DSGVO Löschfristen – ein Überblick

Schon vor der Reform des europäischen Datenschutzrechts hatte der Einzelne eine gewisse Kontrolle über seine persönlichen Daten – dank des Rechts auf Vergessenwerden. Aber mit der DSGVO und anderen neuen Vorschriften wurden neue Anforderungen an die Löschung und Aufbewahrungsfristen solcher Daten und Unterlagen gestellt.

Wir werfen einen genaueren Blick auf dieses Thema und darauf, wann und wie öffentliche und nicht-öffentliche Stellen Anträgen auf Löschung gemäß Artikel 17 der Datenschutzgrundverordnung nachkommen müssen.

Was sind Löschfristen?

Eine Löschfrist gibt an, wie lange bestimmte Arten von Daten, z.B. personenbezogene Daten, aufbewahrt werden müssen, bevor sie gelöscht werden. Diese Löschfrist setzt sich zum einen aus dem Startzeitpunkt zusammen, zum anderen aus der Aufbewahrungsfrist.

Das Verständnis der Datenlöschfristen ist ein wichtiger Bestandteil der Einhaltung der DSGVO. Alle Daten sollten sicher und innerhalb der in der DSGVO festgelegten Parameter gehandhabt werden, andernfalls könnte das Unternehmen bei schwerwiegenden Verstößen mit Geldstrafen belegt werden.

Der Zeitraum für die Löschung von Daten richtet sich in der Regel nach dem Zweck der erfassten Daten und danach, wie lange diese Informationen aus rechtlichen oder finanziellen Gründen aufbewahrt werden müssen. In den meisten Fällen liegt diese Löschfrist so, dass Organisationen oder Behörden ausreichend Zeit haben, die Daten für den vorgesehenen Zweck zu verwenden, bevor sie sie löschen müssen.

Es ist wichtig zu beachten, dass für verschiedene Datentypen unterschiedliche Löschfristen gelten können und dass für die besonders sensiblen personenbezogenen Daten besondere Überlegungen angestellt werden müssen. Das gilt sowohl für Papierakten als auch für digitale Akten und Dokumente.

Mit den Vorschriften zum Datenschutz Schritt zu halten und das Recht des Einzelnen auf Privatsphäre zu respektieren, kann entmutigend erscheinen, aber Unternehmen sollten sicherstellen, dass sie mit allen relevanten Rechtsvorschriften zur Aufbewahrung und Löschung vertraut sind, um rechtliche Konsequenzen zu vermeiden.

Wie lange dürfen personenbezogene Daten aufbewahrt werden?

Wann müssen personenbezogene Daten gelöscht werden?

Artikel 17 der DSGVO sieht ein Recht auf Löschung vor, wonach personenbezogene Daten unter bestimmten Umständen gelöscht werden müssen.

Sobald eine Person von ihrem Recht auf Widerruf der Einwilligung zur Datenspeicherung oder Datenverarbeitung Gebrauch macht, müssen personenbezogene Daten unverzüglich aus der Verarbeitung entfernt werden – es sei denn, es liegen andere triftige Gründe vor. Auch wenn der Zweck für die Verwendung der Daten erreicht ist, es keine Rechtsgrundlage gibt, die Daten unrechtmäßig verarbeitet wurden oder Daten von Kindern erhoben wurde, ist die Vernichtung der Daten vorgeschrieben.

Andernfalls drohen Unternehmen schwere Strafen wie Geldbußen von bis zu 20 Millionen Euro.

Gibt es Ausnahmen?

In bestimmten Fällen ist es rechtens, dass personenbezogene Daten nicht gelöscht werden.

Zum Beispiel bei der Ausübung des Rechts auf freie Meinungsäußerung und Information oder einer rechtlichen Verpflichtung nach dem Unionsrecht, bei der Wahrnehmung von Aufgaben von öffentlichem Interesse in Ausübung öffentlicher Gewalt oder aus Gründen der öffentlichen Gesundheit. So haben beispielsweise die Archivierung von öffentlichem Interesse und die wissenschaftliche oder historische Forschung Vorrang vor dem Recht auf Löschung von Informationen, wenn die Löschung den Fortschritt bei diesen Aktivitäten behindern könnte. Darüber hinaus können diese Daten unter bestimmten Umständen auch zur Untermauerung von Rechtsansprüchen dienen.

Auch, wenn die Verarbeitung auf einer gesetzlichen Ermächtigung oder Verpflichtung beruht – wie z.B. bei Strafregisterauszügen und Punkten in der Flensburger Fahrerkartei – kann die Löschung nicht verlangt werden, ohne dass eine Begründung vorliegt oder eine Verjährungsfrist für die betreffenden Straftaten abgelaufen ist.

