensweite Löschkonzept ist die Basis für eine datenschutzkonforme Löschung von Daten. Dabei müssen über alle Abteilungen hinweg die vorhandenen Daten kategorisiert und deren Schutzbedarf sowie die Löschfristen ermittelt werden. Eine gute Ausgangsbasis hierfür ist das Verzeichnis aller Verarbeitungen welches zentraler Baustein einer Datenschutz-Dokumentation ist.
Die Erstellung des Löschkonzepts bringt in der Praxis trotzdem zahlreiche Herausforderungen mit sich. In der Regel gibt es zahlreiche Datensilos im Unternehmen. Diese befinden sich auf verschiedenen Systemen, Plattformen und Anwendungen, die meist nicht miteinander verknüpft sind. Zudem können die technologischen Aspekte der Datenlöschung kompliziert sein, insbesondere dann, wenn eine sichere Löschung oder Anonymisierung der Daten per Software schlichtweg nicht vorgesehen ist. Dies alles erfordert die Zusammenarbeit der jeweiligen Fachabteilung, von IT-Spezialisten und Datenschutzbeauftragten – sowie eine gute Vorbereitung. Wir von DSS-connect stehen Ihnen dabei gerne hilfreich zur Seite.
