Denn nach DSGVO ist eine Löschung der Daten nach Zweckentfall (Art. 5 Abs. 1 lit. b)+ e) DSGVO) oder auf Wunsch des Kunden (Art. 17 DSGVO) notwendig und gefordert. Dies beinhaltet nicht nur Daten in der Unternehmenssoftware, sondern berücksichtigt auch die Originalunterlagen. Moderne Softwarelösungen zur digitalen Ablage berücksichtigen häufig die geforderten Löschkonzepte und entsprechende Einstellungen in den Systemen sind möglich. Doch Unternehmen sollten sich vorab die richtigen Fragen stellen, um eine ordnungsgemäße Löschung zur DSGVO konformen Umsetzung sicherzustellen.
Wann darf ein Unternehmen Daten verarbeiten und speichern?
Grundsätzlich gilt, dass die Aufnahme und Verarbeitung von Daten und Dokumenten nur rechtmäßig zulässig ist, wenn eine der Rechtsgrundlagen des Art. 6 DSGVO einschlägig ist. Dies sind insbesondere die Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO und die Erfüllung für Vertragszwecke nach Art. 6 Abs. 1 lit. b) DSGVO, die Verarbeitung zur Erfüllung rechtlicher Pflichten nach Art. 6 Abs. 1 lit. c) DSGVO sowie die Verarbeitung zur Wahrung berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO.
Wann beginnt eine Löschfrist für Daten in meinem Unternehmen?
Häufig stellt sich die Frage nach der richtigen Ausbewahrungsfrist und der entsprechenden Rechtgrundlage. Wenn die Rechtsgrundlage entfällt, z.B. durch Widerruf der Einwilligung oder wenn der Vertragszweck erfüllt ist, die Verarbeitung also nicht mehr zur Zweckerfüllung erforderlich ist, muss eine Löschung der entsprechenden Daten erfolgen. Daher muss sich mit entsprechenden Löschkonzepten auseinandergesetzt werden.
Es lassen sich zwar grundsätzlich keine pauschalen Aussagen zur Löschfrist treffen, trotzdem gibt es einige Anhaltspunkte, u.a. die gesetzlich definierten Aufbewahrungsfristen:
• Legitimationsdaten wie Personalausweise und Reisepässe (6 Jahre nach Abgabenordnung)
• Vertragsunterlagen (6 oder 10 Jahre nach HGB bzw. Abgabenordnung)
• Bewerberdaten von nicht eingestellten Mitarbeitern (3-6 Monate nach VVM)
Welche Daten bzw. Unterlagen archiviert mein Unternehmen eigentlich?
Der Verantwortliche soll sich auch im Vorfeld der Datenverarbeitung Gedanken über den “Lebenszyklus” der Daten machen und in einem Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO dokumentieren. Auch die vorgesehene Frist für die Löschung der verschiedenen Kategorien von Daten sollte hier festgelegt werden. Das VVT ist somit nicht nur ein wichtiger Bestandteil zur Einhaltung der DSGVO, sondern hilft auch den Überblick über die unterschiedlichen Prozesse und Löschfristen zu behalten. Außerdem dient das VVT als erste Auskunftsdokumentation bei einer Anfrage der Aufsichtsbehörde.
Praxis Tipps der NNW-Consulting
• Schaffen Sie Transparenz über Archive in ihrem Unternehmen
• Erstellen Sie ein ordnungsgemäßes VVT und bestimmen Sie die Löschfristen
• Nutzen Sie das VVT als Basis und dokumentieren die Löschdaten auf Ihren Akten
• Vernichten Sie einmal im Jahr alle zu löschenden Daten in Ihrem Archiv
• Prüfen Sie die Löschfristen in Ihren Softwarelösungen
• -> Tipp: Kundendaten sind nicht nur im Keller oder in Software versteckt. Vergessen sich auch digitale Orderstrukturen mit Word, Excel oder PDF-Dateien nicht. Auch hier muss ein „Löschdatum“ hinterlegt werden.
