Lesen sie hier den Beitrag:

Standardlöschfristen nach DSGVO: Warum sie wichtig sind

In unserem heutigen Informationszeitalter umgibt uns andauernd und überall eine ständig wachsende Datenflut. Daten werden gesammelt, um die gewonnenen Informationen gewinnbringend einzusetzen – sowohl für den Anbieter als auch für den Verbraucher. In einer idealen Welt können sich die Anbieter so besser auf die Kunden einstellen und maßgeschneiderte Produkte anbieten. Verbraucher wiederum profitieren davon, indem sie die Produkte angeboten bekommen, die sie auch wirklich interessieren. So käme die weltweite Vernetzung uns allen zugute, wir würden zumindest in der Theorie alle vom technologischen Fortschritt profitieren. Dabei sind Standardlöschfristen wichtig.

Standardlöschfristen nach DSGVO: Warum sie wichtig sind

Doch das Sammeln von Daten hat nicht nur Vorteile: Horten Unternehmen immer mehr Wissen, erhalten Sie auch immer mehr Informationen über ihre Kunden. Folglich steigt ihr Know-how, sie werden mächtiger und verschaffen sich häufig einen Wettbewerbsvorteil gegenüber ihrer Konkurrenz. Doch für Verbraucher kann das massive Sammeln von Informationen, auch Big Data genannt, ebenfalls Gefahren bergen – nämlich dann, wenn die Handlungen in Gegenwart und Zukunft von der Vergangenheit abhängen. So könnten etwa die Beiträge für die Krankenversicherung steigen, wenn jemand mit seiner Kreditkarte häufig viel Alkohol oder Zigaretten kauft. Oder die KFZ-Versicherung wird teurer, wenn ein Fahrzeugbesitzer oft schneller als 150 km/h fährt. Ein Großteil der Verbraucher sieht erhebliche Nachteile in dieser Form der Profilbildung.

Whitepaper-Angebot: Digitalisierung im Mittelstand.
Google My Business: Warum sich der Eintrag lohnt
Anzeige: Whitepaper der DIGITAL-WEBER

Warum personenbezogene Daten Schutz verdienen

Aus diesem Grund ist es wichtig, personenbezogene Daten zu schützen. Um den Datenschutz auf europäischer Ebene zu vereinheitlichen und einen europäischen Standard zu schaffen, wurde die EU-Datenschutz-Grundverordnung (DSGVO) erlassen; am 27. April 2016 trat sie in Kraft. Die Datenschutzgesetze dienen dazu, die personenbezogenen Daten der Einwohner der Europäischen Union zu schützen. Unabhängig, wo ein Unternehmen seinen Geschäftssitz hat, gilt: Unternehmen, die betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen anbieten oder das Verhalten betroffener Personen beobachten, fallen in den räumlichen Anwendungsbereich der DSGVO.

Wann personenbezogene Daten gelöscht werden müssen

In Artikel 17 der DSGVO ist das Recht auf Löschung klar geregelt. Personenbezogene Daten müssen gelöscht werden, wenn

  • der Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr existiert
  • die Einwilligung zur Speicherung der Daten widerrufen wird und es an einer anderweitigen Rechtsgrundlage fehlt
  • Widerspruch gegen die Verarbeitung einlegt wird und keine vorrangig berechtigten Gründe für die Verarbeitung vorliegen
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden
  • die Löschung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
  • Daten eines Kindes erhoben wurden

Werden die Löschvorgaben nicht eingehalten und der Kundendatensatz nicht gelöscht, kann es zu Sanktionen kommen. So drohen für einen Datenschutzverstoß Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Standardlöschfristen nach DSGVO: Warum sie wichtig sind

Welche Ausnahmen es bei der Löschung personenbezogener Daten gibt

Es gibt jedoch auch Ausnahmen. Denn personenbezogene Daten dürfen nicht gelöscht werden, sofern die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Warum ein Löschkonzept essenziell ist

Rechtliche Aufbewahrungsfristen können die Löschung von Daten verhindern, zum Beispiel bei Patientendaten oder aus steuerlichen Gründen. Um Informationen zum richtigen Zeitpunkt zu löschen, müssen Unternehmen ein Löschkonzept entwickeln. So stellen sie mithilfe von Löschmechanismen sicher, dass Daten weder zu kurz noch zu lang aufbewahrt werden. Bei der Löschung gelten zudem Dokumentationspflichten: Der Verantwortliche muss die entsprechenden Nachweise auf Verlangen vorlegen. Erfolgt die Datenlöschung zu früh, liegt ebenfalls ein Datenschutzverstoß vor.

