Aufbewahrungs- und Löschfristen gemäß der DSGVO
Unternehmen sammeln in ihrem Betriebsalltag Unmengen an Daten, die sie verarbeiten, verändern und speichern. Die gesammelten Informationen werden zur Gewinnerzielung eingesetzt, was sowohl Unternehmen als auch Verbrauchern nützen kann: Unternehmen können so ihre Produkte auf die Wünsche der Konsumenten abstimmen und Verbraucher profitieren von massgeschneiderter Werbung und nützlichen Produkten.
Unternehmen verfügen dadurch aber auch über viele Kundendaten, die die Identifizierung einzelner Personen ermöglichen. Um die Macht, die mit diesem Wissen verbunden ist zu minimieren und Betroffene zu schützen, sieht der Gesetzgeber nicht nur Aufbewahrungsfristen, sondern auch Löschfristen vor, innerhalb derer gewisse Daten und Informationen vernichtet werden müssen. Dies soll verhindern, dass zu grosse Datenmengen entstehen.
Für Unternehmen bedeutet das Aufwand und eine Menge Sorgfalt, denn wer Daten zu früh oder zu spät löscht, riskiert sensible Strafen. Wann welche Art von Daten zu löschen sind und welche Aufbewahrungsfristen gelten, zeigen wir Ihnen in diesem Artikel.
Das Wichtigste in Kürze
- Daten müssen gelöscht werden, wenn der Zweck der Datenverarbeitung erfüllt ist. Das gilt dann meist unverzüglich. Aber auch wenn betroffene Personen ihre Einwilligung widerrufen, müssen die Daten gelöscht werden.
- Insbesondere im Steuer- oder Strafrecht gibt es Aufbewahrungsfristen. Es ist explizit verboten, personenbezogene Daten vor Ablauf dieser Aufbewahrungsfristen zu löschen.
- Jede betroffene Person kann eine Einwilligung zur Datenverarbeitung geben. Diese Einwilligung darf sie aber auch jederzeit widerrufen. Damit entfällt das Recht für das Unternehmen, die Daten aufzubewahren es sei denn es gibt eine andere gesetzliche Grundlage.
Löschfristen nach der DSGVO
Schon vor Einführung der DSGVO gab es Regeln zur Löschung. „Das Recht auf Vergessenwerden“ - wie es das Bundesverfassungsgericht einst formulierte - fand sich schon vorher im deutschen Datenschutzgesetz. Dennoch hat die DSGVO einige Neuerungen mit sich gebracht, denn sie vereinheitlicht die Regelungen zum Datenschutz auf EU-Ebene.
Nach der DSGVO gibt es zwei Gründe, die Anlass zum Löschen der erhobenen Daten geben (Artikel 17 DSGVO):
Zum einen, wenn Betroffene ihre Einwilligung zur Datenerhebung und Datenspeicherung widerrufen und damit verlangen, die Daten zu löschen. Die Löschung der Daten kann die betroffene Person zudem auch dann verlangen, wenn ein Löschgrund der DSGVO vorliegt. Damit Daten also entsprechend erhoben werden dürfen, ist das Einverständnis der entsprechenden Parteien erforderlich.
Zum anderen muss eine Löschung immer dann erfolgen, wenn der Zweck der Datenverarbeitung und Datenspeicherung erfüllt wurde oder weggefallen ist (Artikel 5 DSVO). Ein Beispiel: In einer medizinischen Einrichtung dürfen Daten nur so lange gespeichert werden, wie es für die Behandlung der Patienten erforderlich ist.
Teilweise steht dem aber die gesetzlichen Aufbewahrungsfristen (dazu weiter unten mehr) entgegen. So etwa bei Betriebsprüfungen: Bezahlte und verbuchte Rechnungen sind für den Verarbeitungszweck nicht mehr erforderlich, müssen aber für die besagte Betriebsprüfung aufbewahrt werden.
Um Löschfristen einzuhalten, muss also die Erforderlichkeit der Datenspeicherung bekannt sein. Bei Rechnungen kommt es etwa nicht nur darauf an, ob diese bereits gezahlt wurden. Im Zweifel gibt es auch Garantie- oder Gewährleistungszeiträume, die zu beachten sind.
Neben der Erforderlichkeit müssen Unternehmen auch die relevanten Aufbewahrungsfristen kennen, die einer Löschung eventuell entgegenstehen kann. Auch über die Speicherorte und -medien sollten Unternehmen immer Kenntnis haben, damit Daten nicht verloren gehen und die Löschung ordnungsgemäss stattfinden kann.
