Speicher- und Löschkonzept

Wie behalte ich den Überblick über meine Löschpflichten?

Grundsätzlich gibt es zwei Wege, die Speicher- und Löschpflichten zu regeln: entweder man regelt sie im Rahmen des Verarbeitungsverzeichnisses in der Beschreibung des jeweiligen Verfahrens oder in einem gesonderten Löschkonzept. Wir empfehlen das Löschkonzept, weil man so viele Doppelungen in den Verfahrensbeschreibungen einsparen und diese kurz halten kann.

Grundprinzipien

Im Löschkonzept kann man dann im Ausgleich zur knappen Verfahrensbeschreibung weiter ausholen und die Grundprinzipien, wie

• unterschiedliche Speicherfristen je nach Zweck,

• Festlegung von Löschfristen nach den Regeln der Verhältnismäßigkeit,

• Beachtung der Datenschutzgrundprinzipien nach Art. 5 DSGVO,

• Schnellere Löschung (Ausnahmen) nach Art. 17 DSGVO

beschreiben.

Typische Löschfristen

Es ist in den meisten mittelständischen Unternehmen nicht durchgängig umsetzbar, alle Daten automatisch nach hunderten individuellen Fristen zu löschen, die sich nach dem jeweiligen Verarbeitungszweck richten. Daher empfehlen wir ggf. die Vorgehensweise zu typisieren in

• kurze Fristen unter 2 Jahren nach Tagen und Wochen, die taggenau eingehalten werden sollten,

• mittlere Fristen beispielsweise zwischen 2 und 8 Jahren und

• lange Fristen zwischen 8 und 15 Jahren.

Längere Fristen sind selten; diese können individuell gehandhabt werden.

Die meisten klaren Löschfristen ergeben sich aus Gesetzen. Wenn also ein Verfahren durch ein Gesetz geregelt ist, schauen Sie bitte dort nach. Wenn ein Datum mehreren Zwecken dient, gilt die längste Speicherfrist. Nur, wenn Sie nichts finden, müssen Sie sich selbst eine Frist anhand der obigen Grundprinzipien ableiten. Dabei hilft Ihnen Ihr Datenschutzbeauftragter gerne.

Allgemeine Fristen

Im Netz finden Sie zahlreiche Listen, mit den gängigen Fristen. Auch wir haben solche für unsere Kunden. Die wichtigsten sind die 6-Jahresfrist und die 10-Jahresfrist für die Steuer. Dazu müssen Sie verstehen, was ein Handelsbrief ist, denn § 157 HGB, der das regelt, ist in sehr altem Deutsch geschrieben. Ein Handelsbrief ist vereinfacht gesagt alles, was Einfluss auf die Abwicklung eines Vertrages haben kann und muss 6 Jahre für die Steuer aufbewahrt werden. Wenn die Geschäftsführung also Verträge per Email verhandelt, muss das Backup des Postfaches solange aufgehoben werden.

Wenn Sie solche Listen mit Speicherfristen finden, achten Sie darauf, dass sie auch Hinweise dazu enthalten, wann eine Frist zu laufen beginnt. Für einen Handelsbrief (Vertrag) fängt die Frist an, wenn die Transaktion beendet ist. Das ist bei einem Mietvertrag natürlich nicht das Datum des Vertragsschlusses, sondern der Auszug bzw. die letzte Mietzahlung.

Personal

Im Bereich Personal muss besonders das Prinzip der einheitlichen Aktenführung beachtet werden, Kopien werden nur ausnahmsweise angefertigt und sofort nach Gebrauch wieder gelöscht. Schulungsnachweise und andere regelmäßige Kontrollen werden gelöscht, wenn die nächste Wiederholung stattgefunden hat. Bewerbungen sollten in einem besonderen Prozess, am besten mit einer eigenen Email-Adresse, gehandhabt werden, da abgelehnte Bewerbungen nur drei bis sechs Monate aufgehoben werden dürfen.

Für Unfallmeldungen setzen die meisten Firmen fünf bis sechs Jahre an, aber im Ausnahmefall eines schweren Unfalls sollte man das individuell anhand des Klagerisikos festlegen. Wer ein betriebliches Eingliederungsmanagement (BEM) betreibt, sollte sich ebenfalls individuell beraten lassen, hier muss man eine individuelle Risiko-Nutzen-Abwägung vornehmen.

Sonderfristen

Besondere Fristen gelten für Unternehmen, die mit Gesundheitsdaten umgehen oder ein Meldeportal betreiben (müssen). Für die Videoüberwachung empfehlen wir in der Regel 48 bis 72 Stunden. Immer, wenn Sie einen Rechtsstreit oder ein Haftungsproblem haben, sollten Sie eine Ausnahme von den allgemeinen Fristen erwägen und dazu einen individuellen Vermerk erstellen.

Löschprozedur

Sie müssen festlegen, wann wer wie Daten löscht und wie das dokumentiert und kontrolliert wird, sonst wird es nicht funktionieren. Als hilfreich haben sich dafür Löschkalender und Löschprotokolle erwiesen.

Standards

Falls Sie Ihr Löschverfahren standardisieren möchten, können Sie sich daran orientieren:

• „Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“, PS 980, des Institut für Wirtschaftsprüfer (IDW)

• DIN 66398 „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“

• DIN 66399-2 Büro- und Datentechnik - Vernichten von Datenträgern

Weiterführend

• Wie setze ich die datenschutzrechtlichen Löschpflichten um?

Autor: Thomas Hofmann, Data Privacy Legal Consultant, 25.02.2025