01638 Das betriebliche Löschkonzept für personenbezogene und buchhalterische Daten
Im Rahmen der Einführung der Datenschutz-Grundverordnung (DSGVO) hat das in der Vergangenheit oftmals stiefmütterlich behandelte Thema „Löschkonzept” eine neue Relevanz erhalten. Seither erfährt die Löschung personenbezogener Daten gegenüber der bisherigen Rechtslage insofern eine Aufwertung, als die diesbezüglichen Bestimmungen detaillierter ausformuliert worden sind und zum Teil auch erweitert wurden. Das mit dem Löschungsanspruch der betroffenen Person verbundene „Recht auf Vergessenwerden” wird zum ersten Mal ausdrücklich gesetzlich geregelt; es ergänzt die Löschung unmittelbar beim Verantwortlichen und die Nachberichtspflichten.
Aufgrund der Relevanz dieses Themenbereichs beschäftigt sich der vorliegende Beitrag im Wesentlichen mit den Themen Datenvermeidung, Löschpflichten, Einführung von Löschkonzepten und Löschregeln sowie den Informationspflichten zur Löschung. Arbeitshilfen: von: |
1 Einführung
Rechtliche Grundlage
Das Löschen personenbezogener Daten wird von der Datenschutz-Grundverordnung (DSGVO) bereits in Artikel 5 als Grundsatz gefordert und in zahlreichen Artikeln der DSGVO als Ausprägung der Rechte des Betroffenen ausgeführt. Diese konkrete Beschreibung sowie die Umsetzung der Pflicht zum Löschen von personenbezogenen Daten stellt die betriebliche Praxis von vielen Unternehmen vor Probleme und bedeutet zum Teil enorme Veränderungen in den Unternehmensabläufen.
Das Löschen personenbezogener Daten wird von der Datenschutz-Grundverordnung (DSGVO) bereits in Artikel 5 als Grundsatz gefordert und in zahlreichen Artikeln der DSGVO als Ausprägung der Rechte des Betroffenen ausgeführt. Diese konkrete Beschreibung sowie die Umsetzung der Pflicht zum Löschen von personenbezogenen Daten stellt die betriebliche Praxis von vielen Unternehmen vor Probleme und bedeutet zum Teil enorme Veränderungen in den Unternehmensabläufen.
Was sind personenbezogene Daten?
Zunächst ist es für die betriebliche Praxis wichtig und auch erforderlich festzustellen, mit welchen personenbezogenen Daten gearbeitet wird und wie diese zu bewerten sind. Dieses insbesondere deshalb, weil die Regelungen der DSGVO nur für die Verarbeitung personenbezogener Daten gelten und nicht personenbezogene Daten außen vor lassen. Somit sind Unternehmen gefordert, ihre Daten und Datenflüsse sehr konkret zu analysieren und festzustellen, welche Daten davon unter die Bestimmungen der DSGVO fallen. Häufig sind diese Daten im Personalbereich, in der IT-Abteilung, im Marketing, in der Buchhaltung, aber auch in vielen Betriebsteilen (z. B. Schichtplan im Betriebsbüro), bei denen man es nicht zwangsläufig vermutet, zu finden. Grundsätzlich gilt, dass alle Daten, bei denen ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Zumeist klar zuzuordnen sind der Name, die Telefonnummer sowie Kreditkarten- oder Personalnummern. Aber auch Kontodaten, Kfz-Kennzeichen, das Aussehen (z. B. auf Fotos oder in Videoaufzeichnungen), die Kundennummer oder die Anschrift zählen zu den personenbezogenen Daten. Dies sind also nicht nur Informationen über die Person, sondern ebenso Informationen, die sich mit ihr in Verbindung bringen lassen (personenbeziehbare Daten), weshalb der Anwendungsbereich der DSGVO deutlich größer sein dürfte, als zunächst gedacht.
Zunächst ist es für die betriebliche Praxis wichtig und auch erforderlich festzustellen, mit welchen personenbezogenen Daten gearbeitet wird und wie diese zu bewerten sind. Dieses insbesondere deshalb, weil die Regelungen der DSGVO nur für die Verarbeitung personenbezogener Daten gelten und nicht personenbezogene Daten außen vor lassen. Somit sind Unternehmen gefordert, ihre Daten und Datenflüsse sehr konkret zu analysieren und festzustellen, welche Daten davon unter die Bestimmungen der DSGVO fallen. Häufig sind diese Daten im Personalbereich, in der IT-Abteilung, im Marketing, in der Buchhaltung, aber auch in vielen Betriebsteilen (z. B. Schichtplan im Betriebsbüro), bei denen man es nicht zwangsläufig vermutet, zu finden. Grundsätzlich gilt, dass alle Daten, bei denen ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Zumeist klar zuzuordnen sind der Name, die Telefonnummer sowie Kreditkarten- oder Personalnummern. Aber auch Kontodaten, Kfz-Kennzeichen, das Aussehen (z. B. auf Fotos oder in Videoaufzeichnungen), die Kundennummer oder die Anschrift zählen zu den personenbezogenen Daten. Dies sind also nicht nur Informationen über die Person, sondern ebenso Informationen, die sich mit ihr in Verbindung bringen lassen (personenbeziehbare Daten), weshalb der Anwendungsbereich der DSGVO deutlich größer sein dürfte, als zunächst gedacht.
