Löschfristen und Aufbewahrungsfristen

Wie lange muss ich personenbezogene Daten aufbewahren und wann kann ich sie löschen?

Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet werden, wie sie für den jeweils definierten Zweck benötigt werden. Wenn der Zweck nicht (mehr) besteht, müssen sie gelöscht werden, sofern dieser Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Eine unbegrenzte Aufbewahrung ist nicht zulässig.

 

Zur Verarbeitung personenbezogener Daten gemäß DSGVO gehört auch die Löschung/Vernichtung nicht mehr benötigter Informationen. Diese haben, wie das Erheben, Speichern oder Verändern auf sichere Art und Weise zu erfolgen.

 

Nach Ablauf der Löschfrist bis zur Durchführung der Löschung sollten nicht mehr als 6, maximal jedoch 12 Monate vergehen (Beispiele: Wirtschaftsprüfer sind am Jahresanfang da; in der Aktenvernichtung ist gerade in den ersten Monaten eines neuen Jahres viel zu tun – externe Kunden haben Vorrang). Spätestens am Ende eines jeden Jahres wird eine „Dateninventur“ durchgeführt und zur Löschung anstehende Daten gelöscht/vernichtet.

Mit unserem Datenschutz Newsletter erhalten Sie aktuelle Informationen regelmäßig bequem in Ihr Postfach!

Jetzt anmelden

Methoden zur Löschung/Vernichtung

Bei der Entsorgung von Dokumenten ist zu gewährleisten, dass keine Vermischung von Dokumenten mit personenbezogenen Daten mit normalem Altpapier erfolgt.

 

Um eine datenschutzkonforme Vernichtung der Unterlagen sicherzustellen, kann ein geeigneter Schredder nach DIN-Norm 66399 eingesetzt werden. Bei größeren Mengen kann ein Entsorgungsunternehmen beauftragt werden, welches sorgfältig auszuwählen ist. 

 

Bei Löschung elektronischer Datenbestände sind besondere technische Maßnahmen für die Löschung zu treffen. Informationen auf Datenträgern müssen vor einer Weitergabe (bspw. an einen Reparatur-Dienstleister) oder Aussonderung so gelöscht werden, dass eine Rekonstruktion der Informationen mit hoher Wahrscheinlichkeit ausgeschlossen werden kann. Es ist zu beachten, dass die auf den digitalen Speichermedien gespeicherten Daten grundsätzlich durch die alleinige Nutzung der durch das Betriebssystem bereitgestellten Löschfunktion wieder herstellbar sind. Zur sicheren Löschung sind diese durch physikalische Maßnahmen (mechanische oder thermische Zerstörung, magnetische Durchflutung des Datenträgers) oder mehrmaliges Überschreiben unkenntlich zu machen. 

 

Optische Datenträger (bspw. CD-ROM, DVD) sind einer datenschutzkonformen physikalischen Vernichtung zuzuführen, da eine Überschreibung des Datenbestandes nicht möglich ist.

 

Anstatt einer tatsächlichen Löschung ist auch eine Anonymisierung möglich, wenn sichergestellt ist, dass keinerlei Personenbezug nach der Anonymisierung möglich ist.


Löschung/Vernichtung durch externe Dienstleister

Wird die Vernichtung bzw. Löschung von Daten durch einen Dienstleister erledigt, liegt eine Auftragsverarbeitung vor. 

 

Auch wenn der Dienstleister den Auftrag zur Vernichtung bzw. Löschung der Daten übernimmt, verbleibt die Verantwortung für den Schutz der betroffenen personenbezogenen Daten weiterhin im Verantwortungsbereich des eigenen Unternehmens. Es wird daher empfohlen, mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung abzuschließen und die Einhaltung der technisch-organisatorischen Maßnahmen regelmäßig zu überprüfen.


Rechte Betroffener auf Löschung

Jede Person kann jederzeit seine Betroffenenrechte nach den Art. 15-22 DSGVO geltend machen.

 

Dies beinhaltet unter anderem auch das Recht auf Löschung von personenbezogenen. Beansprucht ein Betroffener das Recht auf Löschung seiner Daten, so sind diese unverzüglich zu löschen, außer es überwiegt die gesetzliche Aufbewahrungspflicht oder andere Rechtsgrundlagen.


Protokollierung der Löschung

Jede ordnungsgemäße Vernichtung sollte vom Unternehmen dokumentiert werden. Daraus muss hervorgehen, wer was wann gelöscht/vernichtet hat. Diese Protokolle sollten für 3 Jahre aufbewahrt werden.

Nutzen Sie unsere Datenschutz Roadmap, um Ihre Aufgaben in 10 Themengebiete zu ordnen und damit Ihren Datenschutz Fahrplan aufzustellen.

Jetzt herunterladen