Aufbewahrungsfristen und Löschpflichten

06 August 2020

 

Fragen zur Fristbestimmung. Aufbewahrungsfristen und Löschpflichten

Einleitung

Der Verantwortlich nach Art. 4 Nr. 7 DSGVO hat zu bestimmen, wie lange er welche Daten aufbewahren muss und ab wann er sie damit korrespondierend löschen darf. Wenn keine klaren Aufbewahrungspflichten definiert sind, was regelmäßig der Fall ist, dann wird es schwierig entsprechende Löschfristen zu bestimmen. Eigentlich muss es das aber nicht sein. Wir versuchen mal etwas Struktur in das Thema zu bringen.

Im Ergebnis ist es jedoch nicht der Datenschutzbeauftragte, der die Entscheidung zur Löschung treffen muss, sondern der Verantwortliche, denn das Risiko einer versehentlichen Löschung ist von diesem in seiner Risikoabwägung zu bestimmen und schließlich zu tragen. Als Datenschutzbeauftragter kann man aber hierfür den Rahmen vorgeben, wie man zu einem Ergebnis kommt und sollte auch immer wieder darauf hinwirken, dass man zu einem Ergebnis kommt. Denn keine Entscheidung zu treffen ist der denkbar schlechteste Weg. Es bleibt aber eine unternehmerische Entscheidung.

Gute Übersichten

Sozialdatenschutz: https://www.datenschutz-kirche.de/aufbewahrungsfristen_sozialdaten

Steuer und Handelsrecht: https://www.ihk-berlin.de/service-und-beratung/recht-und-steuern/steuern-und-finanzen/download/aufbewahrungsfristen-4405822

 

Prüffragen, die weiter helfen

Die folgenden grundsätzlichen Fragen können einem bei der Bestimmung der datenschutzrechtlichen Löschpflicht helfen.

Gibt es eine gesetzliche Aufbewahrungspflicht?
Gesetzliche Aufbewahrungspflichten können sich aus dem Handels- oder Steuerrecht ergeben. Im Gesundheitsbereich ergibt sich die Aufbewahrung von Patientenakten z.B. aus § 630f BGB.

Gibt es eine konkrete Regelung zur Löschung (Löschpflicht)?
Konkrete Löschpflichten bestehen z.B. nach § 96 Abs. 1 Satz 3 TKG für Verkehrsdaten und § 97 Abs. 3 TKG bezüglich der für die Entgeltabrechnung verwendeten Daten.

Besteht ein Recht zur Aufbewahrung aus Gesetz, Vertrag oder Einwilligung?
Solange die Verarbeitung der Daten datenschutzrechtlich zulässig ist, kann natürlich auch keine Löschpflicht bestehen. Neben anderen gesetzlichen Regelungen, können auch die datenschutzrechtlichen Erlaubnistatbestände gegen eine Löschpflicht stehen. Daten, die ich noch verarbeiten darf muss ich natürlich nicht löschen. Aber: Die datenschutzrechtlichen Erlaubnisvorschriften verlangen in der Regel, dass die vorhandenen Daten zu diesen Verarbeitungszwecken noch erforderlich sind. Ist die Erforderlichkeit nicht mehr gegeben, wird das in der Regel eher für die Löschung sprechen. Hier schließt sich ein wenig der Kreis zu den Verjährungsfristen und zu der m.E. schwierigen Frage, warum man sich nicht einfach pauschal auf die 30-jährige Verjährungsfrist berufen sollte. Die Frage ist, brauchen Sie diese Daten z.B. nach den 10 Jahren noch oder haben Sie jemals so alte Daten gebraucht und dürften diese dann auch noch rechtmäßig verarbeitet werden? Was kann eigentlich passieren, wenn Sie Daten löschen, für die Sie keine eindeutige Aufbewahrungspflicht identifizieren konnten (z.B. handelsrechtlich oder steuerrechtlich). In der Regel kommen dann nur noch Ansprüche in Betracht, die noch nicht verjährt sind . Die 30-jährige Verjährungsfrist ist für die meisten Konstellationen bestenfalls rein hypothetisch. Wenn man sich darauf stützen will, sollte man sich ggf. lieber mit der Aufsichtsbehörde abstimmen oder zumindest die Abwägung genau im Löschkonzept dokumentieren.
Für Patientenakten schreibt das Bayerische Landesamt für Datenschutzaufsicht in ihrer FAQ zur DS-GVO vom 19.7.2018: „Eine Ausnahme von der Verpflichtung zur Löschung kann sich zudem aus Art. 17 Abs. 3 lit. e DS-GVO ergeben, da die objektive Verjährungsfrist für Schadensersatzansprüche wegen Körper- oder Gesundheitsverletzung gemäß § 199 Abs. 2 BGB dreißig Jahre nach Vornahme des potentiell schadensträchtigen Verhaltens beträgt. Hier ist eine Abwägung („erforderlich“) vorzunehmen unter Berücksichtigung der Interessen des Betroffenen und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen.
Eindeutige Antworten wird man von den Aufsichtsbehörden möglicherweise aber auch nicht bekommen.