DSGVO: Wann muss was gelöscht werden?


© Elnur - fotolia.de
  • 01. August 2021

Rechnungen 10 Jahre, Bewerbungsunterlagen 6 Monate, Meldung zur Sozialversicherung 5 Jahre, ... Bei so vielen unterschiedlichen Aufbewahrungsfristen kann man schon mal den Überblick verlieren. Die wichtigsten Fristen und Löschgrundsätze finden Sie hier im Überblick.

1) Wann muss gelöscht werden?

Grundsätzlich schreibt die DSGVO keine konkreten Löschfristen vor. Diese ergeben sich aus anderen Gesetzen. So sind Sie zum Beispiel verpflichtet, steuerrelevante Unterlagen 10 Jahre zum Jahresende aufzubewahren. Nach Ablauf der 10 Jahre haben Sie keine gesetzliche Grundlage mehr, die das Aufbewahren der Unterlagen rechtfertigt. Die Folge ist, dass Sie zur Löschung/Vernichtung der Daten verpflichtet sind.

Solange Sie also verpflichtet sind, die Daten aufzubewahren, müssen Sie alles tun, um sie zu schützen. Sobald die Aufbewahrungsfrist abgelaufen ist, müssen Sie sie vernichten. Das gilt gleichermaßen für digitale Daten und für Papierunterlagen.

So müssen Sie beispielsweise abgelaufene SEPA-Lastschriftmandate und Vertragsunterlagen nach 6 Jahren vernichten. Das gleiche gilt für nicht-steuerrelevante E-Mails.

Für die Unterlagen der Personalakte gelten sehr unterschiedliche Fristen: Arbeitsunfähigkeitsbescheinigungen heben Sie 5 Jahre auf, wenn ein Erstattungsanspruch aus der Lohnfortzahlung gegenüber der Krankenkasse besteht und 1 Jahr, wenn die Fehltage des Beschäftigten weniger als 6 Wochen betrugen. Den abgelaufenen Arbeitsvertrag entsorgen Sie nach 6 Jahren. Das gleiche gilt für An-/Ab-/Um-/Jahresmeldungen bei Krankenkassen. Steuerrelevante Unterlagen wie Entgeltbescheinigungen, Arbeitszeiterfassungen (falls Lohnbeleg) und die Lohn-/Gehaltsabrechnung heben Sie 10 Jahre auf. Falls Sie für den Beschäftigten eine Rentenvorsorge getroffen haben, heben Sie die Unterlagen 30 Jahre nach Ausscheiden des Mitarbeiters auf.

Die Protokolldaten für den Datenaustausche mit ELStAM heben Sie 2 Jahre auf. Meldungen zur Sozialversicherung 5 Jahre.

Verstöße gegen das Datenschutzrecht verfallen nach 3-4 Jahren. Sie sollten also alle Unterlagen, die Sie zum Nachweis benötigen, dass Sie sich an die Datenschutzgesetze gehalten haben, 3 Jahre zum Jahresende aufbewahren.

Unterlagen im laufenden Rechtsstreit müssen Sie nicht löschen/vernichten, bis der Fall entschieden ist.

Darüber hinaus kann es sein, dass sich aus Ihrem speziellen Fall abweichende Fristen ergeben, weil Sie ein sogenanntes "berechtigtes Interesse" zur Aufbewahrung der Daten haben. Hier ist im Einzelfall eine Interessensabwägung nötig. 

Es ist auch möglich, dass berufsspezifische Gesetze für Sie gelten. So sind Hausverwalter beispielsweise dazu verpflichtet, Weiterbildungsnachweise der Beschäftigten 5 Jahre lang vorzuhalten. Unterlagen der WEG dürfen niemals ohne Beschluss vernichtet werden. Sie könnten aber beispielsweise nach 10 Jahren an die WEG übergeben werden.

2) Wie muss gelöscht werden?

Die Entsorgung über den Papiermüll ist ganz sicher NICHT datenschutzkonform! Die Unterlagen müssen vielmehr entsprechend ihrer Schutzklasse vernichtet werden. Die meisten Unterlagen im Büroalltag haben die Schutzklasse 2 (Visitenkarten, Schriftverkehr mit Name, Anschrift, Telefonnummer) und können mit der Sicherheitsstufe 3 vernichtet werden (Partikelgröße max. 320 mm2).

Besonders vertrauliche Daten wie Personalakten oder Gesundheitsdaten haben in der Regel die Schutzklasse 3 und müssen mit der Sicherheitsstufe 4 (Partikelgröße max. 160 mm2) oder sogar Sicherheitsstufe 5 (Partikelgröße max. 30 mm2) vernichtet werden. Eine gute Übersicht finden Sie auf der Website von Reisswolf.

Am besten wenden Sie sich an einen zertifizierten Dienstleister zur Vernichtung von Daten. Dort erhalten Sie auch eine Bestätigung über die Vernichtung der Daten, auf der Sie die Datenkategorien vermerken können, die vernichtet wurden (z. B. "Buchhaltung 2008").

3) Was ist mit Backups?

Natürlich dürfen und sollten Sie Backups Ihrer Datenbestände vorhalten. Diese sollten aber nicht mehr für alle Mitarbeiter frei zugänglich sein. Nach aktuellem Stand der Technik dürfen Sie Backups erstellen, die ein Jahr zurückgreifen (Tages-, Wochen- und Monatssicherungen). Daten, die Sie heute vernichten, müssen Sie nicht rückwirkend in Backups löschen. Sonst könnte das Backup seinen Sinn nicht erfüllen, versehentlich gelöschte Daten wiederherstellen zu können.

Um die Vernichtung der Daten sicherzustellen, empfiehlt sich die Etablierung von konkreten Zuständigkeiten und Abläufen (z. B. jährliche Prüfung durch Unternehmensleitung). Mit entsprechenden Ablagesystemen können Sie es sich einfach machen, die Löschfristen einzuhalten.

 

Rechtlicher Hinweis: Ich beschäftige mich zwar tagtäglich mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.