Der Jahresbeginn bietet sich für ein „Ausmisten“ beim Datenbestand an. Denn die Speicherfristen laufen grundsätzlich zum Jahresende ab. Mit dem Auslaufen beginnt dann die Löschpflicht. Daten die nicht mehr gespeichert werden dürfen, müssen gelöscht werden. Die Aufsichtsbehörden legen besonderen Wert auf die Einhaltung der Löschpflichten. So verhängte die Berliner Aufsichtsbehörde am 30. Oktober 2019 gegen ein Immobilienunternehmen wegen der Missachtung von Löschpflichten ein Bußgeld in Höhe von 14,5 Millionen Euro. Damit möchte ich Sie nicht in Panik versetzen, zumal die Behörde hatte das Unternehmen vor Verhängung des Bußgeldes seit 2017 mehrfach zuvor aufgefordert bzw. ermahnt, ohne dass das Unternehmen der Aufforderung zur Löschung nachkam bzw. aufgrund einer nicht vorhandenen Löschroutine der Software der Aufforderung nachkommen konnte. In Niedersachsen verhängte der Landesbeauftragte für den Datenschutz ein Bußgeld in Höhe von 294.000,00 EUR wegen der „unnötig langen“ Speicherung und Aufbewahrung von Personalakten sowie einer „überbordenden“ Datenerhebung im Personalauswahlverfahren, bei der u.a. auch Gesundheitsdaten abgefragt wurden. Der Hamburger Beauftragte für den Datenschutz hat erst kürzlich gegen das Modeunternehmen H & M ein Bußgeldverfahren wegen der Erfassung und Speicherung höchst sensibler Arbeitnehmer*innendaten eingeleitet.
Die Entscheidungen betreffen zwar ausschließlich größere Unternehmen, zeigen aber, für wie wichtig die Datenschutzbehörden die Einhaltung von Löschpflichten erachten. Das sog. Recht auf Vergessen, das der Löschpflicht zugrunde liegt, ist ein wesentliches Kernstück der DSGVO.
Löschpflichten bestehen für solche personenbezogenen Daten, die nicht mehr benötigt werden bzw. aufgrund gesetzlicher Aufbewahrungspflichten nicht mehr gespeichert werden müssen. Ob Daten nicht mehr benötigt werden, ist allein danach zu beurteilen, ob sie für die Abwicklung des konkreten Vertrages oder aber im Rahmen einer bestehenden Geschäftsbeziehung noch notwendig sind. Unerheblich ist, ob das Unternehmen ein Interesse daran hat, die Daten für eine spätere erneute Kontaktaufnahme rein vorsorglich zu speichern.
Jedes Unternehmen sollte – im Rahmen des sog. Datenschutzmanagementkonzeptes – festgelegt haben, für welche personenbezogenen Daten welche Speicherfristen gelten.
Grundsätzlich gilt, dass personenbezogene Daten aus einer Kontaktaufnahme und/oder Korrespondenz, die nicht für die DUrchführung eines bestehenden oder sich anschließenden Vertragsschluss benötigt werden, sofort – jedenfalls aber zeitnah (4 – 6 Wochen) – zu löschen sind. Keinesfalls darf ein Unternehmen Namen und/oder Kontaktdaten und/oder weitere Daten lediglich vorsorglich für eine mögliche erneute Kontaktaufnahme speichern. Die Berliner Datenschutzbeauftragte hatte im März 2019 ein Bußgeld gegen eine Bank verhängt, weil die Bank Daten früherer Kunden zum Zwecke der Erstellung einer sog. Blacklist auch nach Beendigung der Kundenbeziehung weiterhin gespeichert hatte.
