Speicher- & Löschkonzept in der Praxis
Damit Sie alle Speicher- und Löschfristen einhalten, sollten Sie ein Löschkonzept erstellen. Manche nennen es auch Speicherkonzept: Wenn die Speicherpflicht endet, beginnt die Löschpflicht.
Aber was müssen Sie eigentlich tun?
Vorüberlegung: Woher kommen die Löschpflichten?
Die Speicherfristen ergeben sich aus den gesetzlichen Vorschriften oder Ihren Festlegungen zu den einzelnen Verfahren in Ihrem Verarbeitungsverzeichnis (VVZ). Aus strukturellen Gründen werden die wichtigsten Fristen häufig als Anlage zum VVZ gesondert geführt. Ihr Datenschutzbeauftragter wird Ihnen die meisten Löschpflichten gerne und bereitwillig zur Verfügung stellen können. Bei speziellen Verfahren muss man diese aber gemeinsam erarbeiten.
Wie anfangen?
In den meisten Betrieben sind sensible personenbezogene Daten in der Personalabteilung konzentriert. Die Personaler sind datenschutzrechtlich meist schon sensibilisiert, die üblichen Löschpflichten sind allgemein bekannt, deshalb sollte man dort anfangen.
1. E-Mail-Postfach für Bewerbungen
Sie sollten zuerst ein gesondertes E-Mail-Postfach für Bewerbungen einrichten, in dem händisch oder automatisch alle Nachrichten gelöscht werden, die älter als sechs Monate sind. Analog sollten Bewerbungen natürlich ebenfalls nach sechs Monaten gelöscht werden.
2. E-Mail-Postfächer für geschäftliche Korrespondenz
Sie sollten festlegen, welche Mitarbeiter Aufträge, Verträge und ähnliches abschließen, verhandeln oder modifizieren dürfen, denn diese Korrespondenz heißt „Handelsbrief“ und muss für die Steuer mindestens sechs Jahre aufbewahrt werden (siehe § 147 AO, Grundsätze ordnungsmäßiger Buchführung, GoBD, § 257 HGB). Diese Mitarbeiter brauchen entsprechende Backups, damit Sie Ihrer Aufbewahrungspflicht nachkommen können.
3. Erste Archivbereinigung
Es hat sich bewährt, zuerst einmal im Archiv alle Ordner anhand des Löschkonzepts mit Löschfristen zu versehen. Im Laufe dieses Prozesses lernt die Personalabteilung das Löschkonzept besser zu verstehen. Fragen können an den Datenschutzbeauftragten gestellt werden. Wenn alle Akten mit Löschfristen versehen sind, kann zum ersten Mal ein Entsorger mit der Vernichtung beauftragt und ein Löschprotokoll erstellt werden. Im nächsten Jahr kann diese Archivbereinigung auf weitere Abteilungen ausgeweitet werden.
4. Neue Ordnerstruktur
Ab jetzt werden neue Ordner im digitalen wie im analogen Bereich nach Möglichkeit nur noch so angelegt, dass schon bei Anlage die Speicherfrist einheitlich festgelegt wird. Es werden nach Möglichkeit keine Mischordner mehr angelegt, für die unterschiedliche Speicherfristen zu beachten sind. Das führt zu unnötiger Zusatzarbeit. So muss sich bei oder nach der Archivierung niemand mehr fragen, wie lange etwas archiviert wird. Wenn ein Ordner ab jetzt ins Archiv wandert, wird er in diesem Moment gut sichtbar mit dem Löschdatum versehen. Denn in dem Moment, wenn man eine Datei oder Akte anlegt oder speichert, weiß man am besten, wann sie gelöscht werden muss.
5. Löschen im ersten Quartal – neue Tradition
Im ersten Quartal löscht die Personalabteilung alles, was jährlich gelöscht werden muss und protokolliert dieses. Im zweiten Quartal schaut sich der Datenschutzbeauftragte die Löschprotokolle an. Nach Auswertung dieses Prozesses kann der Prozess auf die anderen Arbeitsbereiche ausgerollt und dann jährlich wiederholt werden.
So entsteht eine gesunde Löschtradition, die jährlich wiederholt wird.
Weiterführend
-
Verarbeitungsverzeichnis in der Praxis , Das Verarbeitungsverzeichnis
-
Robinsonliste: Umgang mit ehemaligen Interessenten, die gelöscht werden möchten
-
Technisch-Organisatorische Maßnahmen – TOM (Teil 1), Technisch-Organisatorische Maßnahmen – TOM (Teil 2)
Autor: Thomas Hofmann, Data Privacy Consultant, 13.02.2025
