Akten & Dateien – was darf / muss man wann löschen?

daten 38
Fachbeitrag

Die Aktenvernichtung beim Bundesamt für den Verfassungsschutz wirft derzeit viele Fragen auf. Eine davon lautet sicherlich: War die Schredder-Aktion datenschutzrechtlich geboten?

Dieser Frage hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar nun in einem Interview gegenüber der Financial Times Deutschland eine deutliche Absage erteilt.

Vernichtungspflicht für Akten?

Bei Akten soll es jedenfalls keine festen Fristen zur Vernichtung geben, so Schaar weiter:

Das Argument, man habe die Akten schreddern müssen, sei nicht legitim. Es gibt keinerlei gesetzliche Prüffristen für Akten. Die Aussage, auch vom Verfassungsschutz, diese Akten hätten aus datenschutzrechtlichen Gründen vernichtet werden müssen, sei für ihn völlig unverständlich. Es gibt nur die Vorschrift zur Sperrung von Akten, keine Aktenvernichtungsverpflichtung.”

Anders sähe es bei Dateien aus – für diese gibt es Löschfristen und Prüfpflichten, wann die Löschung zu erfolgen hat. Bei eingescannten Akten würden dann die Meinungen ganz auseinander gehen.

Grundsätzliches zur Löschung

Ein Blick ins Gesetz erleichert die Rechtsfindung: Im BDSG ist die Löschung in § 20 (für Bundesbehörden wie den Verfassungsschutz) und § 35 (für den nicht-öffentlichen Bereich, also die Privatwirtschaft) geregelt. Auch wenn beide Vorschriften auf den flüchtigen Blick sehr ähnlich sind, steckt der Unterschied im Detail.

So beschränkt sich die Löschung nach § 20 Abs. 2 auf personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind. Bei § 35 gibt es diese Einschränkung nicht. Im nicht-öffentlichen Bereich geht das Gesetz von dem Regelfall aus, dass die Löschung im Interesse des Betroffenen ist und nur unzulässig, wenn gesetzliche, satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegen stehen oder schutzwürdige Belange des Betroffenen beeinträchtigt würden.

Im öffentlichen Bereich gilt also, dass Akten nicht automatisch in den Regelungsbereich des § 20 einbezogen sind. Für Dateien, in denen personenbezogene Daten gespeichert sein, gibt es allerdings auch dort das Instrument der Löschung – nach Ablauf der zu setzenden Regelfristen (§§ 18 Abs. 2 Satz 2, 4e Satz 1 Nr. 7). Der Bundesbeauftragte rügt also zurecht die geltend gemachte “Vernichtungspflicht” für Akten aus Datenschutzgründen.

Was hat die Privatwirtschaft zu beachten?

Da quantitativ überwiegend Daten in der Privatwirtschaft gespeichert werden, geben wir hier noch einen kurzen Überblick über die geltenden Regelungen:

Daten dürfen eigentlich jederzeit gelöscht werden – es sei denn, dem stehen Aufbewahrungsfristen oder Interessen des Bertroffenen entgegen. Letzteres ist also vorrangig zu prüfen. Der erste Schritt daher immer darin, mögliche Aufbewahrungsfristen zu erkennen. Diese finden sich an den unterschiedlichsten Stellen – z.B. HGB, AO, Arbeitszeitgesetz, RöntgenVO, … Es bleibt oft nichts anderes übrig, als sämtliche personenbezogenen Daten zu klassifizieren.

Wann wird aus der Löschmöglichkeit eine Löschverpflichtung?

Die Daten sind zu löschen,

  1. wenn ihre Speicherung unzulässig ist,
  2. es sich um besondere Arten personenbezogener Daten handelt und ihre Richtigkeit im Zweifel steht oder
  3. die Kenntnis für die Zweckerfüllung nicht mehr erforderlich ist – es sei denn, die o.g. Hinderungsgründe stehen dem entgegen, dann sind sie nur zu sperren.

