Zeit, sich von veralteten Unterlagen zu trennen
Wenn die Tage länger werden und wieder mehr Licht in Haus und Wohnung fällt, ist es Zeit für den alljährlichen Frühjahrsputz. So kann der Frühlingsbeginn auch in Unternehmen die Zeit sein, sich von veralteten Unterlagen zu trennen. Wenn digitale Dokumente und Papierakten personenbezogene Daten enthalten, dürfen sie nach der Datenschutz-Grundverordnung (DSGVO) nur so lange aufbewahrt werden, wie es erforderlich ist. Mindestens einmal im Jahr ist es deshalb Zeit, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten länger benötigt werden. Professionelle Datenverarbeiter erledigen dies automatisiert. Wo keine automatischen Routinen etabliert sind, muss händisch gelöscht werden. Dabei sollten Unternehmen und Behörden unbedingt prüfen, ob ihre Löschroutinen bereits die ab 2025 geltenden neuen gesetzlichen Aufbewahrungsfristen berücksichtigen.
Für viele Dokumente gibt es gesetzlich festgelegte Mindestspeicherfristen. Diese ergeben sich zumeist aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) mit einem abgestuften System aus sechs, acht und zehn Jahren. Detaillierte Überblicke darüber, was wie lange vorzuhalten ist, hat unter anderem die Handelskammer veröffentlicht. Je nach Datenart und Geschäftszweig kommen teilweise spezielle Fristen hinzu. So haben beispielsweise Arztpraxen die berufsrechtliche Zehn-Jahres-Frist des Bürgerlichen Gesetzbuchs (BGB) oder auch die 30-Jahres-Frist der Strahlenschutzverordnung (StrlSchVO) zu beachten. Ein anderes Beispiel für besondere Fristen trifft Arbeitgeber, die unter anderem Aufzeichnungen zur geleisteten Arbeitszeit, zum Jugendschutz und zum Mutterschutz zwei Jahre lang aufbewahren müssen.
Wenn die Speicherfristen abgelaufen sind, müssen die Daten in der Regel unverzüglich gelöscht werden. Das Datenschutzrecht verlangt jedoch keine sofortige Löschung in der Silvesternacht – je nach Komplexität des Systems kann der Prozess einige Wochen bis Monate dauern. Wichtig ist, dass er zum Jahresbeginn direkt eingeläutet wird. Bis zum Frühlingsbeginn sollte die jährliche Löschung abgeschlossen sein.
Neue Fristen ab 2025
Dieses Jahr ist beim digitalen Frühjahrsputz besondere Aufmerksamkeit geboten. Der Bundesgesetzgeber hat einige Aufbewahrungsfristen verkürzt, sodass auch die betroffenen Daten früher gelöscht werden müssen. Mit dem Vierten Bürokratieentlastungsgesetz sind die AO und das HGB angepasst worden. Die in der Praxis wichtigste Fallgruppe der Belege zu Buchungen muss jetzt acht Jahre anstelle der bisherigen zehn aufbewahrt und danach gelöscht werden. Für andere Dokumentenarten wie zum Beispiel Handelsbücher und Jahresabschlüsse bleibt es bei der Frist von zehn Jahren. Diese Gesetzesänderungen haben zur Folge, dass in diesem Frühjahr deutlich mehr Datenfelder bereinigt und die Löschkonzepte angepasst werden müssen.
Interne Löschkonzepte
Auch personenbezogene Daten, für die es keine gesetzliche Aufbewahrungsfrist gibt, müssen gelöscht werden, wenn sie nicht mehr benötigt werden. Hier sind Unternehmen verpflichtet, sich einen Überblick zu verschaffen, wie lange diese Daten typischerweise Verwendung finden. In einem Löschkonzept sind dann eigenständige Löschfristen zu entwickeln, zu dokumentieren und intern umzusetzen. Die Länge der Fristen kann dabei, je nach Datenart und Geschäftszweig, stark variieren. Hilfestellung bei der internen Entscheidung geben in der Regel die jeweiligen Branchenverbände. Es kann auch sinnvoll sein, sich an zivilrechtlichen Verjährungsfristen zu orientieren. Für die Löschung datenschutzrechtlicher Dokumentationen zum Beispiel zur Beantwortung eines Auskunftsantrags bietet es sich an, sich an der dreijährigen Verjährungsfrist für Ordnungswidrigkeiten zu orientieren.
Dem HmbBfDI ist vor allem wichtig, dass Unternehmen sich ein nachvollziehbares Löschkonzept gegeben haben und die daran anschließende Löschung auch tatsächlich funktioniert. Wie lange die im Konzept verankerten Fristen sind, kann das jeweilige Unternehmen am besten einschätzen. Die Aufsichtsbehörde stellt dabei keine Zeitspannen in Frage, die auf unternehmerischer Erfahrung basierend plausibel begründet werden, solange sie nicht exzessiv ausgedehnt werden.
Behördliche Durchsetzung – Bußgelder wegen unzureichender Datenlöschung
Die konzeptionelle und faktische Umsetzung des Löschgebots ist ein Schwerpunktthema des HmbBfDI. Bei Routinekontrollen der Datenhaltung in Unternehmen wird regelhaft nach Aufbewahrungsfristen und Löschprozessen gefragt. Im Herbst 2024 hatte der HmbBfDI beispielsweise die entsprechende Praxis bei Dienstleistern des Forderungsmanagements überprüft. In dem Zusammenhang hat er gegen ein Unternehmen ein Bußgeld in Höhe von 900.000 Euro wegen unzureichender Datenlöschung verhängt. In einem weiteren Fall der Branche hat er ein Bußgeldverfahren eröffnet, das derzeit noch läuft. Das Thema Datenlöschung ist auch europaweit in den Fokus gerückt als Jahresthema des Coordinated Enforcement Framework der Mitglieder des Europäischen Datenschutzausschusses.
Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Big Data ist nicht Old Data. Kund:innen müssen nicht ewig in den Datenspeichern von Unternehmen bleiben, mit denen sie vor Jahren einmal Kontakt hatten. Datensilos nur für den Fall aufwachsen zu lassen, dass man Informationen vielleicht später noch einmal brauchen könnte, ist nicht akzeptabel. Stimmige Löschkonzepte sind Ausdruck einer guten Daten-Compliance im Unternehmen – und eine Rechtspflicht.“
Weiterführende Links:
- Speicherbegrenzung: Art. 5 Abs. 1 lit. e DSGVO
- Gesetzlich festgelegte Mindestspeicherfristen ergeben sich zumeist aus § 147 der Abgabenordnung (AO) und § 257 des Handelsgesetzbuchs (HGB)
- Löschfristen bei Arztpraxen: berufsrechtliche Zehn-Jahres-Frist des § 630f BGB oder auch die 30-Jahres-Frist aus §§ 85, 127 der Strahlenschutzverordnung (StrlSchV)
- Löschfristgen für Arbeitgeber: § 16 Abs. 2 ArbZG, § 50 Abs. 2 JArbSchG, § 27 Abs. 5 MuSchG
- Viertes Bürokratieentlastungsgesetz: Anpassung von § 147 AO und § 257 HGB
