Löschfristen in Unternehmen: Mehr MUSS als KANN

muell 01
Fachbeitrag

Unternehmen sind verpflichtet, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen. Die Löschfristen werden jedoch nicht von allen Unternehmen eingehalten. Dies birgt erhebliche rechtliche Risiken.

Datensammlung für alle Fälle

Aus einer jüngst von Iron Mountain veröffentlichten Studie geht hervor, dass viele Unternehmen in Europa grundsätzlich alle Daten behalten. Diese würden der Schöpfung eines möglichen Mehrwerts dienen oder als Absicherung. Oftmals fehle es den Unternehmen gegenüber den Mitarbeitern an klaren Verfahren und Leitlinien, welche Daten und Dokumente schutzwürdig sind bzw. was im Einzelnen gelöscht und was aufbewahrt werden muss. In der Folge bestehe für die Unternehmen ein hohes Risiko, dass der Mitarbeiter eine unzutreffende Entscheidung fällt.

Dies deckt sich auch mit unseren Erfahrungen, wonach die Löschung von personenbezogenen Daten eine nur ungern eingehaltene Pflicht ist,

„man wisse ja schließlich nie, wozu man diese noch brauche“.

Eine der Ursachen für die Missachtung der rechtlichen Vorgaben dürfte aber sicher auch in der Struktur des Bundesdatenschutzgesetzes (BDSG) liegen, da in diesem Löschfristen gerade nicht zeitlich konkret festgelegt werden und in der Folge es auch nicht immer einfach ist festzustellen, wann der Zeitpunkt eingetreten ist, ab dem die Kenntnis der einmal erhobenen Daten für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.

Entwicklung eines Löschkonzepts

Ungeachtet dessen kommen Unternehmen nicht darum herum, Löschkonzepte und Löschroutinen zu erarbeiten und zu implementieren. Dazu ist es unter anderem erforderlich, vorhandene Datenarten zu identifizieren. Hier finden Sie Hinweise für die Entwicklung eines Löschkonzepts und Empfehlungen im Umgang mit den Daten abgelehnter Bewerber:

Je später ein solcher Prozess erfolgt, umso größer ist die Gefahr, einem Bußgeldverfahren ausgesetzt zu sein. Vor allem aber wird der Prozess zunehmend aufwändiger und schwieriger zu organisieren.

Rechtliche Löschvorschriften

Löschvorschriften ergeben sich primär aus § 35 BDSG, können aber auch aus anderen Gesetzen (z.B. § 15 Abs. 7 TMG) folgen. Mitunter ist auch eine juristische Analyse der Prozessschritte erforderlich, denn neben gesetzlichen können ggf. auch vertragliche Löschpflichten vorhanden sein („Wann wurde die jeweilige Leistungserfüllung erbracht?; Sind mögliche Ansprüche verjährt?“).

Die Erstellung eines Löschkonzepts ist aber nicht Selbstzweck, sondern stellt sicher, dass ein Unternehmen seinen rechtlichen Verpflichtungen nachkommt („Compliance„), es sozusagen nicht zu einer unzulässigen Vorratsdatenspeicherung kommt. Das Prinzip der Datensparsamkeit, welches ein Gebot für den gesamten Datenverarbeitungsprozess darstellt, unterstreicht die Löschanforderungen im BDSG. Gerne wird vergessen, dass das BDSG ein Verbotsgesetz mit Erlaubnisvorbehalt ist.

Geschäftsführung ist verantwortlich

Adressat der gesetzlichen Löschpflichten ist die verantwortliche Stelle. Die Geschäftsführung muss entsprechende Maßnahmen und Anweisungen erteilen. Unterlässt sie dieses, trägt sie die volle Organisationsverantwortung. Da die Erstellung eines Löschkonzepts eine Zusammenarbeit und Abstimmung mehrerer Abteilung erfordert sind Unternehmen gut beraten, ihren Datenschutzbeauftragten frühzeitig einzubeziehen und sich von diesem unterstützen zu lassen.

Änderungen mit der Datenschutz-Grundverordnung

Im Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) wirksam und damit ein einheitliches Datenschutzrecht für die gesamte Europäische Union. Dies sieht zum einem deutlich striktere Löschpflichten (u.a. in Art. 17 DSGVO „Recht auf Vergessenwerden“) vor und zum anderen drohen Unternehmen Bußgelder von bis zu 4 Prozent des globalen Umsatzes bis zu 20 Millionen Euro vor, je nachdem, was höher ist. Unternehmen müssen dann in Streitfällen beweisen, dass sie die Anforderungen der DSGVO umgesetzt haben.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.