Aufbewahrungsfristen
Bereich: Allgemeines
Prozess: Datenschutz
Teilprozess: Aufbewahrungsfristen und Löschkonzept
Media:Aufbewahrungsfristen im Datenschutz.pdf
Das Löschkonzept wird als wichtiger Bestandteil der DSGVO angesehen. Das "Recht auf Vergessenwerden" ist ein wichtiger Grundpfeiler der DSGVO. Grundsätzlich müssen gespeicherte personenbezogene Daten immer dann unverzüglich gelöscht werden, wenn sie ihren Zweck erfüllt haben. Der genaue Zeitpunkt, ab wann dieser Fall eintritt, wird im Löschkonzept genannt.
Die meisten Unternehmer sind nach Abgabenordnung (AO) dazu verpflichtet, Dokumente mit Belegfunktion 10 bzw. 6 Jahre aufzubewahren. Darüber hinaus ergeben sich aus dem Handelsgesetzbuch (HGB) oder Sozialgesetzen (z.B. dem SGB) weitere, aber zumeist kürzere Aufbewahrungsfristen.
Zu beachten ist, dass für alle Unterlagen die zum Jahresabschluss gehören, die Aufbewahrungsfrist erst mit dem Ende des Kalenderjahres beginnt, in dem das Dokument erstellt bzw. zu Letzt geändert worden ist.
Die Löschung bzw. Vernichtung von Geschäftsunterlagen ergibt sich aus den gesetzlichen Aufbewahrungsfristen (im Zweifel immer nach AO).
Es gibt allerdings eine Vielzahl von Gründen, die eine Löschung notwendig machen können. Art. 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“) nennt einige. Diese können z.B. sein:
- Widerspruch des Betroffenen
- Unrechtmäßige Speicherung
- Widerruf einer Einwilligung.
Nicht immer darf dann sofort gelöscht werden.
Wir müssen daher überlegen, ab wann es sinnvoll ist, bzw. überhaupt erlaubt ist, Unterlagen zu vernichten.
Das Löschkonzept könnte wie folgt aussehen:
- Datum der Erstellung bzw. letzten Überprüfung des Konzeptes.
- Vorwort, in dem das Ziel des Konzeptes dargestellt wird.
- Übergangsfristen, die bis zur endgültigen Löschung gelten, also wie Zeit vom Ablauf der Frist bis zur Löschung vergehen darf (idealerweise nicht mehr als 6 Monate).
- Anweisungen und Prozesse zur Löschung, z.B. die Anweisung, dass gem. DIN 66399 gelöscht wird.
- Protokollierungsanweisungen, also wie z.B. die Löschung protokolliert und kontrolliert wird.
- Klärung von Verantwortlichkeiten, also wer überhaupt befugt ist, zu löschen.