Was sind Löschfristen? Löschfristen sind bestimmte Zeitfenster, nach dessen Ablauf die Daten, die erhoben wurden, wieder gelöscht werden müssen. So können sich Löschfristen für verschiedene Datenarten aus verschiedenen gesetzlichen Vorgaben ergeben, etwa aus der DSGVO, aber auch aus anderen Gesetzen und Normen.
Übersicht über DSGVO-Löschfristen
Der Gesetzgeber hat festgelegt, dass die Löschfristen auch im Verarbeitungsverzeichnis festgeschrieben werden sollen. Dies soll einen besseren Überblick geben und helfen, die Einhaltung der definierten Fristen zu wahren.
Dabei gibt es keine pauschale Antwort darauf, wann Daten zu löschen sind. Im Vertragsrecht bietet es sich etwa an, sich an den jeweiligen Verjährungsfristen zu orientieren. Die regelmässige Verjährungsfrist beträgt 3 Jahre (§ 195 BGB) und beginnt mit Ablauf des Jahres zu laufen, in dem der Anspruch entstanden ist.
Ein Beispiel: Entsteht ein Anspruch im Januar 2022, beginnt die Verjährungsfrist am 01.01.2023 zu laufen und endet am 01.01.2026.
Achtung: Im BGB existieren weitere Verjährungsfristen - etwa für deliktische Ansprüche. Dabei können sich Verjährungsfristen auf bis zu 30 Jahre erstrecken. Nutzen Sie die Verjährungsfristen daher nur als Richtwert und nicht absolut.
Im Zweifel können Ausnahmen greifen, etwa wenn der Zweck der Verarbeitung noch nicht entfallen ist. Das bedeutet: Wenn das Speichern der Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, dürfen Daten unter Umständen länger gespeichert werden.
Dazu erforderlich ist jedoch immer eine Interessenabwägung im Einzelfall. Unternehmen müssen sich also auch immer fragen, wie wahrscheinlich die Geltendmachung der Ansprüche ist und welche Interessen auf Seite der Betroffenen entgegenstehen.
Wichtig: Um nachweisen zu können, dass eine ordnungsgemässe Löschung erfolgt ist, sollten Sie die Löschungen immer sorgfältig dokumentieren. Unsere Datenschutz-Software hilft Ihnen dabei, Protokolle zu erstellen.
Was ist ein Löschkonzept?
Die strengen Anforderungen der DSGVO und die komplexen Regelungen, Ausnahmen und Einzelfälle lassen sich ohne ein Löschkonzept nur schwer realisieren und umsetzen. Ein Löschkonzept regelt, wann und wie die gesammelten personenbezogenen Daten in einem Unternehmen gelöscht werden sollen. Durch ein Löschkonzept kann ein eigener rechtskonformer Rahmen für die Datenverarbeitung definiert werden.
Das Löschkonzept ist dabei eng mit dem Verarbeitungsverzeichnis verknüpft:
- Zunächst muss festgestellt werden, wo im Unternehmen personenbezogene Daten erfasst und verarbeitet werden.
- Darüber hinaus muss geklärt werden, wer genau für diese Datenverarbeitung verantwortlich ist.
- Neben den verschiedenen Systemen, die in einem Unternehmen intern zur Anwendung kommen, darf nicht vergessen werden, auch die Datenerhebung und Verarbeitung von externen Dienstleistern in diese Erfassung einzubeziehen.
- Ist erst einmal ein Überblick über die Gesamtheit der Daten und der Verarbeitungen entstanden, müssen die verschiedenen Daten kategorisiert werden. Daten zur Gesundheit, Religion oder politischen Einstellungen sind beispielsweise verschiedene Kategorien, zu denen es unterschiedliche Regelungen gibt.
- Sind Kategorien gefunden und die einzelnen Datensätze diesen zugeordnet, sollten Löschregeln erstellt werden. Löschregeln legen Startzeitpunkt der Löschfristen und die Regel-Löschfrist für die verschiedenen Datenkategorien fest. Davon können auch Ausnahmen formuliert werden, die die Verantwortlichen während ihrer Arbeit berücksichtigen.
Welche Strafen drohen bei nicht ordnungsgemässer Löschung?
Wer nicht termingerecht löscht, begeht einen Rechtsverstoss, der mit einer Geldstrafe geahndet werden kann. Dabei reicht der Bussgeldrahmen bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes der gesamten Unternehmensgruppe, was der EU-üblichen Höhe entspricht.
