Grundsätze der Datenvernichtung und Aufbewahrung
Aus Datenschutzsicht, ist die Fragen nicht wie lange müssen Unterlagen aufbewahrt werden, sondern wie lange darf ich Unterlagen aufbewahren. Personenbezogen Daten dürfen gem. Art. 5 Abs. 1 lit. b DS-GVO nur für festgelegte, eindeutige und legitime Zwecke verarbeitet und somit gespeichert bzw. aufbewahrt werden. Fällt die Zweckbindung weg, dürfen solche Daten nicht verarbeitet werden. Es entsteht somit ein direkter Löschzwang.
Dem Löschzwang gegenüber stehen gesetzliche Aufbewahrungsfristen. Dies sind z.B. in der Abgabenordnung (AO), dem Handelstgesetzbuch (HGB) und anderen Gesetzen und Verordnungen vorgegen. U.a. sind auch Vorgaben in §76 BDSG zu automatisierten Verarbeitungssystem aufgeführt. Die Aufbewahrungsfristen bilden eine neue legitime Zweckbindung. Somit dürfen die ursprünglich verarbeiteten personenbezogen Daten weiterverarbeitet (explizit gespeichert bzw. aufbewahrt) werden, um diese nach Ablauf der Frist entsprechend zu vernichten.
Die Datenvernichtung richtet sich nach dem Schutzbedarf der zu vernichtenden Daten. Dabei ist es generell unabhängig, ob diese in elektronischer oder in nicht elektronisch Form, analog, papierhaft oder digital vorliegen. Sind Daten physisch greifbar, haben sich entsprechende Zerkleinerungsstufe an der DIN 66399 zu orientieren. Bei digitalen Daten ist insbesondere darauf zu achten, dass diese irreversibel gelöscht werden.
Wichtig: werden Daten durch einen Dritten vernichtet, handelt es sich dabei um eine Auftragsverarbeitung. Diese muss gem. Art. 28 DS-GVO mit einem schriftlichen Auftragsverarbeitungs-Vertrag (AVV) erfolgen und ist gem. Art. 30 DS-GVO dokumentationspflichtig.
Übersicht von Aufbewahrungsfristen
Trotz sorgfältiger Recherche können wir für die Richtigkeit der Angaben keine Gewähr übernehmen.
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
Z