Schützen und Löschen: die Bedeutung von Löschfristen im Datenschutz

Veröffentlicht 15.12.2023

Dortje Janzen Online Marketing Managerin d.velop

Beitragsbild Löschfristen

Eine digitale Welt ohne Datenschutz ist unvorstellbar, denn er gewährleistet den Schutz persönlicher Informationen und die Privatsphäre von Einzelpersonen. Angesichts der zunehmenden Digitalisierung und des massiven Datenaustauschs ist es wichtig, dass persönliche Daten angemessen geschützt werden, um Missbrauch und Datenschutzverletzungen zu verhindern. Löschfristen sind dabei ein zentraler Aspekt des Datenschutzes. Sie legen fest, wie lange personenbezogene Daten aufbewahrt werden dürfen. Durch die Einhaltung von Löschfristen wird sichergestellt, dass Personen die Kontrolle über ihre Daten behalten.

Was sind Löschfristen?

Löschfristen sind zeitliche Vorgaben, die festlegen, wie lange personenbezogene Daten gespeichert und aufbewahrt werden dürfen, bevor sie gelöscht werden müssen. Sie dienen dem Schutz der Privatsphäre und stellen sicher, dass personenbezogene Daten nicht länger als erforderlich aufbewahrt werden.

Rechtliche Grundlagen für Löschpflichten

DSGVO regelt Löschpflicht für personenbezogene Daten

Die rechtlichen Grundlagen für Löschfristen variieren je nach Land und Rechtsordnung. In der Europäischen Union regelt die Datenschutz-Grundverordnung (DSGVO) die Löschfristen (oder auch Löschpflicht) für personenbezogene Daten. Gemäß der DSGVO dürfen personenbezogene Daten nur so lange aufbewahrt werden, wie es für den Zweck, für den sie erhoben wurden, notwendig ist. Nach Ablauf dieser Fristen müssen die Daten gelöscht oder anonymisiert werden.

Spezifische Datenschutzgesetze auf nationaler Ebene

Überdies können auch nationale Datenschutzgesetze zusätzliche Bestimmungen und spezifische Aufbewahrungsfristen enthalten. In Deutschland etwa gibt es diesbezüglich das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), das Strafgesetzbuch (StGB) und das Telekommunikationsgesetz. Branchenspezifische Datenschutzgesetze, wie das Sozialgesetzbuch (SGB) für den Bereich der Sozialversicherungen, ergänzen den rechtlichen Rahmen. Es ist wichtig, dass Unternehmen und Organisationen diese rechtlichen Vorgaben einhalten.

Warum ist eine Löschpflicht nach DSGVO notwendig?

Eine Löschpflicht nach DSGVO ist aus mehreren Gründen notwendig: Erstens ermöglicht sie die Vermeidung von Datenansammlungen, da überflüssige und veraltete Daten ein erhöhtes Risiko für Datenschutzverletzungen darstellen können. Zweitens dient sie dem Schutz der Privatsphäre, da Personen das Recht haben, dass ihre Daten nicht länger als erforderlich gespeichert werden. Drittens müssen Unternehmen und Organisationen den gesetzlichen Vorgaben entsprechen, um den Datenschutzvorschriften gerecht zu werden. Dies umfasst auch die Einhaltung der Löschpflicht, um den Schutz personenbezogener Daten zu gewährleisten.

Welche Bedeutung hat ein Löschkonzept für Unternehmen?

