Standardlöschfristen nach DSGVO: Warum sind sie wichtig?

In unserem heutigen Informationszeitalter sind wir andauernd und überall von einer ständig wachsenden Datenflut umgeben. Daten werden gesammelt, um die gewonnenen Informationen gewinnbringend einzusetzen: Sowohl für den Anbieter als auch für den Verbraucher. In einer idealen Welt können sich Anbieter so besser auf Verbraucher einstellen und maßgeschneiderte Produkte anbieten. Verbraucher wiederum profitieren davon, indem sie die Produkte angeboten bekommen, die sie auch wirklich interessieren. So käme die weltweite Vernetzung uns allen zugute, wir würden alle vom technologischen Fortschritt profitieren.

Doch das Sammeln von Daten hat nicht nur Vorteile: Sammeln Unternehmen immer mehr Daten, erhalten Sie auch immer mehr Informationen über ihre Kunden. In der Konsequenz steigt ihr Wissen, sie werden immer mächtiger und erhalten dadurch nicht selten einen Wettbewerbsvorteil gegenüber ihrer Konkurrenz. Doch auch für Verbraucher kann die das massive Sammeln von Informationen, das sogenannte Big Data gefährlich werden: Nämlich dann, wenn die Handlungen in Gegenwart und Zukunft von der Vergangenheit abhängt. So könnten die Beiträge für die Krankenversicherung steigen, wenn man mit seiner Kreditkarte viel Alkohol oder Zigaretten gekauft hat. Oder die KFZ-Versicherung wird teurer, weil man oft schneller als 150 km/h fährt. Ein Großteil der Verbraucher sieht erhebliche Nachteile durch diese Form der Profilbildung.

Warum müssen personenbezogene Daten geschützt werden?

Aus diesem Grund ist es wichtig, personenbezogene Daten zu schützen. Um den Datenschutz auf europäischer Ebene zu harmonisieren und einen europäischen Standard zu schaffen wurde die EU-Datenschutzgrundverordnung (DSGVO) entwickelt. Die DSGVO (GDPR, General Data Protection Regulation) trat am 27. April 2016 in Kraft, eine zweijährige Übergangsfrist endete am 25. Mai 2018. Die Datenschutzgesetze dienen dazu, die personenbezogenen Daten der Einwohner der Europäischen Union zu schützen. Unabhängig, wo ein Unternehmen seinen Geschäftssitz hat, gilt: Unternehmen, die geschäftliche Beziehungen auf dem europäischen Kontinent unterhalten oder Daten von Internetbenutzern sammeln, müssen die DSGVO befolgen.

Wann müssen personenbezogene Daten gelöscht werden?

In Artikel 17 der DSGVO ist das Recht auf Löschung klar geregelt. Personenbezogene Daten müssen gelöscht werden, wenn

  • der Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr notwendig ist
  • die Einwilligung zur Speicherung der Daten widerrufen wird und es an einer anderweitigen Rechtsgrundlage fehlt
  • Widerspruch gegen die Verarbeitung einlegt wird und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden
  • die Löschung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
  • Daten eines Kindes erhoben wurden

Werden die Löschvorgaben nicht eingehalten und der Kundendatensatz nicht gelöscht, kann es zu Sanktionen kommen. So drohen für einen Datenschutzverstoß Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes: Je nachdem, welcher Betrag höher ist.

 

 

Welche Ausnahmen gibt es bei der Löschung personenbezogener Daten?

Es gibt jedoch aus Ausnahmen. Denn personenbezogene Daten dürfen nicht gelöscht werden, soweit die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Was ist ein Löschkonzept?