Die Einhaltung der Anforderungen der DSGVO an die Löschung von Daten wird durch widersprüchliche Gesetze und Vorschriften, wie z.B. das Steuerrecht, erschwert. Dies kann dazu führen, dass ein Antrag auf Löschung unter bestimmten Umständen nicht durchsetzbar ist. Personen, deren personenbezogene Daten falsch gespeichert wurden, haben jedoch die Möglichkeit, eine Berichtigung statt einer Löschung zu verlangen.

Wie kann die Löschung von Daten verlangt werden?

Wenn Sie sich vergewissern wollen, dass Ihre persönlichen Daten nicht gesetzeswidrig verwendet werden, oder wenn es veraltete Informationen über Sie gibt, machen Sie einfach von Ihrem Recht auf Auskunft Gebrauch und fragen Sie nach möglichen Details.

Sie haben auch die Möglichkeit, die Zustimmung zur Nutzung jederzeit zu widerrufen: Es genügt ein formloses Schreiben, in dem Sie diesen Wunsch äußern.

Vorlage für den Widerruf: nach Artikel 17 DSGVO personenbezogene Daten löschen lassen (unverbindliches Muster)

[Anschrift Absender]

[Anschrift Unternehmen/Anbieter]

Widerruf der Einwilligung und Löschung der personenbezogenen Daten

Kennziffer: [hier die Kennziffer angeben, z. B. Kundennummer, die dem Unternehmen die Zuordnung ermöglicht]

Sehr geehrte Damen und Herren, ich widerrufe hiermit meine Einwilligung in die Verarbeitung meiner personenbezogenen Daten gemäß der Datenschutz-Grundverordnung (DSGVO). Ich fordere Sie daher auf, alle von Ihnen zu meiner Person gespeicherten personenbezogenen Daten unverzüglich zu löschen und mir die Löschung schriftlich zu bestätigen.

Sollten Gründe gegen die Löschung meiner personenbezogenen Daten sprechen, bitte ich um Angabe der jeweiligen gesetzlichen Grundlage.

Mit freundlichen Grüßen

[Unterschrift Absender]

Empfehlenswert: ein Löschkonzept

Wenn es um die Aufbewahrung von Daten geht, müssen Unternehmen ein heikles Gleichgewicht finden: Wenn sie zu viel aufbewahren, riskieren sie ernsthafte rechtliche Konsequenzen; wenn sie zu wenig aufbewahren, können sie ebenso haftbar gemacht werden. Löschen Sie Ihre Daten vorzeitig oder behalten Sie sie, obwohl Sie es nicht sollten – beides kann schwerwiegende Konsequenzen mit sich ziehen.

Die Entwicklung eines effektiven Löschkonzepts ist unerlässlich, um das richtige Zeitfenster für die Einhaltung der Vorschriften zu erreichen – aber auch hier kommen die Dokumentationspflichten ins Spiel. Mithilfe des Löschkonzepts können Sie sichergehen, dass Ihre Daten so lange aufbewahrt werden, wie es möglich und nötig ist.

Wann gelten Daten als gelöscht?

Wenn es darum geht, Informationen zu löschen, reicht es nicht aus, sich einfach auf die normale Löschfunktion zu verlassen. Selbst nach dem Löschen einer Datei können Datenfragmente zurückbleiben und von Wiederherstellungsprogrammen leicht wiederhergestellt werden. Wenn Sie also eine dauerhafte Löschung erzielen wollen, die nicht wiederhergestellt werden kann, benötigen Sie eine zusätzliche Funktion: das Überschreiben. Durch das Einfügen neuer Informationen in zuvor belegte Speicherplätze wird jede Spur des ursprünglichen Materials für immer verwischt. Auch alle Sicherungskopien bzw. Backups sollten hier berücksichtigt werden.

Löschfristen – FAQ

Was muss man 10 Jahre aufbewahren?

10 Jahre lang aufbewahrt werden müssen beispielsweise Eingangs- und Ausgangsrechnungen, Lageberichte, Buchungen und Inventare.

Welche Akten müssen 30 Jahre aufbewahrt werden?

Krankenakten müssen 30 Jahre lang aufbewahrt werden. In diesem Zeitraum können Schadensersatzansprüche des Patienten geltend gemacht werden, sodass die Akten so lange als Beweis aufbewahrt werden müssen.

Wann müssen Dokumente gelöscht werden?

Wie lange Dokumente aufbewahrt und wann sie gelöscht werden müssen, ist abhängig davon, um welche Art von Dokument es sich handelt. Lohnunterlagen, steuerlich irrelevante Unterlagen sowie geschäftliche Korrespondenz müssen beispielsweise 6 Jahre lang aufbewahrt werden, während es bei Unterlagen zur Buchhaltung 10 Jahre sind.

Was regelt das Datenschutzrecht?

Das Datenschutzrecht gibt Vorgaben, wie die Privatsphäre geschützt und wie mit personenbezogenen Daten umgegangen werden soll.