Grundsatz für den Umgang mit den Löschpflichten von personenbezogenen Daten:
Wann löschen?
Personenbezogene Daten sind immer dann zu löschen, wenn der die Speicherung dieser Daten begründende Zweck nicht mehr vorhanden ist bzw. keine Einwilligung mehr ihre Wirkung entfaltet und kein Recht zur Aufbewahrung existiert.
Personenbezogene Daten sind immer dann zu löschen, wenn der die Speicherung dieser Daten begründende Zweck nicht mehr vorhanden ist bzw. keine Einwilligung mehr ihre Wirkung entfaltet und kein Recht zur Aufbewahrung existiert.
Wie löschen?
Löschen von personenbezogenen Daten bedeutet, dass diese Daten (elektronische Daten, Papierdaten etc.) vernichtet oder in der Form anonymisiert werden, dass der Personenbezug von keinem mehr hergestellt werden kann. Eine Pseudonymisierung, bei der ein Personenbezug weiterhin möglich ist, reicht nicht aus.
Löschen von personenbezogenen Daten bedeutet, dass diese Daten (elektronische Daten, Papierdaten etc.) vernichtet oder in der Form anonymisiert werden, dass der Personenbezug von keinem mehr hergestellt werden kann. Eine Pseudonymisierung, bei der ein Personenbezug weiterhin möglich ist, reicht nicht aus.
Unternehmen, die den gesetzlichen Verpflichtungen z. B. aus der Löschverpflichtung nicht hinreichend nachkommen, laufen Gefahr, dass sie zum Teil sehr hohe Bußgelder zahlen müssen! Die Haftung dafür liegt in der Regel bei der Geschäftsführung als datenschutzrechtlicher Verantwortlicher des Unternehmens.
Entwicklung eines Löschkonzepts
Im Rahmen eines effektiven Datenschutzmanagementsystems (Datenschutzmanagement – eine Methode, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren) empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben zur Löschung in den Unternehmen zu entwickeln, an denen sich die einzuhaltenden Löschfristen und -pflichten für alle im Unternehmen verarbeiteten Daten orientieren müssen. Die Entwicklung eines solchen Löschkonzepts befindet sich im Spannungsfeld zwischen den (gesetzlich) existierenden Speicher- und Aufbewahrungspflichten und den gesetzlichen Vorgaben zur Löschung und Speicherbegrenzung (im Sinne von Datensparsamkeit) personenbezogener Daten.
Im Rahmen eines effektiven Datenschutzmanagementsystems (Datenschutzmanagement – eine Methode, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren) empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben zur Löschung in den Unternehmen zu entwickeln, an denen sich die einzuhaltenden Löschfristen und -pflichten für alle im Unternehmen verarbeiteten Daten orientieren müssen. Die Entwicklung eines solchen Löschkonzepts befindet sich im Spannungsfeld zwischen den (gesetzlich) existierenden Speicher- und Aufbewahrungspflichten und den gesetzlichen Vorgaben zur Löschung und Speicherbegrenzung (im Sinne von Datensparsamkeit) personenbezogener Daten.
Ausblick
Im Nachfolgenden sollen relevante und konkrete Eckpunkte zu den Aufbewahrungs- und Löschpflichten aufgegriffen und diese mit Hinweisen zur praktischen Umsetzung in den betrieblichen Alltag verknüpft werden.
Im Nachfolgenden sollen relevante und konkrete Eckpunkte zu den Aufbewahrungs- und Löschpflichten aufgegriffen und diese mit Hinweisen zur praktischen Umsetzung in den betrieblichen Alltag verknüpft werden.
2.1 Aufbewahrungspflichten im Rahmen des Handelsgesetzbuchs (HGB) und der Abgabenordnung (AO)
Aufbewahrungspflichten nach HGB
Im Handelsgesetzbuch (§ 257 Abs. 1 HGB) wird sehr konkret aufgeführt, welche Unterlagen ein Unternehmen geordnet aufzubewahren hat:
Im Handelsgesetzbuch (§ 257 Abs. 1 HGB) wird sehr konkret aufgeführt, welche Unterlagen ein Unternehmen geordnet aufzubewahren hat:
• | Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen |
• | die empfangenen Handelsbriefe |
• | Wiedergaben der abgesandten Handelsbriefe |
• | Belege für Buchungen in den zu führenden Büchern (Buchungsbelege) |
Aufbewahrungsfristen nach AO
Ergänzend wird in der Abgabenordnung (AO) in § 147 (Ordnungsvorschriften für die Aufbewahrung von Unterlagen) geregelt, welche Unterlagen und Dokumente im Zuge des deutschen Steuerrechts wie lange aufbewahrt werden müssen. In dieser gesetzlichen Vorschrift werden vor allem die Fristen für alle Bücher und Aufzeichnungen beschrieben, die für die Besteuerung relevant sind.
