Daten löschen oder aufbewahren?
Heute möchte ich mich dem Grundsatz der Speicherbegrenzung zuwenden, der seine größte Einschränkung durch die gesetzlichen Aufbewahrungsfristen erhält.
Die verschiedenen Grundsätze der DSGVO regeln wie wir Unternehmer mit personenbezogenen Daten umgehen sollen.
Über den Grundsatz der Rechtmäßigkeit, den Grundsatz der Zweckbestimmung und den Grundsatz der Datenminimierung habe ich bereits in einem meiner letzten Artikel geschrieben.
Wann soll ich nun also Daten löschen und wann soll ich sie aufbewahren?
Die Speicherdauer von Daten
Lass uns mal den Grundsatz der DSGVO erörtern. Der Grundsatz der Speicherbegrenzung bedeutet, dass wir Daten NUR so lange wie nötig und erforderlich speichern dürfen.
Es geht darum das wir Daten nicht unbegrenzt lange speichern dürfen. Auch hier ist es angeraten in Vorbereitung auf die neue Datenschutzgrundverordnung eine Sichtung der bestehenden Daten vorzunehmen und dort Löschungen vorzunehmen wo es sich schon um nicht mehr existierenden Kunden oder Mitarbeiter handelt.
Jeder Betroffene von denen ich personenbezogene Daten sammle kann bei jedem Unternehmer anfragen welche Daten aus welchem Grund und auf welcher Rechtsbasis gesammelt werden. Dazu gehört auch die Information wie lange ich diese Daten in meinem Unternehme aufbewahre und wann ich sie lösche. Damit kann jede natürliche Person eigenständig überprüfen wer wo welche Daten wie lange von ihm gespeichert hat. Dies ist somit das persönliche Auskunftsrecht das jeder aufgrund des neuen Datenschutzes hat.
Unabhängig von einem Anspruch auf Löschung von Daten hat aber jeder Unternehmer auch schon aus dem Grundsatz der Speicherbegrenzung dafür zu sorgen, dass personenbezogenen Daten im Unternehmen gelöscht werden, sofern keine Grundlage für eine Aufbewahrung mehr besteht. Deshalb sehe ich den Datenschutz auch als eine Aufforderung zum Aufräumen.
Gesetzliche Aufbewahrungsfristen
Neben dem Grundsatz aus der Datenschutzgrundverordnung, dass ich Daten nur so lange wie benötigt gespeichert werden, bestehen viele gesetzliche Aufbewahrungsfristen.
Diese Aufbewahrungsfristen gehen dem Grundsatz der Speicherbegrenzung vor.
Damit ist jeder Unternehmer jedoch auch aufgefordert in jedem Fall mit Ablauf der gesetzlichen Aufbewahrungsfristen, die personenbezogenen Daten endgültig zu löschen. Dies insbesondere wenn von der betroffenen Person ein Löschungsantrag gestellt wurde.
Die wichtigste Aufbewahrungsfrist für alle Unternehmer ist die steuerrechtliche und unternehmerische Aufbewahrungspflicht von 7 Jahren nach UGB und BAO. Für einzelne Bereiche wie zum Beispiel bei Grundstücken gilt sogar eine Aufbewahrungspflicht von 22 Jahren.
Zu diesen Unterlagen zählen nicht nur die steuerlich relevanten Rechnungen sondern auch die zum Geschäftsfall zugehörigen Unterlagen. Da in diesen Unterlagen selbstverständlich auch personenbezogenen Daten enthalten sind, können diese folglich nicht vor Ablauf von 7 Jahren gelöscht werden.
Daneben gibt es noch zahlreiche Aufbewahrungsfristen aus dem Arbeitsrecht, sodass auch ein ausscheidender Mitarbeiter nicht die vollkommene Löschung von Aufzeichnungen zu ihm und zu seiner Person löschen lassen kann.
Doch hier sind unterschiedliche Prämissen anzusetzen. So beträgt die gesetzliche Aufbewahrungsfrist von für die Lohnsteuer und Abgabenpflicht 7 Jahre, sozialversicherungsrechtliche Grundlagen 5 Jahre und die meisten sonstige Ansprüche aus dem Dienstverhältnis verjähren mit 3 Jahren. Demgegenüber steht aber auch ein Anspruchsrecht auf ein Dienstzeugnis für 30 Jahre.
Im Zusammenhang mit den Mitarbeitern sind dadurch unterschiedliche Löschungsfristen im Unternehmen zu definieren und einzuhalten.