Diverse Standardlöschfristen

In der Praxis müssen diverse Aufbewahrungsfristen Berücksichtigung finden. Für das Löschen personenbezogener Daten existiert kein Automatismus, da niemand vorhersehen kann, wie lange die Geschäftsbeziehung zu einem Kunden besteht und je nach Art der Daten unterschiedliche gesetzliche Aufbewahrungsfristen Anwendung finden. Bei den Aufbewahrungsfristen für Rechnungen, Steuererklärungen oder Vertragsunterlagen schreibt das Gesetz genau vor, wie lange die Unterlagen aufbewahrt werden müssen. Ist der Zweckfortfall eingetreten und steht der Löschung der Daten keine Aufbewahrungspflicht mehr entgegen, müssen diese gelöscht werden.

In diesen Fällen ergibt es durchaus Sinn, Löschkonzepte einzuführen, um die administrativen Prozesse zu vereinfachen und übersichtlicher zu gestalten. Die Aufbewahrungsfristen orientieren sich an den unterschiedlichen gesetzlichen Vorgaben (§140, 147 AO und § 257 i.V.m. § 238 HGB), zum Beispiel:

  • zehnjährige Aufbewahrungspflicht für Bücher, Aufzeichnungen, Jahresabschlüsse, Inventare, Legeberichte, Eröffnungsbilanz, Buchungsbelege, Rechnungen, Unterlagen für die Zollanmeldung (§ 147 Abs.3 i.V.m. Abs1, 4 und 4a AO, § 1b Abs1 UstG)
  • sechsjährige Aufbewahrungspflicht gilt für Geschäftsunterlagen wie empfangene Handels- und Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind

Die DIN 66398 fasst die Leitlinien zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten zusammen. Dabei beginnt die Aufbewahrungsfrist jeweils mit dem Schluss des Kalenderjahres. Bei Aufbewahrungsfristen für Verträge beginnt die Frist erst nach Ende der Vertragsdauer.

Wann Daten als gelöscht gelten

Die normale Löschfunktion des Betriebssystems reicht nicht aus, um gespeicherte Informationen sicher zu entfernen. Denn auf der Festplatte bleiben Informationsfragmente weiterhin erhalten. Ein Wiederherstellungsprogramm kann diese Dateien in der Regel problemlos nachbilden. Um Informationen dauerhaft zu löschen, muss man sie überschreiben. Erst dann wird auf dem Speicherort eine neue Information hinterlegt, was die Wiederherstellung unmöglich macht. Wichtig: Bei der Löschung sollten alle Datenspiegelungen (zum Beispiel Back-ups) miteinbezogen werden.

Fazit

Die Datenschutzgrundverordnung schreibt nicht genau vor, wie und wie lange man Daten speichern darf– und wann man löschen muss. Sie helfen aber dabei künftige administrative Prozesse zu vereinfachen und übersichtlicher zu gestalten. Löschkonzepte und Standardlöschfristen sind umfangreich und aufwendig und am besten mit Begleitung eines Experten festzulegen.

Autor: Inessa Meckler, Legal Counsel/Privacy Expert bei DataGuard

weitere Beiträge zum Thema:

 

Der EAS-Insider – Ihr Navigator zu einem erfolgreichem Business!

Unsere aktuellen Blog-Beiträge!

