HamBfDI: Neue Aufbewahrungsfristen

24. März 2025

Mit dem Frühjahr empfiehlt sich auch für Unternehmen, ihre Datenbestände im Rahmen eines Frühjahrsputzes zu überprüfen und veraltete Informationen zu löschen. Die Datenschutzgrundverordnung (DSGVO) verlangt nämlich, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist. Spätestens einmal im Jahr sollten Unternehmen daher analysieren, welche Daten sie noch benötigen und welche sie löschen können. Besonders in diesem Jahr ist dabei Sorgfalt geboten, denn neue gesetzliche Aufbewahrungsfristen, die ab 2025 gelten, verändern die Anforderungen an die Datenhaltung, wie der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI) in einer Mitteilung vom 19.03.2025 erklärt.

Gesetzliche Mindestspeicherfristen

Viele Dokumente unterliegen gesetzlich vorgeschriebenen Aufbewahrungsfristen. Die wichtigsten Regelungen dazu finden sich in der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB). Je nach Dokumentenart sind dort Speicherfristen von sechs, acht oder zehn Jahren festgelegt, die auch mindestens eingehalten werden müssen.

Neben den allgemeinen Vorschriften existieren manchmal branchen- und datenspezifische Sonderregelungen. Beispielsweise müssen Arbeitgeber zwei Jahre Unterlagen zur Arbeitszeiterfassung und zum Jungend- und Mutterschutz speichern. Außerdem unterliegen Patientendaten in Arztpraxen einer zehnjährigen Aufbewahrungspflicht und in bestimmten Fällen sogar einer 30-jährigen Frist nach der Strahlenschutzverordnung (StrlSchVO).

Wann sind Daten mit Mindestaufbewahrungsfristen zu löschen?

Die gesetzlichen Mindestaufbewahrungsfristen sind häufig der Grund, weshalb eine so lange Speicherung der Daten „erforderlich“ ist. Das bedeutet, dass in der Regel mit Ablauf dieser Fristen, die betroffenen Daten unverzüglich zu löschen sind, so der HamBfDI in seiner Mitteilung. Um die Löschfristen einzuhalten, müssten Verantwortliche zum Jahresbeginn den Löschprozess starten. Eine vollständige Löschung der Daten sei zu diesem Zeitpunkt allerdings noch nicht erforderlich, da dies häufig mehrere Wochen in Anspruch nehme. Laut HamBfDI sollte aber „bis zum Frühlingsbeginn […] die jährliche Löschung abgeschlossen sein“.

Was ändert sich ab diesem Jahr?

Mit dem Vierten Bürokratieentlastungsgesetz hat der Gesetzgeber einige Aufbewahrungsfristen der AO und des HGB für bestimmte Dokumente verkürzt. Die ersten kürzeren Fristen enden 2025. Besonders relevant sei die Reduzierung der Speicherfrist für Buchungsbelege von zehn auf acht Jahre. Vorschriften über Handelsbücher und Jahresabschlüsse blieben hingegen unverändert bei zehn Jahren.

Wann muss ich personenbezogene Daten löschen, wenn es keine Fristen gibt?

Für personenbezogene Daten, die keiner gesetzlichen Aufbewahrungsfrist unterliegen, gilt der Grundsatz der DSGVO. Sind die Daten für ihren Zweck nicht mehr erforderlich, müssen sie gelöscht werden, so das Prinzip der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Einen strengen Leitfaden, wann dies der Fall ist, gibt es nicht. Zur Bestimmung der Löschfristen kommt es insbesondere auf die Art der Daten, den Zweck ihrer Erhebung und die konkrete Geschäftstätigkeit des Verantwortlichen an. Einen ersten Anhaltspunkt würden Hilfestellungen der jeweiligen Branchenverbände geben.

Entwicklung eines Löschkonzepts

Unternehmen sollten deshalb ein strukturiertes Löschkonzept entwickeln. Bei professionellen Datenverarbeitern gibt es hierfür teilweise eine automatisierte Routine. Wo eine solche fehlt oder nicht geeignet ist, ist diese von den Unternehmen selbst zu erstellen und umzusetzen.

Dafür müssen sich Verantwortliche zunächst überlegen, wie lange verschiedene Datenarten „typischerweise Verwendung finden“, so der HamBfDI. Als Orientierung würden hierbei auch die zivilrechtlichen Verjährungsfristen dienen. Im Anschluss müsse das Löschkonzept Bestimmungen enthalten, wie lange welche Datenart aufbewahrt werden dürfen und wie eine Löschung dokumentiert wird. Relevant sei insbesondere eine ordentliche Ausarbeitung des Konzepts und eine gute Begründung der Fristen. Im Anschluss sei dieses auch pflichtbewusst umzusetzen. Solange die Fristen nicht exzessiv seien, genüge dies. Insofern seien laut HamBfDI, Thomas Fuchs, „stimmige Löschkonzepte […] Ausdruck einer guten Daten-Compliance im Unternehmen – und eine Rechtspflicht“.

Fazit

Die konsequente Umsetzung von Löschpflichten ist für Unternehmen essenziell, um Datenschutzverstöße und Bußgelder zu vermeiden. Mit den neuen gesetzlichen Aufbewahrungsfristen steigt der Anpassungsbedarf in diesem Jahr. Unternehmen sollten sicherstellen, dass ihre internen Löschkonzepte aktuell sind und auch den sonstigen gesetzlichen Anforderungen entsprechen. Aufgrund der Komplexität der Ausarbeitung eines solchen Konzepts empfiehlt es sich einen Externer Datenschutzbeauftragter zu beauftragen.

Kategorien: Aufbewahrungsfristen · Datenschutz-Basics · DSGVO · Löschung