16. Dezember 2020

Datenschutzrechtliche Aufbewahrungs- und Löschungspflichten der DSGVO

Kategorien: Unkategorisiert

Inhaltsverzeichnis

Aus datenschutzrechtlicher Sicht (Stichwort DSGVO) ist die rechtskonforme Aufbewahrung und Vernichtung personenbezogener Daten ein zentrales Thema. Wesentliche Fragen in diesem Zusammenhang sind: 

  • Wann dürfen und wann müssen Sie Unterlagen vernichten? 
  • Wie lange müssen Sie Unterlagen im Unternehmen aufbewahren?

Datenschutzrechtlich gesehen wichtiger ist die Frage nach dem „Dürfen”. Weniger dringlich ist die Frage, wie lange Sie Daten aufbewahren müssen. In diesem Beitrag werfen wir für Sie einen Blick auf die datenschutzrechtlichen Aufbewahrungs- und Löschungspflichten der DSGVO.

Grundsatz – keine unbegrenzte Aufbewahrung von Daten

Personenbezogene Daten dürfen gemäß Art. 5 Abs. 1 lit. b DSGVO nur so lange gespeichert und verarbeitet werden, wie dies für den jeweils Zweck nötig ist. Wenn der Zweck nicht mehr besteht, müssen sie grundsätzlich gelöscht werden (sog. Löschzwang). Mit Löschung ist die unumkehrbare Unkenntlichmachung der Daten gemeint. Die Anforderungen an eine Unkenntlichmachung richten sich nach dem jeweiligen Medium (Papierform, Datenträger etc.).

Neue legitime Zweckbindung durch Aufbewahrungsfristen 

Diesem Löschzwang stehen gesetzliche Aufbewahrungsfristen gegenüber.

Den Konflikt zwischen einem Löschzwang und gesetzlich vorgeschriebenen Aufbewahrungspflichten löst die DSGVO über Art. 6 Abs. 1 DSGVO. Danach dürfen personenbezogene Daten gespeichert werden, wenn dies der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient. Gesetzliche Aufbewahrungspflichten stellen eine solche rechtliche Verpflichtung und damit die Rechtsgrundlage für die weitere Verarbeitung dar.

Es existiert eine Vielzahl von gesetzlich geregelten Aufbewahrungspflichten. Darunter namentlich im Handels- und Steuerrecht (§§ 257 HGB bzw. § 147 AO), § 5a Energiewirtschaftsgesetz, § 5 Bundesimmissionsschutzgesetz und viele mehr.

Daneben kann auch dann von einer Löschung abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen seitens des verarbeitenden Unternehmens notwendig ist.

Eine Datenvernichtung kommt sodann nach Ablauf der jeweiligen Frist in Betracht.

Warum Ihr Unternehmen sich mit Aufbewahrungs- und Löschpflichten beschäftigen sollte

Seit dem 25. Mai 2018 fordert die neue Datenschutz-Grundverordnung bei Verstößen erhebliche Bußgelder. Außerdem besteht eine Pflicht zur Führung eines Verzeichnisses der datenverarbeitenden Tätigkeiten. Darin müssen auch aussagekräftige Angaben, u.a. zum Zweck, der Rechtsgrundlage und der Aufbewahrungsfrist der Verarbeitung personenbezogener Daten genannt sein.

Wesentliche Punkte die Ihr Löschkonzept enthalten sollte:

  1. Ist der (ursprüngliche) Zweck der Datenverarbeitung entfallen?
  2. Liegt eine gesetzliche Aufbewahrungspflicht vor? Diese kann sich aus einem (Spezial-)Gesetz oder einer Rechtsverordnung ergeben.
  3. Wann läuft die Aufbewahrungsfrist aus? Eine Berechnung der Aufbewahrungsfrist muss vorgenommen werden. Die Frist beginnt mit der Beendigung des Vertrags/Vorgangs. Sie endet im Jahr des Ablaufs der Frist am 31.12.

Unsere Einschätzung zu datenschutzrechtlichen Aufbewahrungs- und Löschungspflichten der DSGVO

Wie beschrieben muss der datenschutzrechtlich Verantwortliche laufend prüfen, ob Löschungspflichten bestehen. Nicht zuletzt um die bei Verstößen gegen die DSGVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Verantwortliche regelmäßig etwaige Löschungsverpflichtungen sowie kollidierende Aufbewahrungspflichten und die jeweiligen Fristen vergegenwärtigen. Aufgrund der mannigfaltigen gesetzlichen Regelungen bedarf es dazu eines ausführlichen, unternehmensbezogenen Löschkonzepts.

Wir helfen Ihnen gerne, ein auf Sie zugeschnittenes Datenschutz-Compliance-System zu entwickeln. Sprechen Sie uns gerne an.

 

 

Jens Bühner

Jens Bühner

Partner, Rechtsanwalt, LL.M., Fachanwalt für Handels- und Gesellschaftsrecht

Tags

DSGVOGroßunternehmenStartups

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • Abbildung eines digitalen Dokuments mit einer Wirtschafts-Identifikationsnummer (W-IdNr.), bestehend aus dem Länderkürzel „DE“ und einer Zahlenfolge.
    Wirtschafts-Identifikationsnummer ab 2024: Wichtige Infos für Unternehmen

    Ab 1. November 2024 soll in Deutschland die Wirtschafts-Identifikationsnummer (W-IdNr.) eingeführt werden. Diese neue Identifikationsnummer soll dazu beitragen, Verwaltungsprozesse zu vereinfachen und die Konsistenz von Daten zu erhöhen. Hier erfahren Sie alles Wesentliche zur bevorstehenden Einführung der W-IdNr. und was [...]

    Lars Rinkewitz

    11. Jul 2024

  • Gesetz zur Umsetzung der CSRD: Ein Überblick über neue Nachhaltigkeitsberichtspflichten für Unternehmen unter Berücksichtigung der DSGVO.
    DSGVO-Auskunftsanspruch gegen das Finanzamt

    Der Bundesfinanzhof (BFH-Urteil vom 12.03.2024, Az. IX R 35/21) hat entschieden, dass die Steuerverwaltung ebenfalls an die Datenschutz-Grundverordnung (DSGVO) gebunden ist. Dieses Urteil gibt eine klare Leitlinie für den Umgang mit personenbezogenen Daten durch Steuerbehörden vor. In diesem Beitrag erfahren [...]

    Esengül Aslan

    28. Jun 2024

  • Effiziente Arbeitszeiterfassung: Umsetzung und Kontrolle für Arbeitgeber:innen
    Effiziente Arbeitszeiterfassung: Umsetzung und Kontrolle für Arbeitgeber:innen

    Erfahren Sie, wie Sie die Vorgaben zur Arbeitszeiterfassung rechtssicher umsetzen und von den Möglichkeiten der Gestaltung profitieren. Pflicht zur Arbeitszeiterfassung: Was das BAG entschieden hat Die Entscheidung des Bundesarbeitsgerichts (BAG) zur verpflichtenden Arbeitszeiterfassung sorgte im Herbst 2022 für Aufsehen. Nun [...]

    Jens Bühner

    01. Feb 2023