Denn nach DSGVO ist eine Löschung der Daten nach Zweckentfall (Art. 5 Abs. 1 lit. b)+ e) DSGVO) oder auf Wunsch des Kunden (Art. 17 DSGVO) notwendig und gefordert. Dies beinhaltet nicht nur Daten in der Unternehmenssoftware, sondern berücksichtigt auch die Originalunterlagen.  Moderne Softwarelösungen zur digitalen Ablage berücksichtigen häufig die geforderten Löschkonzepte und entsprechende Einstellungen in den Systemen sind möglich. Doch Unternehmen sollten sich vorab die richtigen Fragen stellen, um eine ordnungsgemäße Löschung zur DSGVO konformen Umsetzung sicherzustellen. 

Wann darf ein Unternehmen Daten verarbeiten und speichern?  
Grundsätzlich gilt, dass die Aufnahme und Verarbeitung von Daten und Dokumenten nur rechtmäßig zulässig ist, wenn eine der Rechtsgrundlagen des Art. 6 DSGVO einschlägig ist. Dies sind insbesondere die Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO und die Erfüllung für Vertragszwecke nach Art. 6 Abs. 1 lit. b) DSGVO, die Verarbeitung zur Erfüllung rechtlicher Pflichten nach Art. 6 Abs. 1 lit. c) DSGVO sowie die Verarbeitung zur Wahrung berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO. 

Wann beginnt eine Löschfrist für Daten in meinem Unternehmen?
Häufig stellt sich die Frage nach der richtigen Ausbewahrungsfrist und der entsprechenden Rechtgrundlage.  Wenn die Rechtsgrundlage entfällt, z.B. durch Widerruf der Einwilligung oder wenn der Vertragszweck erfüllt ist, die Verarbeitung also nicht mehr zur Zweckerfüllung erforderlich ist, muss eine Löschung der entsprechenden Daten erfolgen. Daher muss  sich mit entsprechenden Löschkonzepten auseinandergesetzt werden. 
Es lassen sich zwar grundsätzlich keine pauschalen Aussagen zur Löschfrist treffen, trotzdem gibt es einige Anhaltspunkte, u.a. die gesetzlich definierten Aufbewahrungsfristen: 
•    Legitimationsdaten wie Personalausweise und Reisepässe (6 Jahre nach Abgabenordnung)
•    Vertragsunterlagen (6 oder 10 Jahre nach HGB bzw. Abgabenordnung)
•    Bewerberdaten von nicht eingestellten Mitarbeitern (3-6 Monate nach VVM)

Welche Daten bzw. Unterlagen archiviert mein Unternehmen eigentlich?
Der Verantwortliche soll sich auch im Vorfeld der Datenverarbeitung Gedanken über den “Lebenszyklus” der Daten machen und in einem Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO dokumentieren. Auch die vorgesehene Frist für die Löschung der verschiedenen Kategorien von Daten sollte hier festgelegt werden. Das VVT ist somit nicht nur ein wichtiger Bestandteil zur Einhaltung der DSGVO, sondern hilft auch den Überblick über die unterschiedlichen Prozesse und Löschfristen zu behalten. Außerdem dient das VVT als erste Auskunftsdokumentation bei einer Anfrage der Aufsichtsbehörde.

Praxis Tipps der NNW-Consulting
•    Schaffen Sie Transparenz über Archive in ihrem Unternehmen
•    Erstellen Sie ein ordnungsgemäßes VVT und bestimmen Sie die Löschfristen
•    Nutzen Sie das VVT als Basis und dokumentieren die Löschdaten auf Ihren Akten
•    Vernichten Sie einmal im Jahr alle zu löschenden Daten in Ihrem Archiv 
•    Prüfen Sie die Löschfristen in Ihren Softwarelösungen
•    -> Tipp: Kundendaten sind nicht nur im Keller oder in Software versteckt. Vergessen sich auch digitale Orderstrukturen mit Word, Excel oder PDF-Dateien nicht. Auch hier muss ein „Löschdatum“ hinterlegt werden. 

Basierend auf dieser Executive Order und den damit verbundenen Zugeständnissen der USA ist die Europäische Kommission ihrerseits im Dezember des vergangenen Jahres tätig geworden und erarbeitete einen ersten Entwurf eines Angemessenheitsbeschlusses. Dieser muss nun das förmliche Annahmeverfahren durchlaufen. Nachdem der Entwurf dem Europäischen Datenschutzausschuss (EDSA) vorgelegt wird und dieser keine Einwände hat erfolgt eine weitere Prüfung durch einen Ausschuss aus Vertretern der EU-Mitgliedsstaaten. Abschließend wird dann eine Bewertung durch das Europäische Parlament erfolgen, ehe der Angemessenheitsbeschluss durch die Europäische Kommission verabschiedet werden kann.

Ein finales Datum ist bisher noch nicht kommuniziert worden. Es wird jedoch davon ausgegangen, dass ein fertiger Beschluss bereits gegen Ende des ersten Quartals 2023 vorliegt. Wie belastbar dieser sein wird, bleibt abzuwarten. Die Meinungen und Bewertungen der bisher transportierten Informationen gehen diesbezüglich auseinander. Die Wahrscheinlichkeit, dass sich der Europäische Gerichtshof zukünftig mit „Schrems III“ beschäftigen wird, ist jedenfalls gegeben.

Sollten sich hierbei weitere Neuigkeiten oder ein Vollzug ergeben, wird Ihnen die NNW Consulting gerne zur Seite stehen.