Wie lange dürfen personenbezogene Daten gespeichert werden? Ein Leitfaden für Unternehmen

Das Wichtigste im Überblick:

• Die maximale Speicherdauer personenbezogener Daten richtet sich nach dem Verarbeitungszweck und gesetzlichen Vorgaben
• Unternehmen benötigen ein systematisches Löschkonzept zur DSGVO-konformen Datenhaltung
• Bei Verstößen gegen Aufbewahrungsfristen drohen empfindliche Bußgelder von bis zu 20 Millionen Euro

Jetzt Angebot anfordern!

Die Herausforderung: Rechtskonforme Datenspeicherung im Unternehmensalltag

Die Frage nach der zulässigen Speicherdauer personenbezogener Daten stellt viele Unternehmen vor große Herausforderungen. Einerseits müssen gesetzliche Aufbewahrungspflichten eingehalten werden, andererseits verlangt die DSGVO eine möglichst kurze Speicherdauer. Dieser scheinbare Widerspruch verunsichert Unternehmen aller Größenordnungen. Als externe Datenschutzbeauftragte wissen wir, dass besonders mittelständische Unternehmen häufig Schwierigkeiten haben, die komplexen Anforderungen in der Praxis umzusetzen.

Grundprinzipien der Datenspeicherung nach DSGVO

Das zentrale Prinzip der DSGVO ist eindeutig: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Verarbeitungszweck unbedingt erforderlich ist. Diese Zweckbindung steht im Mittelpunkt der datenschutzrechtlichen Bewertung. Sobald der ursprüngliche Zweck der Datenverarbeitung entfällt, besteht grundsätzlich eine Löschpflicht – es sei denn, es greifen gesetzliche Aufbewahrungspflichten oder andere rechtliche Gründe für eine längere Speicherung.

Die Verhältnismäßigkeit spielt dabei eine wichtige Rolle. Je länger personenbezogene Daten gespeichert werden, desto schwerer wiegt der Eingriff in die Persönlichkeitsrechte der betroffenen Personen. Unternehmen müssen daher für jede Kategorie personenbezogener Daten eine angemessene Speicherdauer festlegen und diese auch dokumentieren.

Gesetzliche Aufbewahrungsfristen als verbindlicher Rahmen

Der deutsche Gesetzgeber hat für verschiedene Dokumentenarten und Datenkategorien konkrete Aufbewahrungsfristen festgelegt. Diese bilden einen verbindlichen Rahmen für die Datenspeicherung im Unternehmenskontext. Geschäftsbriefe und Buchungsbelege müssen beispielsweise nach den Vorschriften des Handelsgesetzbuchs (HGB) und der Abgabenordnung (AO) zwischen sechs und zehn Jahren aufbewahrt werden.

Für Personalakten gilt nach Beendigung des Arbeitsverhältnisses eine reguläre Aufbewahrungsfrist von drei Jahren, die sich aus den gesetzlichen Verjährungsfristen ergibt. Bewerbungsunterlagen abgelehnter Kandidaten sollten spätestens sechs Monate nach Absage gelöscht werden, sofern keine Einwilligung zur längeren Speicherung vorliegt.

Branchenspezifische Besonderheiten beachten

Verschiedene Branchen unterliegen zusätzlichen Dokumentations- und Aufbewahrungspflichten. Im Gesundheitswesen gelten beispielsweise besonders lange Aufbewahrungsfristen für Patientenakten von bis zu 30 Jahren. Auch im Finanzsektor bestehen erweiterte Dokumentationspflichten, etwa zur Bekämpfung von Geldwäsche.

Jetzt Angebot anfordern!

Implementierung eines systematischen Löschkonzepts

Um allen rechtlichen Anforderungen gerecht zu werden und gleichzeitig die betrieblichen Abläufe nicht zu behindern, benötigen Unternehmen ein durchdachtes Löschkonzept. Dieses muss sämtliche Datenarten und Speicherorte im Unternehmen erfassen und für jede Datenkategorie angemessene Aufbewahrungsfristen festlegen.

Ein professionelles Löschkonzept dokumentiert dabei nicht nur die Fristen, sondern implementiert auch technische Löschroutinen in die bestehenden IT-Systeme. Besonders wichtig ist die Berücksichtigung von Ausnahmen und Sonderfällen, etwa wenn Daten für rechtliche Auseinandersetzungen länger aufbewahrt werden müssen.

Technische Umsetzung der Löschpflichten

Die praktische Umsetzung der Löschpflichten erfordert häufig Anpassungen an den bestehenden IT-Systemen. Moderne Dokumentenmanagementsysteme bieten bereits integrierte Funktionen zur automatisierten Löschung nach definierten Fristen. Bei älteren Systemen oder individuellen Softwarelösungen müssen oft zusätzliche Routinen implementiert werden.