Der wichtigste Fall, der der Löschung von Daten entgegensteht, sind rechtliche Aufbewahrungsfristen, z. B. für Patientendaten oder aus steuerlichen Gründen. Um Daten zum richtigen Zeitpunkt zu löschen, ist es für Unternehmen unerlässlich, ein Löschkonzept zu entwickeln. So stellen Sie mithilfe von Löschmechanismen sicher, dass Ihre Daten weder zu kurz noch zu lang aufbewahrt werden. Bei der Löschung der Daten gelten Dokumentationspflichten. Die entsprechenden Nachweise müssen auf Verlangen durch den Verantwortlichen vorgelegt werden. Werden Daten zu früh gelöscht, liegt ebenfalls ein Datenschutzverstoß vor.

Mehr Informationen darüber, was Sie beim Aufbau eines Löschkonzepts beachten sollten finden Sie in unserem Artikel zu dem Thema

Was sind Standardlöschfristen?

In der Praxis müssen unzählige verschiedene Löschfristen angewendet werden. Für das Löschen personenbezogener Daten kann kein Automatismus entwickelt werden: Es ist schlicht nicht vorhersehbar ist, wie lange die Geschäftsbeziehung zu einem Kunden besteht. Bei den Löschfristen für Rechnungen, Steuererklärungen, oder Vertragsunterlagen sieht es deutlich einfacher aus. Hier gibt das Gesetz genau vor, wann die Unterlagen vernichtet werden dürfen.

In diesen Fällen macht es sehr wohl Sinn, Löschkonzepte einzuführen, um die administrativen Prozesse zu vereinfachen und übersichtlicher zu gestalten. Geeignete Fristen orientieren sich an den unterschiedlichen gesetzlichen Vorgaben (§ 147 AO und § 257 HGB), wie z. B.:

  • keine Aufbewahrungspflicht: unmittelbare Löschung
  • 4 Jahre: dreijährige Verjährungsfrist gemäß § 195 BGB zzgl. 1 Jahr Sicherheitsreserve
  • 6 Jahre: fünfjährige Aufbewahrungsfrist für gewerbliche Vermietung zzgl. 1 Jahr Sicherheitsreserve
  • 7 Jahre: sechsjährige steuerliche Aufbewahrungsfrist zzgl. 1 Jahr Sicherheitsreserve
  • 11 Jahre: zehnjährige steuerliche Aufbewahrungsfrist zzgl. 1 Jahr Sicherheitsreserve

In der DIN 66398 sind die Leitlinien zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten zusammengefasst. 

Wann gelten Daten als gelöscht?

Die normale Löschfunktion des Betriebssystems reicht nicht aus, um gespeicherte Informationen sicher zu entfernen. Denn auf der Festplatte bleiben Informationsfragmente weiterhin erhalten. Ein Wiederherstellungsprogramm kann diese Dateien in der Regel problemlos wiederherstellen. Damit Informationen nachhaltig gelöscht werden, müssen die Informationen überschrieben werden: Denn dann wird auf dem Speicherort eine neue Information hinterlegt, was die Wiederherstellung unmöglich macht. Bei der Löschung ist es wichtig, alle Datenspiegelungen (Backups o.ä.) miteinzubeziehen.

Wie erfolgt eine Löschung meiner Daten?

Wie läuft eine Löschung ab? Was muss beachtet werden und wie lange dauert sie? Hilfreiche Informationen dazu haben wir für Sie in unserem Artikel zum Recht auf Vergessenwerden zusammengestellt. Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. Buchen Sie einfach eine kostenlose Erstberatung. Wir freuen uns auf Ihre Kontaktaufnahme.

Fazit

Die Datenschutzgrundverordnung schreibt vor, wie und wie lange Daten gespeichert werden dürfen – und wann sie gelöscht werden müssen. Löschkonzepte und Standardlöschfristen können helfen, administrative Prozesse zu vereinfachen und übersichtlicher zu gestalten. Sprechen Sie uns an, wir beraten Sie gerne.

 
Aufbewahrungsfristen 2022 212x234 DE Aufbewahrungsfristen 2022 800x600 MOBILE DE

Eine Übersicht der Aufbewahrungsfristen aus 2022

Mit dieser Checkliste haben Sie den Überblick darüber, welche Date nach DSGVO wann gelöscht werden müssen.

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000