Aufbewahrungs- und Löschfristen

Wie werden die Löschfristen ermittelt?

Um die datenschutzrechtlich relevanten Löschfristen korrekt zu ermitteln, ist ein systematisches Vorgehen notwendig. Hier sind die wesentlichen Schritte:

Bestimmung des Verarbeitungszwecks

Grundsatz der Zweckbindung: Gemäß Art. 5 Abs. 1 lit. b DSGVO dürfen Daten nur für den festgelegten Zweck gespeichert werden.
Prüfen Sie, warum und wofür die Daten erhoben und verarbeitet werden (z. B. Vertragsdurchführung, Steuerpflichten, Archivierung etc.).

Identifikation gesetzlicher Aufbewahrungsfristen

Suchen Sie nach branchenspezifischen und allgemeinen Vorschriften, die eine Aufbewahrungspflicht begründen.

Wichtige Gesetze in Deutschland:

Handelsgesetzbuch (HGB)
- Fristen für kaufmännische Unterlagen (6 bis 10 Jahre).
Abgabenordnung (AO)
- Steuerrechtliche Fristen (10 Jahre für steuerrelevante Unterlagen).
Sozialgesetzbuch (SGB)
- Sozialversicherungsbezogene Fristen (z. B. 5 Jahre für Meldungen).
Arbeitsrecht
- Fristen für Personalunterlagen (z. B. 6 Monate für Bewerbungen nach dem AGG).
Produkthaftungsgesetz (ProdHaftG)
- Fristen für Haftungsunterlagen (10 Jahre).
Betriebsrentengesetz (BetrAVG)
- 30 Jahre für Betriebsrentenunterlagen.

Prüfung auf berechtigtes Interesse

Wenn keine gesetzlichen Aufbewahrungsfristen bestehen, können Sie prüfen, ob ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder ein rechtlicher Anspruch (z. B. Verjährung nach § 195 BGB) eine längere Speicherung rechtfertigt.

Beispiele:

Daten zur Verteidigung gegen mögliche Rechtsansprüche (3 Jahre Verjährungsfrist nach BGB).
Speicherung von Videoaufzeichnungen zur Prävention von Diebstahl (kurzfristig, z. B. 72 Stunden).

Festlegung von Löschfristen im Löschkonzept

Dokumentieren Sie die Fristen in einem unternehmensspezifischen Löschkonzept.
Erfassen Sie die Art der Daten, den Verwendungszweck und die geltenden Aufbewahrungsfristen.
Definieren Sie den Zeitpunkt und die Methode der Löschung (automatisiert oder manuell).

Berücksichtigung von Verjährungsfristen

Prüfen Sie zusätzlich die allgemeinen und speziellen Verjährungsfristen:

Regelverjährung: 3 Jahre nach §§ 195, 199 Abs.1 BGB.
Besondere Verjährung: Bis zu 30 Jahre (z. B. bei Schadensersatzansprüchen nach § 199 Abs. 2 BGB).

Einsatz von Datenschutz-Tools

Viele Unternehmen verwenden Datenschutzmanagement-Systeme (DSMS), um die Ermittlung und Einhaltung von Löschfristen zu vereinfachen. Diese Tools können Fristen systematisch erfassen und Löschprozesse automatisieren.

Regelmäßige Überprüfung der Löschfristen

Fristen und Rechtsgrundlagen ändern sich. Eine regelmäßige Prüfung und Anpassung des Löschkonzepts ist notwendig.

Beispiel für die Ermittlung einer Löschfrist:

Verarbeitung: Erstellung einer Rechnung
Rechtsgrundlage: § 147 AO, § 257 HGB
Aufbewahrungsfrist: 10 Jahre
Löschfrist: Ende des 10. Kalenderjahres nach Ausstellungsdatum der Rechnung.

Hinweise:

Es ist wichtig, dass Unternehmen die Einhaltung dieser Vorgaben regelmäßig überprüfen und sicherstellen, dass alle individuellen Anforderungen berücksichtigt werden.
Bei Unsicherheiten oder spezifischen Fragen sollte rechtlicher Rat in Anspruch genommen werden, um die genauen Anforderungen zu klären.

Umfassende Datenschutzberatung für Unternehmen

Wir unterstützen Sie bei der Umsetzung der DSGVO und anderer Datenschutzbestimmungen.

Vertrauen Sie auf unsere Erfahrung und unser Know-how.

Beratung anfragen