Besondere Herausforderungen entstehen durch die verteilte Datenhaltung in verschiedenen Systemen und Abteilungen. Ein effektives Löschkonzept muss alle diese Speicherorte berücksichtigen – von der zentralen Datenbank bis zum lokalen Dateisystem der Mitarbeiter.

Dokumentation und Nachweispflichten

Die DSGVO verpflichtet Unternehmen, die Einhaltung der datenschutzrechtlichen Vorgaben nachweisen zu können. Dies gilt auch für die Löschung personenbezogener Daten. Two Towers Consulting empfiehlt daher die Führung einer detaillierten Löschdokumentation, die folgende Aspekte umfasst:

• Festlegung der Speicherfristen für alle Datenkategorien
• Begründung für die gewählten Fristen
• Dokumentation der technischen und organisatorischen Löschprozesse
• Nachweis der tatsächlich durchgeführten Löschungen

Jetzt Angebot anfordern!

Professionelle Unterstützung bei der Umsetzung

Als erfahrene Datenschutzberater unterstützen wir Sie bei der Entwicklung und Implementierung eines maßgeschneiderten Löschkonzepts. Unsere Experten vereinen rechtliches Know-how mit technischer Expertise und kennen die praktischen Herausforderungen aus zahlreichen erfolgreichen Projekten.

Häufig gestellte Fragen

Wie lange dürfen Kundendaten nach dem letzten Kontakt aufbewahrt werden?

Nach Beendigung der Geschäftsbeziehung sollten Kundendaten grundsätzlich nach drei Jahren gelöscht werden, sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen. Dies entspricht der regulären Verjährungsfrist für vertragliche Ansprüche.

Was passiert bei Verstößen gegen Aufbewahrungsfristen?

Verstöße gegen die datenschutzrechtlichen Speicherfristen können mit empfindlichen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Zusätzlich drohen Reputationsschäden und zivilrechtliche Ansprüche der Betroffenen.

Müssen E-Mails nach einer bestimmten Zeit gelöscht werden?

E-Mails ohne geschäftsrelevante Inhalte sollten spätestens nach drei Jahren gelöscht werden. Für geschäftsrelevante E-Mails gelten die handels- und steuerrechtlichen Aufbewahrungsfristen von sechs bis zehn Jahren.

Wie lange müssen Bewerbungsunterlagen aufbewahrt werden?

Bewerbungsunterlagen abgelehnter Kandidaten sind spätestens sechs Monate nach Absage zu löschen. Mit Einwilligung der Bewerber ist eine längere Speicherung möglich, etwa für künftige Stellenbesetzungen.

Welche Daten müssen besonders schnell gelöscht werden?

Besonders sensible Daten wie Gesundheitsinformationen sollten schnellstmöglich gelöscht werden, wenn der Verarbeitungszweck entfällt.

Dürfen Daten für spätere Analysen aufbewahrt werden?

Eine längere Speicherung für statistische Analysen ist möglich, wenn die Daten zuvor anonymisiert werden. Die Anonymisierung muss dabei so erfolgen, dass kein Personenbezug mehr hergestellt werden kann.

Was gilt bei der Speicherung von Mitarbeiterdaten?

Personalakten müssen nach Beendigung des Arbeitsverhältnisses mindestens drei Jahre aufbewahrt werden. Bestimmte Unterlagen wie Gehaltsdaten unterliegen längeren steuerrechtlichen Aufbewahrungsfristen.

Wie sind Cloud-Dienste datenschutzkonform zu nutzen?

Bei der Nutzung von Cloud-Diensten muss vertraglich sichergestellt werden, dass Löschpflichten auch vom Dienstleister eingehalten werden. Dies gilt besonders bei Servern außerhalb der EU.

Was passiert bei rechtlichen Auseinandersetzungen?

Wenn rechtliche Auseinandersetzungen drohen oder laufen, dürfen relevante Daten auch über die regulären Fristen hinaus aufbewahrt werden. Dies muss jedoch dokumentiert werden.

Wie kann die Löschung technisch umgesetzt werden?

Die technische Umsetzung sollte möglichst automatisiert erfolgen. Moderne Dokumentenmanagementsysteme bieten entsprechende Funktionen. Wichtig ist die vollständige und unwiderrufliche Löschung aller Kopien.

_{Hinweis: Leistungen, die dem Rechtsdienstleistungsgesetz unterfallen, werden von der Kanzlei Two Towers Legal erbracht.}

Verwandte Themen

• Fällt die Bestellpflicht für Datenschutzbeauftragte?
• Löschung as a Service: Geht das?
• Bereichsausnahmen bei der Einschaltung von Unterauftragsverarbeitern
• Auskunftsersuchen nach Art. 15 DSGVO – erfüllen oder ablehnen?
• Bußgeld gegen Uber: 290 Mio. Euro und jede Menge Rechtsunsicherheit