Zeit für Digitalen Frühjahrsputz: Löschung alter Daten bei Beachtung neuer Speicherfristen

Mindestens einmal im Jahr ist es Zeit, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten länger benötigt werden

[datensicherheit.de, 19.03.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) rät kurz vor dem kalendarischen Frühlingsbeginn zu einer Art Digitalem Frühjahrsputz – Unternehmen sollten sich von veralteten Unterlagen trennen: „Wenn digitale Dokumente und Papierakten personenbezogene Daten enthalten, dürfen sie nach der Datenschutz-Grundverordnung (DSGVO) nur so lange aufbewahrt werden, wie es erforderlich ist.“ Mindestens einmal im Jahr sei es deshalb Zeit, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten länger benötigt werden. Professionelle Datenverarbeiter erledigten dies automatisiert. Wo keine automatischen Routinen etabliert sind, müsse händisch gelöscht werden. „Dabei sollten Unternehmen und Behörden unbedingt prüfen, ob ihre Löschroutinen bereits die ab 2025 geltenden neuen gesetzlichen Aufbewahrungsfristen berücksichtigen.“

Je nach Datenart und Geschäftszweig müssen teilweise spezielle Fristen beachtet werden

Für viele Dokumente gälten gesetzlich festgelegte Mindestspeicherfristen. „Diese ergeben sich zumeist aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) mit einem abgestuften System aus sechs, acht und zehn Jahren. Detaillierte Überblicke darüber, was wie lange vorzuhalten ist, hat unter anderem die Handelskammer veröffentlicht.“

Je nach Datenart und Geschäftszweig kämen teilweise spezielle Fristen hinzu. So hätten beispielsweise Arztpraxen die berufsrechtliche Zehn-Jahres-Frist des Bürgerlichen Gesetzbuchs (BGB) oder auch die 30-Jahres-Frist der Strahlenschutzverordnung (StrlSchVO) zu beachten. Ein anderes Beispiel für besondere Fristen treffe Arbeitgeber, welche unter anderem Aufzeichnungen zur verrichteten Arbeitszeit, zum Jugendschutz und zum Mutterschutz zwei Jahre lang aufbewahren müssten.

„Wenn die Speicherfristen abgelaufen sind, müssen die Daten in der Regel unverzüglich gelöscht werden!“ Das Datenschutzrecht verlange jedoch keine sofortige Löschung in der Silvesternacht – je nach Komplexität des Systems könne der Prozess einige Wochen bis Monate dauern. „Wichtig ist, dass er zum Jahresbeginn direkt eingeläutet wird. Bis zum Frühlingsbeginn sollte die jährliche Löschung abgeschlossen sein.“

Neue Fristen ab 2025: Im Frühjahr müssen deutlich mehr Datenfelder bereinigt und Löschkonzepte angepasst werden

Dieses Jahr sei beim Digitalen Frühjahrsputz besondere Aufmerksamkeit geboten. Der Bundesgesetzgeber habe einige Aufbewahrungsfristen verkürzt, so dass auch die betroffenen Daten früher gelöscht werden müssten.

„Mit dem Vierten Bürokratie-Entlastungsgesetz sind die AO und das HGB angepasst worden. Die in der Praxis wichtigste Fallgruppe der Belege zu Buchungen muss jetzt acht Jahre anstelle der bisherigen zehn aufbewahrt und danach gelöscht werden.“

Für andere Dokumentenarten wie zum Beispiel Handelsbücher und Handelsbriefe bleibe es bei der Frist von zehn Jahren. Diese Gesetzesänderungen hätten zur Folge, dass im Frühjahr 2025 deutlich mehr Datenfelder bereinigt und die Löschkonzepte angepasst werden müssten.

Interne Löschkonzepte für personenbezogene Daten ohne gesetzliche Aufbewahrungsfrist

„Auch personenbezogene Daten, für die es keine gesetzliche Aufbewahrungsfrist gibt, müssen gelöscht werden, wenn sie nicht mehr benötigt werden.“ Hierfür seien Unternehmen verpflichtet, sich einen Überblick zu verschaffen, wie lange diese Daten typischerweise Verwendung finden. „In einem Löschkonzept sind dann eigenständige Löschfristen zu entwickeln, zu dokumentieren und intern umzusetzen.“

Die Länge dieser Fristen könne dabei, je nach Datenart und Geschäftszweig, stark variieren. Hilfestellung bei der internen Entscheidung gäben in der Regel die jeweiligen Branchenverbände. Es könne auch sinnvoll sein, sich an zivilrechtlichen Verjährungsfristen zu orientieren. Für die Löschung datenschutzrechtlicher Dokumentationen zum Beispiel zur Beantwortung eines Auskunftsantrags biete es sich an, sich an der dreijährigen Verjährungsfrist für Ordnungswidrigkeiten zu orientieren.

