Datenschutzrechtliche Aufbewahrungs- und Löschungspflichten der DSGVO

Aus datenschutzrechtlicher Sicht (Stichwort DSGVO) ist die rechtskonforme Aufbewahrung und Vernichtung personenbezogener Daten ein zentrales Thema. Wesentliche Fragen in diesem Zusammenhang sind: 

• Wann dürfen und wann müssen Sie Unterlagen vernichten? 
• Wie lange müssen Sie Unterlagen im Unternehmen aufbewahren?

Datenschutzrechtlich gesehen wichtiger ist die Frage nach dem „Dürfen”. Weniger dringlich ist die Frage, wie lange Sie Daten aufbewahren müssen. In diesem Beitrag werfen wir für Sie einen Blick auf die datenschutzrechtlichen Aufbewahrungs- und Löschungspflichten der DSGVO.

Grundsatz – keine unbegrenzte Aufbewahrung von Daten

Personenbezogene Daten dürfen gemäß Art. 5 Abs. 1 lit. b DSGVO nur so lange gespeichert und verarbeitet werden, wie dies für den jeweils Zweck nötig ist. Wenn der Zweck nicht mehr besteht, müssen sie grundsätzlich gelöscht werden (sog. Löschzwang). Mit Löschung ist die unumkehrbare Unkenntlichmachung der Daten gemeint. Die Anforderungen an eine Unkenntlichmachung richten sich nach dem jeweiligen Medium (Papierform, Datenträger etc.).

Neue legitime Zweckbindung durch Aufbewahrungsfristen 

Diesem Löschzwang stehen gesetzliche Aufbewahrungsfristen gegenüber.

Den Konflikt zwischen einem Löschzwang und gesetzlich vorgeschriebenen Aufbewahrungspflichten löst die DSGVO über Art. 6 Abs. 1 DSGVO. Danach dürfen personenbezogene Daten gespeichert werden, wenn dies der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient. Gesetzliche Aufbewahrungspflichten stellen eine solche rechtliche Verpflichtung und damit die Rechtsgrundlage für die weitere Verarbeitung dar.

Es existiert eine Vielzahl von gesetzlich geregelten Aufbewahrungspflichten. Darunter namentlich im Handels- und Steuerrecht (§§ 257 HGB bzw. § 147 AO), § 5a Energiewirtschaftsgesetz, § 5 Bundesimmissionsschutzgesetz und viele mehr.

Daneben kann auch dann von einer Löschung abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen seitens des verarbeitenden Unternehmens notwendig ist.

Eine Datenvernichtung kommt sodann nach Ablauf der jeweiligen Frist in Betracht.

Warum Ihr Unternehmen sich mit Aufbewahrungs- und Löschpflichten beschäftigen sollte

Seit dem 25. Mai 2018 fordert die neue Datenschutz-Grundverordnung bei Verstößen erhebliche Bußgelder. Außerdem besteht eine Pflicht zur Führung eines Verzeichnisses der datenverarbeitenden Tätigkeiten. Darin müssen auch aussagekräftige Angaben, u.a. zum Zweck, der Rechtsgrundlage und der Aufbewahrungsfrist der Verarbeitung personenbezogener Daten genannt sein.

Wesentliche Punkte die Ihr Löschkonzept enthalten sollte:

1. Ist der (ursprüngliche) Zweck der Datenverarbeitung entfallen?
2. Liegt eine gesetzliche Aufbewahrungspflicht vor? Diese kann sich aus einem (Spezial-)Gesetz oder einer Rechtsverordnung ergeben.
3. Wann läuft die Aufbewahrungsfrist aus? Eine Berechnung der Aufbewahrungsfrist muss vorgenommen werden. Die Frist beginnt mit der Beendigung des Vertrags/Vorgangs. Sie endet im Jahr des Ablaufs der Frist am 31.12.

Unsere Einschätzung zu datenschutzrechtlichen Aufbewahrungs- und Löschungspflichten der DSGVO

Wie beschrieben muss der datenschutzrechtlich Verantwortliche laufend prüfen, ob Löschungspflichten bestehen. Nicht zuletzt um die bei Verstößen gegen die DSGVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Verantwortliche regelmäßig etwaige Löschungsverpflichtungen sowie kollidierende Aufbewahrungspflichten und die jeweiligen Fristen vergegenwärtigen. Aufgrund der mannigfaltigen gesetzlichen Regelungen bedarf es dazu eines ausführlichen, unternehmensbezogenen Löschkonzepts.

Wir helfen Ihnen gerne, ein auf Sie zugeschnittenes Datenschutz-Compliance-System zu entwickeln. Sprechen Sie uns gerne an.