Berechtigte Interessen für längere Speicherungsfristen
In allen Bereichen wo es die Möglichkeit für Schadenersatzansprüche oder Mängelrügen gibt, besteht ein berechtigtes Interesse eines jeden Unternehmers hierzu Unterlagen und Informationen entsprechend lange aufzubewahren. Dies auch wenn diese Unterlagen personenbezogene Daten beinhalten.
Insbesondere im Bereich des Handwerks oder Produkten, wo ein versteckter Mangel bis zu 30 Jahren geltend gemacht werden kann. Damit gibt es in vielen Bereichen durchaus längere Aufbewahrungsrechte als sie ansonsten aus dem Zweck der Leistung eventuell gerechtfertigt werden könnten.
In vielen Bereichen gibt es auch Kundenbeziehungen, die nicht in einer regelmässigen Abnahme von Dienstleistungen oder Produkten bestehen. So gibt es durchaus Branchen, wo kein aktiver Kundenkontakt innerhalb der vergangenen 3-5 Jahre stattgefunden hat, wo es jedoch durchaus branchenüblich ist, dass diese Kunden wieder zurückkehren. Diesbezüglich sollte das Unternehmen, das typische Verhalten seiner Kunden prüfen und auch genau argumentieren, warum sie die Daten dieser Kunden länger speichern. Hier möchte ich nur auf ein Beispiel eines EDV-Shops hinweisen, die auch Reparaturen oder Up-dates für Kunden vornehmen. Nicht selten funktionieren Geräte jahrelang einwandfrei und benötigen erst verspätet ein entsprechendes Service.
Jedes berechtigte Interesse für eine längere Speicherfrist muß aber gut begründet werden und sollte in die Dokumente für die Dokumentationspflicht nach der DSGVO aufgenommen werden.
Hole Dir die Zustimmung von Deinen Kunden
Eine andere einfachere Möglichkeit die Speicherung von Daten länger im Unternehmen zu belassen ist die klare Zustimmung der Kunden.
Gerade kleinere Unternehmen oder Handwerksbetriebe haben Stammkunden, die immer wieder etwas bei Ihnen bestellen aber doch regelmäßig Kunden. Wie zum Beispiel bei einem Tischler oder einem Elektro-Fachgeschäft.
Hier empfiehlt es sich von einem Kunden bei Abschluss eines Auftrages die Zustimmung zur längerfristigen Aufbewahrung einzuholen mit dem klaren Hinweis, dass sie dies jederzeit widerrufen können.
Hier ist es auch hilfreich ein jährliches Mailing an Kunden im Unternehmen zu etablieren, wo Kunden auf die Speicherung der Daten hingewiesen werden, und deren Zustimmung vorausgesetzt die Speicherung für ein Jahr verlängert wird. Auch hier selbstverständlich immer mit dem Hinweis auf Ihre Rechte gemäß der Datenschutzgrundverordnung.
Da die Zustimmung als eine der wichtigsten Grundlagen für eine Speicherung von personenbezogenen Daten gilt, sind Sie damit in jedem Fall im sicheren Bereich bezüglich des Datenschutzes.
Technische Lösungen für die Speicherungsbegrenzung
Eine andere Möglichkeit um den Grundsatz der Speicherbegrenzung im Unternehmen sicherzustellen, ist die Nutzung von Programmierungen zur Löschung von Daten nach einem Fristablauf.
Hier müssten Datensätze entsprechend genau definiert werden und mit der gesetzlichen wie berechtigten Aufbewahrungfrist versehen werden. Auf diese Art und Weise können Löschungsroutinen automatisiert werden.
Eine andere Lösungsmöglichkeit wäre bei Ablauf von gesetzlichen Aufbewahrungfristen auch eine Anonymisierung der personenbezogenen Daten zu bewerkstellen.
Wenn sich jemand für diesen Weg entscheidet, empfehle ich jedoch mindestens einen Zeitraum von 3 Monate aufzuschlagen, um zu verhindern, dass Daten gelöscht werden, die vielleicht im Zuge eine kurzfristig eingebrachten Klage vor Ablauf einer Gewährleistungfrist oder sonstigem Forderungsrecht noch benötigt werden.
Bringen Sie also Ihre Daten in eine ausgewogene Ebene von Löschung und Aufbewahrung. Sehen Sie es aber auch als eine gute Möglichkeit das Unternehmen aufgrund von Speicherbegrenzungen von Daten im allgemeinen zu entlasten.
http://soul4bizz.at/