Ein Löschkonzept nach DIN 66398 in Unternehmen sensibilisiert für einen verantwortungsbewussten Umgang mit personenbezogenen Daten. Es fördert die Datensparsamkeit als Prinzip, indem es das Speichern ausschließlich relevanter Informationen forciert. Die Einrichtung eines Löschkonzepts unterstützt Unternehmen bei der Identifizierung von Daten, die gelöscht werden müssen, und bei der Datenvernichtung gemäß gesetzlichen Anforderungen. Weitere Punkte sind:

  1. Ein Löschkonzept legt fest, welche Daten zu welchem Zeitpunkt gelöscht werden müssen, um sicherzustellen, dass personenbezogene Daten nicht länger als erforderlich gespeichert werden. 
  2. Durch ein Löschkonzept können Unternehmen unnötige Datenansammlungen vermeiden (Grundsätze der Datensparsamkeit und Zweckbindung) und das Risiko von Datenschutzverletzungen verringern. 
  3. Ein gut durchdachtes Löschkonzept schafft Transparenz und ermöglicht es Unternehmen, ihre Datenverarbeitungsprozesse effizienter zu gestalten. 
  4. Es hilft Unternehmen dabei, die Informationspflicht gegenüber den Betroffenen einzuhalten und das Vertrauen der Kunden in den Umgang mit ihren Daten zu stärken. 
  5. Ein Löschkonzept ist Teil eines umfassenden Datenschutzmanagement-Systems und sollte regelmäßig überprüft, aktualisiert und umgesetzt werden, um die Einhaltung der Löschfristen zu gewährleisten. 

Übersicht: Welche Löschfristen gelten in der Praxis

In Unternehmen fallen viele unterschiedliche Arten von Daten an, für die individuelle Löschfristen gelten. Die technische Umsetzung gelingt mit automatisierten Löschprozessen und -systemen, bevor eine Dokumentation samt Nachweis der Vernichtung zur Einhaltung von Compliance-Vorschriften erfolgt. Welche Löschfristen für welche Dokumente gelten, zeigt folgende Übersicht:

Bewerberdaten löschen

  • Nicht erfolgreiche Bewerbungen: Normalerweise werden die Daten nach Abschluss des Bewerbungsverfahrens oder nach Ablauf einer angemessenen Frist gelöscht, es sei denn, es liegt eine Einwilligung des Bewerbers für eine längere Speicherung vor. 
  • Erfolgreiche Bewerbungen: Anstatt die Bewerberdaten zu löschen, werden sie in die Personalakte überführt und unterliegen den spezifischen Aufbewahrungsfristen für Personalakten. 

Personalakten löschen

  • Allgemeine Mitarbeiterdaten: In der Regel werden die Akten mit den Daten für die Dauer des Beschäftigungsverhältnisses sowie nach dessen Beendigung für eine gewisse Zeit aufbewahrt, um gesetzlichen Verpflichtungen, wie steuerrechtlichen Vorgaben, nachzukommen. 
  • Gehalts- und Lohnunterlagen: Je nach den gesetzlichen Bestimmungen können diese Unterlagen für einen Zeitraum von bis zu 10 Jahren aufbewahrt werden. 

Kunden- und Vertragsunterlagen löschen

  • Verträge mit Kunden: Die Aufbewahrungsdauer kann je nach Vertragsart, Vertragslaufzeit und gesetzlichen Vorgaben variieren. 
  • Kundenkontaktinformationen: Wenn eine Geschäftsbeziehung besteht, können die Daten während der Geschäftsbeziehung aufbewahrt werden. Bei Beendigung der Geschäftsbeziehung sollten sie in angemessener Zeit gelöscht werden, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten. 

Buchhaltungs- und Finanzunterlagen löschen

  • Rechnungen und Buchhaltungsunterlagen: In der Regel unterliegen sie den gesetzlichen Aufbewahrungsfristen für steuerliche und handelsrechtliche Zwecke, die je nach Land variieren können.