Tipps zur Datenlöschung
Um eine rechtmässige Löschung zu gewährleisten, gibt es eine Reihe von Tipps, die Sie in Ihrem Unternehmen beherzigen können:
- Durch Verarbeitungsverzeichnis sollte vollständig sein und die vorgeschriebenen Aufbewahrungspflichten enthalten.
- Unternehmen sollten klar erfassen, wo welche Daten gespeichert und verarbeitet werden, um den Überblick zu behalten.
- Es sollte eine interne Löschleitlinie bzw. ein Löschkonzept vorliegen, welches innerhalb verschiedener Bereiche im Unternehmen Beachtung findet.
- Die Datenschutzbeauftragten sollten die Löschungen überwachen können und Zugang zu den erforderlichen Bereichen haben.
- Löschtermine sollten eingehalten werden.
Mit den Priverion Premium Elementen, bieten wir Aufbewahrungs- und Löschbibliotheken an. Damit können Sie die geltenden Fristen für über 150 Länder einfach laden und durch die Verknüpfung der Systeme wissen Ihre IT-Administratoren immer, welche Löschfristen zu prüfen sind. Wie genau die Priverion Datenschutzplattform das Fristenmanagement erleichtert, erläutern wir Ihnen gerne während einem Demo Termin.
Aufbewahrungsfristen nach DSGVO
Nach Ablauf der Löschfristen sollten nicht mehr als 6, maximal aber 12 Monate vergehen, bis die Daten auch tatsächlich gelöscht werden. Davon unabhängig gibt es jedoch einige Aufbewahrungsfristen, die die generellen Löschfristen ergänzen oder ihnen entgegenstehen.
Aufbewahrungsfristen bestimmen, wie lange welche Unterlagen aufbewahrt werden müssen und dürfen. So können Löschfristen nach hinten geschoben oder verlängert werden.
Gut zu wissen:
Aufbewahrungsfristen gelten in der Regel für Personen, die buchführungspflichtig Insbesondere die Gewerbetreibende müssen dabei die steuerrechtliche (z.B. § 147 AO (Deutschland)) oder handelsrechtliche Aufbewahrungspflichten (z.B. § 257 HGB 8 (Deutschland)) beachten. Privatpersonen sind hingegen nicht von den Aufbewahrungsfristen betroffen, sollten wichtige Dokumente, Belege und Rechnungen (beweiskräftige Unterlagen) dennoch einige Jahre aufbewahren.
Was sind DSGVO-Aufbewahrungsfristen?
Die Aufbewahrung von bestimmten geschäftlichen Unterlagen ist über einen gewissen Zeitraum Pflicht, das regeln die Aufbewahrungsfristen. Die Frist beginnt dabei, wie im BGB, mit Ablauf des Kalenderjahres, in dem die letzte Eintragung gemacht wurde.
Die vorgesehenen Fristen können daher immer wieder zu laufen beginnen, wenn nach einer gewissen Zeit Einträge hinzugekommen sind. Zu den betroffenen Unterlagen zählen:
- Letzte vorangegangene Buchungen
- Das Inventar
- Die Eröffnungsbilanz
- Der Jahresabschluss
- Der Lagerbericht
Auch bei Geschäftsbriefen und Buchungsbelegen beginnt die Frist am Ende des Jahres, indem sie empfangen/gesendet wurden bzw. erstellt wurden.
Bei den rechtlichen Fristen wird zwischen 6 Jahre und 10 Jahren Aufbewahrungsfrist unterschieden. Steuerunterlagen sind beispielsweise 6 Jahre aufzubewahren, Jahresabschlüsse und andere Bilanzunterlagen 10 Jahre.
Das bedeutet: 2023 sind diejenigen Unterlagen zu vernichten, die bis zum 31.12.2016 (6 Jahre) bzw. bis zum 31.12.2012 (10 Jahre) erstellt oder empfangen wurden.
DSGVO: Alle Aufbewahrungsfristen auf einen Blick
Je nach Dokument und Vorschrift fallen die Aufbewahrungsfristen unterschiedlich aus, was die richtige Löschung zu einer regelrechten Herausforderung macht.
