Zum Inhalt springen Zur Navigation springen
Löschfristen in Unternehmen: Mehr MUSS als KANN

Löschfristen in Unternehmen: Mehr MUSS als KANN

Unternehmen sind verpflichtet, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen. Die Löschfristen werden jedoch nicht von allen Unternehmen eingehalten. Dies birgt erhebliche rechtliche Risiken.

Datensammlung für alle Fälle

Aus einer jüngst von Iron Mountain veröffentlichten Studie geht hervor, dass viele Unternehmen in Europa grundsätzlich alle Daten behalten. Diese würden der Schöpfung eines möglichen Mehrwerts dienen oder als Absicherung. Oftmals fehle es den Unternehmen gegenüber den Mitarbeitern an klaren Verfahren und Leitlinien, welche Daten und Dokumente schutzwürdig sind bzw. was im Einzelnen gelöscht und was aufbewahrt werden muss. In der Folge bestehe für die Unternehmen ein hohes Risiko, dass der Mitarbeiter eine unzutreffende Entscheidung fällt.

Dies deckt sich auch mit unseren Erfahrungen, wonach die Löschung von personenbezogenen Daten eine nur ungern eingehaltene Pflicht ist,

„man wisse ja schließlich nie, wozu man diese noch brauche“.

Eine der Ursachen für die Missachtung der rechtlichen Vorgaben dürfte aber sicher auch in der Struktur des Bundesdatenschutzgesetzes (BDSG) liegen, da in diesem Löschfristen gerade nicht zeitlich konkret festgelegt werden und in der Folge es auch nicht immer einfach ist festzustellen, wann der Zeitpunkt eingetreten ist, ab dem die Kenntnis der einmal erhobenen Daten für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.

Entwicklung eines Löschkonzepts

Ungeachtet dessen kommen Unternehmen nicht darum herum, Löschkonzepte und Löschroutinen zu erarbeiten und zu implementieren. Dazu ist es unter anderem erforderlich, vorhandene Datenarten zu identifizieren. Hier finden Sie Hinweise für die Entwicklung eines Löschkonzepts und Empfehlungen im Umgang mit den Daten abgelehnter Bewerber:

Je später ein solcher Prozess erfolgt, umso größer ist die Gefahr, einem Bußgeldverfahren ausgesetzt zu sein. Vor allem aber wird der Prozess zunehmend aufwändiger und schwieriger zu organisieren.

Rechtliche Löschvorschriften

Löschvorschriften ergeben sich primär aus § 35 BDSG a.F., können aber auch aus anderen Gesetzen (z.B. § 15 Abs. 7 TMG) folgen. Mitunter ist auch eine juristische Analyse der Prozessschritte erforderlich, denn neben gesetzlichen können ggf. auch vertragliche Löschpflichten vorhanden sein („Wann wurde die jeweilige Leistungserfüllung erbracht?; Sind mögliche Ansprüche verjährt?“).

Die Erstellung eines Löschkonzepts ist aber nicht Selbstzweck, sondern stellt sicher, dass ein Unternehmen seinen rechtlichen Verpflichtungen nachkommt („Compliance„), es sozusagen nicht zu einer unzulässigen Vorratsdatenspeicherung kommt. Das Prinzip der Datensparsamkeit, welches ein Gebot für den gesamten Datenverarbeitungsprozess darstellt, unterstreicht die Löschanforderungen im BDSG. Gerne wird vergessen, dass das BDSG ein Verbotsgesetz mit Erlaubnisvorbehalt ist.

Geschäftsführung ist verantwortlich

Adressat der gesetzlichen Löschpflichten ist die verantwortliche Stelle. Die Geschäftsführung muss entsprechende Maßnahmen und Anweisungen erteilen. Unterlässt sie dieses, trägt sie die volle Organisationsverantwortung. Da die Erstellung eines Löschkonzepts eine Zusammenarbeit und Abstimmung mehrerer Abteilung erfordert sind Unternehmen gut beraten, ihren Datenschutzbeauftragten frühzeitig einzubeziehen und sich von diesem unterstützen zu lassen.

Änderungen mit der Datenschutz-Grundverordnung

Im Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) wirksam und damit ein einheitliches Datenschutzrecht für die gesamte Europäische Union. Dies sieht zum einem deutlich striktere Löschpflichten (u.a. in Art. 17 DSGVO „Recht auf Vergessenwerden“) vor und zum anderen drohen Unternehmen Bußgelder von bis zu 4 Prozent des globalen Umsatzes bis zu 20 Millionen Euro vor, je nachdem, was höher ist. Unternehmen müssen dann in Streitfällen beweisen, dass sie die Anforderungen der DSGVO umgesetzt haben.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Es ist immer wieder von den Löschpflichten in der DSGVO die Rede, Stichwort „Recht auf Vergessenwerden“. Leider finde ich keine Information dazu, wenn nach DSGVO nicht mehr benötigte personenbezogene Daten standardmäßig gelöscht werden müssen. Also gibt es eine Entsprechung für § 35 (2) 4 BDSG?

    • Regelungen zur Löschung bzw. Sperrung finden sich in der DSGVO in mehreren Normen, wie Art. 5 Abs. 1 e), 12, 17, 18, 19 (sowie ErwG 65). Eine exakte Entsprechung gibt es dabei nicht. Am ehesten dürfte tatsächlich Art. 17 mit ihren zahlreichen Verpflichtung dem von Ihnen gesuchten entsprechen.

  • Hier wird immer von § 35 BDSG gesprochen, allerdings ist die dort zitierte Fassung mittlerweile überholt durch das neue BDSG, oder? Wie ist denn die Rechtslage nach Inkrafttreten der DSGVO und des neuen BDSG?

  • Die DSGVO steht immer dem BDSG vor, folglich kann das BDSG die DSGVO nicht überholen. Grundsätzlich müssen personenbezogene Daten nach Zweckerfüllung gelöscht werden, sofern dem keine gesetzliche Aufbewahrungspflicht gegenüber steht (wie bei Rechnungen zum Beispiel)

  • Ich habe zwei Jahre bei prima strom,meinen Strom bezohgen.Bin jetz wieder bei den Stadtwerken Geesthacht, Meine Kontodaten sind doch absovort nicht mehr zugänglich.Trotz alledem werden Meine Daten weiter benutzt.Es wird weiter von meinem Konto Geld abgebucht obwohl keine Einzugsermächtiegung vorliegt-Es handelt sich um eine smartcart die Ich nie bestelt habe da Ich weder Handy noch Smartphon besitse.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.