Ergänzend wird in der Abgabenordnung (AO) in § 147 (Ordnungsvorschriften für die Aufbewahrung von Unterlagen) geregelt, welche Unterlagen und Dokumente im Zuge des deutschen Steuerrechts wie lange aufbewahrt werden müssen. In dieser gesetzlichen Vorschrift werden vor allem die Fristen für alle Bücher und Aufzeichnungen beschrieben, die für die Besteuerung relevant sind.
Unterlagen, Verträge, Geschäftsbriefe, Steuerunterlagen, Urkunden und andere Dokumente müssen im Sinne dieser Vorschrift so archiviert werden, dass sie im Bedarfsfall schnell auffindbar sind. Im Geschäftsleben sind das hauptsächlich wichtige Verträge und Rechnungen oder Belege, die später als Nachweise für die Finanzbehörde wichtig sind.
Bei Nichtbeachtung drohen Bußgelder
Die Aufbewahrungspflicht regelt, welche Dokumente wie lange aufbewahrt werden müssen. Dabei gibt es unterschiedlich lange Fristen, die von der Art der Dokumente abhängen. Die Art der Archivierung spielt dabei keine Rolle. Da die Fristen gesetzlich vorgeschrieben sind, droht bei Nichtbeachtung wie bspw. einer frühzeitigen Löschung ein Bußgeld.
Die Aufbewahrungspflicht regelt, welche Dokumente wie lange aufbewahrt werden müssen. Dabei gibt es unterschiedlich lange Fristen, die von der Art der Dokumente abhängen. Die Art der Archivierung spielt dabei keine Rolle. Da die Fristen gesetzlich vorgeschrieben sind, droht bei Nichtbeachtung wie bspw. einer frühzeitigen Löschung ein Bußgeld.
Unterlagen richtig einordnen
Problematisch ist in der Praxis die richtige Einordnung der Unterlagen. Denn nicht jeder Brief ist ein Geschäftsbrief, nicht jeder Beleg ist ein Buchungsbeleg, was oftmals zu intensiven Diskussionen zwischen den Beteiligten führen kann.
Problematisch ist in der Praxis die richtige Einordnung der Unterlagen. Denn nicht jeder Brief ist ein Geschäftsbrief, nicht jeder Beleg ist ein Buchungsbeleg, was oftmals zu intensiven Diskussionen zwischen den Beteiligten führen kann.
In der Regel sind die in der AO beschriebenen Aufbewahrungspflichten auf entweder sechs, acht oder zehn Jahre festgelegt.
Sechs Jahre
Aufbewahrungsfrist von (mindestens) sechs Jahren:Eine Aufbewahrungspflicht von mindestens sechs Jahren folgt bspw. aus § 147 Abs. 1 Nr. 2, 3 und 5 AO. Danach gilt die sechsjährige Aufbewahrungsfrist für Handels- und Geschäftspapiere wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und sonstige steuerrelevante Unterlagen, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind.
Aufbewahrungsfrist von (mindestens) sechs Jahren:Eine Aufbewahrungspflicht von mindestens sechs Jahren folgt bspw. aus § 147 Abs. 1 Nr. 2, 3 und 5 AO. Danach gilt die sechsjährige Aufbewahrungsfrist für Handels- und Geschäftspapiere wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und sonstige steuerrelevante Unterlagen, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind.
Acht Jahre
Aufbewahrungsfrist von (mindestens) acht Jahren:Die zum 01.01.2025 neu eingeführte Aufbewahrungspflicht von mindestens acht Jahren ergibt sich grundsätzlich aus § 147 Abs. 1 Nr. 4 AO bzw. aus § 257 Absatz 4 HGB. Diese neue achtjährige Aufbewahrungsfrist gilt für alle Buchungsbelege und wurde durch das Vierte Gesetz zur Entlastung der Bürgerinnen und Bürger, der Wirtschaft sowie der Verwaltung von Bürokratie, welches am 18. Oktober 2024 vom Bundesrat bestätigt wurde, neu eingeführt. Diese Frist beginnt mit Schluss des Kalenderjahres, in dem der jeweilige Buchungsbeleg entstanden ist.
Aufbewahrungsfrist von (mindestens) acht Jahren:Die zum 01.01.2025 neu eingeführte Aufbewahrungspflicht von mindestens acht Jahren ergibt sich grundsätzlich aus § 147 Abs. 1 Nr. 4 AO bzw. aus § 257 Absatz 4 HGB. Diese neue achtjährige Aufbewahrungsfrist gilt für alle Buchungsbelege und wurde durch das Vierte Gesetz zur Entlastung der Bürgerinnen und Bürger, der Wirtschaft sowie der Verwaltung von Bürokratie, welches am 18. Oktober 2024 vom Bundesrat bestätigt wurde, neu eingeführt. Diese Frist beginnt mit Schluss des Kalenderjahres, in dem der jeweilige Buchungsbeleg entstanden ist.