Die IHK und andere Institutionen erstellen jährlich Listen mit den entsprechenden Dokumenten und den aktuellen Aufbewahrungsfristen. Im Folgenden bieten wir einen Überblick über die wichtigsten Dokumente und ihre Aufbewahrungsfristen:
| Abrechnungsbelege | 10 Jahre |
| Abtretungserklärungen | 6 Jahre |
| Angestelltenversicherung | 10 Jahre |
| Ausgangsrechnungen | 10 Jahre |
| Arbeitsunfähigkeitsbescheinigung | 5 Jahre |
| Aufbewahrungsvorschriften für betriebliche EDV-Dokumentation | 10 Jahre |
| Bankbelege | 10 Jahre |
| Betriebskostenrechnungen | 10 Jahre |
| Bewirtungsunterlagen | 10 Jahre |
| Buchungsbelege | 10 Jahre |
| Dauerauftragsunterlagen (nach Ablauf des Auftrags) | 10 Jahre |
| Eingabebeschreibungen bei EDV-Buchführung | 10 Jahre |
| Exportunterlagen | 10 Jahre |
| Fahrtkostenerstattungsunterlagen | 10 Jahre |
| Geschäftsberichte | 10 Jahre |
| Handelsbücher | 10 Jahre |
| Hauptabschlussübersicht | 10 Jahre |
| Jahresabschluss mit Erläuterungen | 10 Jahre |
| Kassenberichte | 10 Jahre |
| Kassenzettel (soweit keine Buchungsbelege) | 6 Jahre |
| Kontoauszüge | 10 Jahre |
| Lieferscheine | 6 Jahre |
| Lohnbelege | 10 Jahre |
| Mietunterlagen | 10 Jahre |
| Preislisten | 6 Jahre |
| Prozessakten | 10 Jahre |
| Quittungen | 10 Jahre |
| Schriftwechsel | 6 Jahre |
| Zahlungsanweisungen | 10 Jahre |
| Zwischenbilanz | 10 Jahre |
Aufbewahrungsfristen: Datenschutz rechtssicher umsetzen
Während des gesamten Aufbewahrungszeitraums müssen die entsprechenden Unterlagen in einer lesbaren Form aufbewahrt werden. Für die einzelnen Dokumenten-Arten muss entsprechend geprüft werden, ob und welche gesetzlichen Aufbewahrungsfristen gelten und wann entsprechende Löschfristen bestehen.
Dazu sollte immer ein aktuelles Verarbeitungsverzeichnis und Löschkonzept erstellt und geführt werden, um den Überblick zu behalten sowie die ordnungsgemässe und rechtskonforme Löschung zu gewährleisten.
Nach Ablauf der Aufbewahrungsfrist kann eine weitere Aufbewahrung erforderlich sein und ein Zweck zur Datenspeicherung bestehen. Dem steht die Aufbewahrungsfrist im Einzelnen nicht entgegen. Nachdem die Aufbewahrungsfristen verstrichen sind und auch keine weitere Aufbewahrung mehr notwendig ist, beginnt die Löschfrist von 6 bis maximal 12 Monaten.
Hier gibt es verschiedene Wege und Möglichkeiten, die Daten rechtssicher zu vernichten :
- Daten zu löschen und Papiere zu schreddern, erfüllt zwar die Anforderungen der DSGVO. Sensible und personenbezogene Daten müssen jedoch so rechtssicher vernichtet werden, dass keine andere Person - intern wie extern - an die Daten und Informationen gelangen kann.
- Hierzu existiert auch eine entsprechende DIN-Norm, die Aufschluss über die datenschutzgerechte Vernichtung gibt (DIN 66399). Werden Daten von externen Dritten vernichtet, also einem eigens dafür engagierten Unternehmen, handelt es sich dabei um eine Auftragsverarbeitung. Dazu besteht nach Artikel 28 DSGVO die rechtliche Verpflichtung für einen schriftlichen Auftragsverabeitungsvertrag (sogenannter AV-Vertrag).
Fazit
Lösch- und Aufbewahrungsfristen sind komplex und schwer durchschaubar. Im Zweifel gibt es keine klaren Regelungen - eine Löschung muss immer im Einzelfall erfolgen, etwa wenn der Zweck der Speicherung entfällt oder die betroffenen Personen eine Löschung verlangen.
Gerade dann, wenn Lösch- und Aufbewahrungsfristen kollidieren oder sich überschneiden, kann es schnell unübersichtlich werden. Für Unternehmen bietet es sich grundsätzlich an, Löschkonzepte zu erstellen und diese zu pflegen.
Dabei bedeutet ein Löschkonzept zunächst eine Menge Arbeit. Viel davon lässt sich aber auch aus dem Verarbeitungsverzeichnis entnehmen, wenn ein solches bereits vorhanden ist.
Langfristig bringen Löschkonzepte jedoch viel Licht ins Dunkle: Sie schaffen einen Überblick über vorhandene Daten und deren Verarbeitungen, weisen Verantwortlichkeiten zu und kategorisieren Daten und ihre Löschfristen.