Eine Ausnahme von der Pflicht zur zeitnahen Löschung stellen personenbezogene Daten dar, die im Rahmen einer Bewerbung erfasst und gespeichert wurden. Hier ist eine Speicherdauer von sechs Monaten zulässig. Diese verlängerte Speichermöglichkeit ergibt sich aus Folgendem: Bewerber*innen können im Falle einer diskriminierenden Ablehnung aus dem AGG (Gleichbehandlungsgesetz) auf Schadenersatz klagen. Um sich gegen eine solche Klage wehren zu können, muss die/der Arbeitgeber*in nachweisen, dass die Ablehnung sachlich gerechtfertigt war. Gemäß § 15 Abs. 4 AGG muss die/der Kläger*in den Anspruch innerhalb von 2 Monaten nach Zugang der Ablehnung geltend machen. Danach hat die/der Kläger*in noch einmal 3 Monate Zeit, den Anspruch im Wege einer Klage geltend zu machen. Unter Berücksichtigung der regelmäßigen Postlaufzeiten, ergibt sich ein Zeitraum von 6 Monaten, während dessen die Daten weiterhin gespeichert werden dürfen. Sofern die Frist abläuft, ohne dass Klage erhoben wurde, sind die Daten zu löschen.
Sofern ein/e Bewerber*in eingestellt wurde, sind all jene Daten der Bewerbung, die nicht für den abgeschlossenen Arbeitsvertrag benötigt werden, zeitnah zu löschen.
Es gelten im Übrigen folgende generelle Löschungspflichten – die sämtliche (!) Datenträger umfassen und natürlich auch für E-Mails sowie (Gesprächs-)Protokolle gelten:
- 4 Jahre (Vertragsunterlagen, die für Gewährleistungsfristen/Verjährungsfristen relevant sind)
- 6 Jahre (empfangene oder abgesandte Handels- und Geschäftsbriefe und alle sonstigen Unterlagen, soweit sie für die Besteuerung von Bedeutung sind)
- 10 Jahre (Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen.
Für einzelne Branchen (z.B. Baubranche, Steuerberatung) können aufgrund gesetzlicher Vorschriften andere (längere) Aufbewahrungsfristen gelten.
Im Übrigen gilt, dass Daten, die nicht aufgrund gesetzlicher Fristen aufzubewahren sind, unverzüglich gelöscht werden müssen. Das gilt z.B. auch für Daten – auch Fotos – ausgeschiedener Mitarbeiter*innen!
Die Durchführung der Löschung sollte dokumentiert werden. Dabei sind anzugeben
– Datum der Löschung
– Kategorie der gelöschten( bzw. bei ausgedruckten Daten vernichteten) personenbezogenen Daten,
– Medium (PC, USB-Stick, Aktenordner) und entsprechend die Art der Löschung,
– Name der Person, die die Löschung vorgenommen hat.
ACHTUNG: Es ist darauf zu achten, dass die in Rede stehenden personenbezogenen Daten auch tatsächlich nicht wiederherstellbar gelöscht werden. Es genügt nicht, die Daten/Dateien lediglich in den Papierkorb zu verschieben. Und auch durch die Tastenkombination Strg-Ent wird lediglich der Verweis auf die Dateien gelöscht – ohne dass die Dateien selbst unwiderbringlich entfernt werden. Auch bei mobilien Datenträgern (Smartphone, USB-Stick, DVD etc.) ist für ein unwiderrufliches Löschen Sorge zu tragen. Und wie sieht es eigentlich mit den Mails auf Ihrem Server aus? Ziehen Sie im Zweifelsfall Ihren IT-Support heran, um eine ordnungsgemäße Löschung zu gewährleisten.
Wenn Sie ohnehin damit beschäftigt sind, die EInhaltung Ihrer datenschutzrechtlichen Verpflichtungen alljährlich zu überprüfen, dann bietet es sich an, außerdem auch zu prüfen, ob neue Arten der Datenverarbeitung und/oder neue Datenkategorien aufgenommen wurden. Das Verarbeitungsverzeichnis ist ggf. entsprechend zu ergänzen.
Kontaktieren SIe mich gern, wenn SIe Fragen zu den jeweiligen Löschfristen oder anderen datenschutzrechtlichen Vorgaben haben.