Wann wird der Zweck der Speicherung erfüllt?

In der Praxis bietet die Vorschrift des § 35 BDSG oft Anlass zu Missverständnissen und Unsicherheiten. Zusätzlich zu den Aufbewahrungsfristen muss jetzt ja noch festgelegt werden, wann der Zweck der Speicherung erfüllt ist. Bei Kundendaten ist dies z.B. der Fall, wenn ein Kunde ein Dauerschuldverhältnis gekündigt hat. Bei Bewerbungen wird der Zweck der Speicherung wegfallen, wenn die Absage erteilt wurde. Videoaufzeichnungen sind nach wenigen Tagen zu löschen, da sie dann gesichtet wurden.

Oft ist er Fall jedoch nicht so eindeutig. Hier empfiehlt es sich, die verschiedenen Anforderungen abzuwägen und das Ergebnis als Löschfrist schriftlich festzuhalten – korrekterweise im dazugehörigen Verfahrensverzeichnis nach § 4g Abs. 2 Satz 1 BDSG. Nicht zu vergessen sind die Interessen der Betroffenen am Bestehen der Daten – oft bieten derartige Überlegungen einen konkreten Anhaltspunkt, die Löschfristen nicht zu eng zu wählen.

In der Privatwirtschaft gilt für personenbezogene Akten, dass sie zumindest im Personalbereich (§ 32 Abs. 2) auch unter den Begriff der personenbezogenen Daten fallen – und daher nach den genannten Voraussetzungen des § 35 zu vernichten sind.

Datenschutzbeauftragter ist gefragt

Wann welche Daten und Akten aufzubewahren oder zu vernichten bzw. löschen sind, ist nur im Einzelfall zu entscheiden. Im Zweifel sollte der behördliche oder betriebliche Datenschutzbeauftragte mehr wissen, auch wenn das im Ausgangsfall wohl fraglich war.

Hierzu noch ein Zitat von Herrn Schaar:

Es gebe einen Datenschutzbeauftragten mit Mitarbeitern beim BfV. Dessen Aufgabe sei nicht nur der Datenschutz, sondern auch, dass Daten verfügbar seien. Seine entscheidende Aufgabe ist, dass die Strukturen der Datenhaltung ordentlich sind – da gibt es offensichtlich Mängel. Auch bei der Schulung der Mitarbeiter gebe es offenbar “erschreckende Wissenslücken”. Er habe sich deswegen bereits an das Bundesinnenministerium gewandt.

Ein letztes Fazit lässt sich aus der leidigen Affäre auch noch ziehen: Falls Sie wissen wollen, wie man Akten sicher vernichtet, wenden Sie sich doch an das Bundesamt für den Verfassungsschutz. Die wissen, wie das geht…

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung einer Datenschutz-Dokumentation (z.B. internes / öffentliches Verfahrensverzeichnis)
  • Bereitstellung von Verpflichtungserklärungen auf das Datengeheimnis
  • Formulierung von Betriebsvereinbarungen bei datenschutzrelevanten Sachverhalten

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Dokumente

4 Kommentare zu diesem Beitrag

  1. Hallo: Gibt es auch eine gesetzliche Regelung für den privaten Bereich? Bzw. macht man sich ggf. strafbar, wenn man vertrauliches (zb Kontounterlagen) in den Hausmüll schmeisst und dann Schaden entsteht?

  2. @Daniel:
    Nicht-öffentliche Stellen, die personenbezogene Daten ausschließlich für persönliche oder familiäre Tätigkeiten verwenden, sind vom BDSG ausgenommen.
    Gleichwohl, entsteht durch das Verhalten ein Schaden, richten sich die Ansprüche des Geschädigten nach den einschlägigen zivilrechtlichen Regelungen.
    Auch könnten Sie zu einer Aufbewahrung von bspw. Bankbelegen nach Handels- /-steuerrechtlichen Vorschriften verpflichtet sein.

  3. Pingback: Der NSU Prozess - Seite 16

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.