Dem HmbBfDI ist nach eigenen Angaben vor allem wichtig, dass Unternehmen sich ein nachvollziehbares Löschkonzept gegeben haben und die daran anschließende Löschung auch tatsächlich funktioniert. „Wie lange die im Konzept verankerten Fristen sind, kann das jeweilige Unternehmen am besten einschätzen.“ Die Aufsichtsbehörde stelle dabei keine Zeitspannen in Frage, welche auf unternehmerischer Erfahrung basierend plausibel begründet würden – „solange sie nicht exzessiv ausgedehnt werden“.

Bußgelder zur Ahndung unzureichender Datenlöschung

Die konzeptionelle und faktische Umsetzung des Löschgebots sei ein Schwerpunktthema des HmbBfDI. Bei Routinekontrollen der Datenhaltung in Unternehmen werde regelhaft nach Aufbewahrungsfristen und Löschprozessen gefragt. „Im Herbst 2024 hatte der HmbBfDI beispielsweise die entsprechende Praxis bei Dienstleistern des Forderungsmanagements überprüft. In dem Zusammenhang hat er gegen ein Unternehmen ein Bußgeld in Höhe von 900.000 Euro wegen unzureichender Datenlöschung verhängt.“

In einem weiteren Fall der Branche habe er ein derzeit noch laufendes Bußgeldverfahren eröffnet. Das Thema Datenlöschung sei auch europaweit in den Fokus gerückt – als Jahresthema des „Coordinated Enforcement Framework“ der Mitglieder des Europäischen Datenschutzausschusses.

Der HmbBfDI, Thomas Fuchs, führt zu der Thematik aus: „,Big Data’ ist nicht ,Old Data’!“ Kunden müssten nicht ewig in den Datenspeichern von Unternehmen bleiben, mit denen sie vor Jahren einmal Kontakt hatten. Datensilos nur für den Fall aufwachsen zu lassen, dass man Informationen vielleicht später noch einmal brauchen könnte, sei nicht akzeptabel. „Stimmige Löschkonzepte sind Ausdruck einer guten Daten-Compliance im Unternehmen – und eine Rechtspflicht“, betont Fuchs abschließend.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 05.03.2025
CEF 2025: Einleitung einer koordinierten Durchsetzung des Rechts auf Löschung

HK Hamburg
Steuer- und Handelsrecht / Aufbewahrungsfristen von Geschäftsunterlagen

Die Bundesregierung, 01.01.2025
Bürokratieentlastungsgesetz / Bürokratie abbauen – Wirtschaft entlasten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 12.11.2024
Branchenweite Schwerpunktprüfung im Forderungsmanagement / 900.000 Euro Bußgeld wegen Verstoßes gegen Löschpflichten

Bundesministerium der Justiz
Abgabenordnung (AO) / § 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen

Bundesministerium der Justiz
Handelsgesetzbuch / § 257 Aufbewahrung von Unterlagen / Aufbewahrungsfristen

Bundesministerium der Justiz
Arbeitszeitgesetz (ArbZG) / § 16 Aushang und Arbeitszeitnachweise

Bundesministerium der Justiz
Gesetz zum Schutze der arbeitenden Jugend (Jugendarbeitsschutzgesetz – JarbSchG) / § 50 Auskunft, Vorlage der Verzeichnisse

Bundesministerium der Justiz
Gesetz zum Schutz von Müttern bei der Arbeit, in der Ausbildung und im Studium (Mutterschutzgesetz – MuSchG) / § 27 Mitteilungs- und Aufbewahrungspflichten des Arbeitgebers, Offenbarungsverbot der mit der Überwachung beauftragten Personen

datensicherheit.de, 07.03.2025
Recht auf Löschung: Landesdatenschutzbeauftragter Rheinland-Pfalz unterstützt europaweite Prüfaktion / Zum Recht auf Löschung gehen bei Datenschutzaufsichtsbehörden viele Beschwerden ein