Herausforderungen bei der Einhaltung von Löschfristen

Die Einhaltung von Löschfristen in Unternehmen kann verschiedene Herausforderungen mit sich bringen, insbesondere in Bezug auf die Datenhaltung, die Sicherstellung der vollständigen Löschung und die Berücksichtigung von rechtlichen Ausnahmen und Aufbewahrungspflichten. Deshalb ist zu empfehlen, dass sich ein zuvor bestimmter Datenschutzbeauftragter mit den Herausforderungen auseinandersetzt. Hier sind einige relevante Punkte, die es zu berücksichtigen gilt:

Infografik zeigt die Herausforderungen bei der Einhaltung Löschfristen

Datenhaltung in verschiedenen Systemen und Datenbanken 

  • Unternehmen verfügen über eine Vielzahl von Systemen und Datenbanken, in denen personenbezogene Daten gespeichert sind. Die Identifizierung und Überwachung aller relevanten Datenquellen kann schwierig sein. 
  • Es ist wichtig, ein effektives Dateninventar zu erstellen und Prozesse zu etablieren, damit personenbezogene Daten in allen Systemen erfasst und Löschfristen eingehalten werden. 

Vollständige Löschung in Backup- und Archivsystemen sicherstellen 

  • Unternehmen verwenden häufig Backup- und Archivsysteme, um Daten langfristig aufzubewahren. Es kann eine Herausforderung sein, alle personenbezogenen Daten nicht nur aus den primären Systemen, sondern auch aus allen Backups und Archiven zu löschen. 
  • Es ist wichtig, Löschkonzepte und -prozesse zu implementieren, die sicherstellen, dass Daten in allen relevanten Systemen, Backups und Archiven entfernt werden. 

Rechtliche Ausnahmen und Aufbewahrungspflichten berücksichtigen 

  • Es gibt rechtliche Ausnahmen und Aufbewahrungspflichten, die eine Löschung von personenbezogenen Daten einschränken. Zum Beispiel können bestimmte rechtliche Vorschriften oder behördliche Anforderungen längere Aufbewahrungsfristen vorschreiben. 
  • Unternehmen müssen die relevanten rechtlichen Bestimmungen kennen und in ihr Löschkonzept integrieren, damit sie die erforderlichen Daten für die vorgeschriebene Zeit aufbewahren und gleichzeitig die Löschfristen für andere Daten einhalten. 

Dokumentation und Nachweis der Löschungen 

  • Die Einhaltung von Löschfristen erfordert eine angemessene Dokumentation und Nachverfolgung der Löschvorgänge. Unternehmen müssen nachweisen können, dass die Löschungen ordnungsgemäß durchgeführt wurden, um ihre Compliance zu belegen. 
  • Es ist ratsam, entsprechende Protokolle und Aufzeichnungen über Löschaktionen zu führen, um die Nachvollziehbarkeit und Nachweisbarkeit sicherzustellen. 

Mit GoBD, DSGVO, ISO 27001 und Co. zu mehr Sicherheit im Unternehmen

Ein Dokumentenmanagement-System hilft bei der Einhaltung von Löschfristen

Die Einhaltung von Löschfristen ist elementar, um die Privatsphäre und die Rechte von Einzelpersonen zu schützen. Löschfristen sind ein integraler Bestandteil einer umfassenden Datenschutzstrategie, da sie sicherstellen, dass personenbezogene Daten nicht unnötig lange aufbewahrt werden. Unternehmen und Organisationen tragen die Verantwortung, einen verantwortungsvollen Umgang mit personenbezogenen Daten sicherzustellen. Das gilt für das digitale Datenmanagement, zu dem auch die Rechnungsverarbeitung gehört. Auch das Aufbewahren von Personalunterlagen sollte im Einklang mit den geltenden Löschfristen erfolgen, um den Datenschutz zu gewährleisten. Ein Dokumentenmanagement-System (DMS) hilft dabei, die Dokumente auffindbar zu archivieren und dem gesetzlichen Löschzwang durch einen Fristenkalender nachzukommen. 

d.velop Dokumentenmanagement-System live erleben

 

Erfahre in einer individuell für dich zugeschnittenen Demo, wie dir ein DMS dabei hilft, Löschfristen erfolgreich einzuhalten.