Anzeige

Löschen unter Einhaltung aller Aufbewahrungspflichten

Frank Giebel
Firmen speichern mehr Daten als nötig – auch aus Angst, gegen Aufbewahrungspflichten zu verstoßen. Gleichwohl gibt es aus dem Datenschutz auch Löschpflichten. Hier den Spagat zu finden zwischen Reduktion der Speicherkosten, Gesetzeskonformität und Beibehaltung (elektronischer) Beweisführung ist nicht einfach, aber machbar.

Die Erfahrung bei den Mandanten zeigt, dass viele Unternehmen ihre Daten unstrukturiert ablegen und keine verbindlichen Regelungen zum Umgang damit besitzen. Es sind eben über die Jahre »gewachsene Strukturen«. Es wachsen aber auch die Speichermengen, respektive die Kosten dafür. Das Backup wird größer und  benötigt mehr Zeit und Medien. Neuesten Studien zufolge versechsfachen sich die Datenbestände innert drei Jahren. Der Informationsstand wird dadurch schnell unübersichtlich, was die Kosten in den Prozessen durch Recherchezeiten erhöht.

Auf der anderen Seite kann ein ebenso unstrukturiertes Löschen von Daten sehr schnell »nach hinten losgehen«. Einige für alle Unternehmensgrößen gültige Rechtsvorschriften verlangen eine Aufbewahrung für eine bestimmte Zeit (z.B. § 147 Abgabenordnung, AO) bzw. eine Löschung von Daten (z.B. §§ 28, 35 Bundesdatenschutzgesetz, BDSG). Ohne Kenntnisse im Bereich der IT-Compliance wird es also zunehmend schwieriger, sich innerhalb der gesetzlichen Regelungen zu bewegen.

Ist der Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten erfüllt, müssen sie gelöscht, gesperrt oder (bei Statistiken) anonymisiert werden. Auf der anderen Seite müssen steuerrelevante Daten zehn Jahre und länger aufbewahrt werden – auch mit personenbezogenen Daten darin. In diesem Falle geht das Steuerrecht dem Datenschutzrecht vor. Aber auch das BDSG erlaubt die Erhebung, Verarbeitung und Nutzung für eigene Rechtsgeschäfte – z.B. als Kundendaten. Schwieriger wird es bei Auftragsdatenverarbeitung oder Adresshandel. Hier greifen härtere Regeln und es muss genauer hingeschaut werden.

Ein sinnvolles Löschen von Daten sollte demnach mit System geschehen: Soll es automatisiert ablaufen, helfen so genannte Policys im elektronischen Archiv. Besitzt das Unternehmen (noch) keines, tun es auch Richtlinien zur Speicherung und Löschung von Daten, mit deren Hilfe die Mitarbeiter diese Aufgabe selbst erledigen können. Bei kritischen Datenbeständen empfiehlt sich ein zusätzliches 4-Augenprinzip (z.B. mit dem Vorgesetzten, dem Datenschutzbeauftragten).

Wichtigster Ausgangspunkt ist, die eigenen Informationsbestände zu kennen, diese zu klassifizieren und darauf aufbauend besagte Policys bzw. Richtlinien zu erlassen. Das erfordert zwar etwas Aufwand, ggf. mit externer Unterstützung, schafft aber andererseits die notwendigen Speicherfreiräume, reduziert Kosten und Aufwand und sorgt für Rechtssicherheit in den täglichen Abläufen.

Zum Autor
Frank Giebel ist als Inhaber des Beratungsunternehmens 3rd Mind Business Consulting externer Datenschutzbeauftragter und IT-Compliance-Berater.

Anzeige