Das sind die aktuellen Beiträge zum Thema:

Aktuelle Beiträge zum Thema:
 

DAS EAS-MAG-Glossar für den Beitrag:

Standardlöschfristen nach DSGVO: Warum sie wichtig sind

EAS-MAG-Glossar:

Datenschutz

Der Datenschutz bezieht sich auf den Schutz personenbezogener Daten vor unberechtigtem Zugriff, Missbrauch und Verlust. Unternehmen, die Software einsetzen, müssen sicherstellen, dass sie gesetzliche Anforderungen wie die DSGVO erfüllen. Dazu gehören Datensicherheit, Transparenz bei der Datenverarbeitung und das Recht auf Löschung oder Berichtigung. Datenschutzfunktionen in Unternehmenssoftware umfassen Verschlüsselung, Zugriffskontrollen, Audit-Protokolle und regelmäßige Sicherheitsupdates. Ein umfassendes Datenschutzmanagement minimiert das Risiko von Datenlecks und stärkt das Vertrauen der Kunden, während es gleichzeitig die rechtlichen und finanziellen Risiken für das Unternehmen verringert.

Big Data

Big Data bezeichnet riesige, komplexe Datenmengen, die mit traditionellen Methoden schwer zu verarbeiten sind. Unternehmen nutzen Big Data, um Kundenverhalten zu analysieren, Geschäftsprozesse zu optimieren und fundierte Entscheidungen zu treffen. Durch die Analyse und Verarbeitung solcher Daten können wertvolle Erkenntnisse gewonnen werden. Typische Tools für Big Data umfassen Datenmanagement, maschinelles Lernen und Echtzeit-Analysen. Die Fähigkeit, große Datenmengen effizient zu verarbeiten, verschafft Unternehmen Wettbewerbsvorteile durch personalisierte Angebote, vorausschauende Wartung und verbesserte Geschäftsstrategien.

Datensicherheit

Datensicherheit bezeichnet den Schutz sensibler Informationen vor unautorisiertem Zugriff, Verlust oder Manipulation. Dies umfasst Maßnahmen wie Verschlüsselung, Zugriffskontrollen, Authentifizierung und regelmäßige Sicherheitsüberprüfungen. Unternehmenssoftware muss robuste Sicherheitsprotokolle integrieren, um Daten sowohl während der Speicherung als auch bei der Übertragung zu schützen. Datensicherheit ist entscheidend, um gesetzliche Anforderungen zu erfüllen, das Vertrauen von Kunden zu gewinnen und den Geschäftsbetrieb vor Cyberbedrohungen zu schützen. Sicherheitslücken können zu erheblichen finanziellen Verlusten und Reputationsschäden führen. Daher ist die Implementierung effektiver Datensicherheitsstrategien ein zentraler Bestandteil der IT-Infrastruktur in Unternehmen, um die Integrität und Verfügbarkeit der Daten zu gewährleisten.

Digitalisierung

Digitalisierung bezieht sich auf die Umwandlung traditioneller Geschäftsprozesse und -modelle durch den Einsatz digitaler Technologien. Dies umfasst die Integration von Softwarelösungen zur Automatisierung von Arbeitsabläufen, Verbesserung der Datenverarbeitung und Optimierung der Kommunikation. Durch Digitalisierung können Unternehmen Effizienz steigern, Kosten senken und die Qualität von Produkten und Dienstleistungen verbessern. Sie ermöglicht eine datengesteuerte Entscheidungsfindung und bietet Zugang zu Echtzeitinformationen. Unternehmenssoftware wie ERP-, CRM- und SCM-Systeme spielt eine zentrale Rolle bei der Digitalisierung, indem sie Prozesse integrieren und Transparenz schaffen. Digitalisierung fördert Innovation, steigert die Wettbewerbsfähigkeit und unterstützt Unternehmen bei der Anpassung an sich wandelnde Marktanforderungen.

 
Transparenzhinweis für Gastbeitrag
Standardlöschfristen nach DSGVO: Warum sie wichtig sind

Unternehmen

DataGuard

Autor

Inessa Meckler, Legal Counsel/Privacy Expert bei DataGuard
Inessa Meckler ist Juristin (Dipl. Jur.) und zertifizierte Datenschutzbeauftragte. Bei DataGuard berät sie als Legal Counsel/Privacy Expert Kunden vorwiegend aus den Bereichen Marketing, Werbung und PR sowie aus der Industrie und Fertigung. Darüber hinaus unterstützt sie die interne Rechtsabteilung als Juristin. Bereits während ihres Studiums hat sie sich vertieft mit den Bereichen Europarecht, Völkerrecht und Menschenrechtsschutz beschäftigt.