Der Jahresanfang bietet sich an, um den eigenen Datenbestand zu sichten und nicht mehr benötigte Unterlagen zu vernichten. Denn alle personenbezogenen Daten, die für keinen Zweck mehr benötigt werden, müssen datenschutzkonform vernichtet werden. Dies gilt für Papierunterlagen ebenso wie für digitale Daten.
Ein Zweck wäre beispielsweise die Einhaltung steuerrechtlicher Aufbewahrungsfristen. So müssen seit dem 01.01.2025 alle Buchungsbelege nach 8 Jahren (und nicht mehr nach 10 Jahren) vernichtet werden, wobei die Frist in der Regel mit dem Ende des Kalenderjahres zu laufen beginnt.
Ein weiterer Zweck ist die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen. Wenn Sie sich also mitten in einem Rechtsstreit befinden und die Daten dafür benötigen, dürfen Sie sie weiter aufbewahren.
Gleiches gilt für Daten, die Sie zur Erfüllung laufender Verträge benötigen oder Daten, für deren Nutzung Sie eine datenschutzkonforme Einwilligung haben (Achtung, hier gibt es genaue Vorgaben).
Besonders lohnt es sich daher, einen Blick in das E-Mail-Postfach und die Kundendatenbank zu werfen. Sind z. B. alle Ansprechpartner noch aktuell?
Wenn Sie zu dem Schluss gekommen sind, dass die Daten vernichtet werden müssen, achten Sie bitte noch auf die passende Sicherheitsstufe. Es gibt eine DIN-Norm 66399, die genau regelt, wie groß die Papierschnipsel sein dürfen, damit eine bestimmte Sicherheitsstufe erreicht ist. Die passende Sicherheitsstufe richtet sich nach dem Schutzbedarf der Daten. So sollten Sie Personalunterlagen mindestens mit der Sicherheitsstufe P-4 vernichten, während für Briefe, die lediglich die Anschrift einer betroffenen Person enthalten, in der Regel die Sicherheitsstufe P-3 ausreichend ist.
Wenn Sie eigene Geräte zur Vernichtung nutzen, achten Sie also auf eine entsprechende Kennzeichnung. Wenn Sie einen externen Aktenvernichter beauftragen, lassen Sie sich die verwendete Sicherheitsstufe bestätigen und schließen Sie vor der Übergabe der Unterlagen einen Vertrag zur Auftragsverarbeitung ab.
Rechtlicher Hinweis: Ich beschäftige mich zwar täglich mit Datenschutzthemen, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.