Deutschland im Datenchaos – wie sind die Aufbewahrungspflichten geregelt?
Aufbewahrungspflichten – was hat es damit auf sich? Jedes Unternehmen verarbeitet Unmengen an personenbezogenen Daten. Für die Verarbeitung und Speicherung dieser Datenmengen bedarf es einer rechtlichen Grundlage. Sollte es keine Rechtsgrundlage geben, sind Unternehmen grundsätzlich zur Löschung der Daten verpflichtet. Den Löschungsfristen stehen auf der anderen Seite die gesetzlichen Aufbewahrungsfristen gegenüber. Diese beiden Ansprüche im Einzelfall in Ausgleich zu bringen und ihnen gerecht zu werden ist eine zentrale Aufgabe in den Unternehmen.
Wie lange dürfen personenbezogene Daten aufbewahrt werden?
Grundsätzlich gilt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie sie benötigt werden. Die DSGVO spezifiziert die Speicherdauer und soll auf das unbedingt erforderliche Mindestmaß beschränkt werden soll, Verantwortlichen müssen sicherstellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden.
Auf welcher Rechtsgrundlage basieren die Aufbewahrungsfristen?
Eine Rechtsgrundlage ist die Abgabenordnung (AO), eine weitere das Handelsgesetzbuch (HGB) und darüber hinaus gibt es weitere spezifische Gesetze, die greifen. Besonders in datenschutz- aber auch in steuer- und handelsrechtlichen Sachverhalten spielen die Aufbewahrungsfristen eine wichtige Rolle.
Welche Aufbewahrungsfristen gibt es?
Abhängig von den Vorschriften und der Dokumentenarten sind die Aufbewahrungsfristen ganz unterschiedlich angesetzt. Generell gilt für alle buchungsrelevanten Unterlagen eine Aufbewahrungsfrist von 10 Jahren. Für alle weiteren Geschäftsdokumente gilt eine Aufbewahrungsfrist von 6 Jahren. Darüber hinaus gibt es weitere Vorgaben für konkrete Fachgebiete sowie Anwendungsbereiche. Die Aufbewahrungsdauer kann von wenigen Monaten bis hin zu über 30 Jahren reichen.
der eco COMPLIANCE Couch über die Aufbewahrungspflichten – und fristen und was es zu beachten gibt.
Wie müssen die Daten aufbewahrt werden?
Prinzipiell gibt es nur für wenige Fälle, für die eine bestimmte Form der Aufbewahrung vorgeschrieben ist. Beispielsweise müssen Jahresabschlüsse stets im Original aufbewahrt werden.
Liegen keine besonderen Vorschriften zu Aufbewahrung vor, kann diese sowohl in Papierform als auch in elektronischer Form erfolgen. Bei der elektronischen Aufbewahrung ist zu beachten, dass dieses System eine Möglichkeit bietet mit der Datensätze systematisch im Archiv gelöscht werden können. Für die Fristen für die Löschung von Daten sollten den Verantwortlichen im besten Fall ein Löschungskonzept vorliegen. So ist eine regelmäßige Überprüfung gewährleistet und es liegt eine Dokumentation zur Einhaltung des Datenschutzrechts vor. Die Beauftragung von Dritten z. B. Steuerberatung oder eine Auslagerung an die Software entbindet nicht von der eigenen Verantwortlichkeit; das Unternehmen bleibt stets in der Pflicht.
Wie wird die Einhaltung der Aufbewahrungspflichten und -fristen kontrolliert?
Im Grunde gibt es kein eigens für diesen Bereich eingerichtetes Kontrollsystem durch Behörden. Allerdings spielen die Aufbewahrungsfristen eine sehr relevante Rolle in vielerlei Prüfungsverfahren z. B. bei Steuerprüfung durch das Finanzamt. Auf Grundlage der Rechenschaftspflicht nach DSGVO obliegt es den Verantwortlichen, die Einhaltung zur Aufbewahrung und Löschung von Daten jederzeit nachweisen zu können.
Zu beachten ist, dass Betroffene jederzeit einen Anspruch auf Auskunftserteilung nach DSGVO haben, z. B. wenn Kunden wissen möchten, welche Daten das Unternehmen zu ihnen gespeichert hat. Sollte sich z. B. herausstellen, dass Daten von Betroffenen gespeichert sind, die längst gelöscht sein müssten, besteht – unabhängig von dem Anspruch auf Löschung der Daten – die Beschwerdemöglichkeit bei der zuständigen Aufsichtsbehörde.
Jedoch besteht für Betroffene kein Anspruch auf Löschung ihrer Daten so lange gesetzliche Aufbewahrungsfristen dem entgegenstehen. Die Löschung der Daten kann verweigert werden, wenn die Daten zur Erfüllung einer Rechtspflicht oder Geltendmachung eines Anspruchs verarbeitet oder aufbewahrt werden. Insofern besteht weiterhin ein „Zweck“, der nach der DSGVO erforderlich ist, um die Löschung der Daten berechtigterweise zu verweigern. In dem Moment, in dem die Daten „nur noch“ aufbewahrt werden, weil sie einer Aufbewahrungspflicht unterliegen, ändert sich jedoch der Zweck ihrer Aufbewahrung. Damit ändert sich auch der Kreis der Personen, die darin Einsicht und Zugriff erhalten sollten. Dabei ist zu beachten, dass der pauschale Verweis auf eventuell bestehende Aufbewahrungspflichten bei Verweigerung der Löschung nicht ausreichend ist. Vielmehr sollte grundsätzlich nachgewiesen werden, welche konkrete Aufbewahrungspflicht erfüllt wird.
Ihnen hat der Beitrag gefallen? Dann teilen Sie ihn gerne in Ihren Netzwerken. Vielen Dank für Ihre Unterstützung.
Disclaimer: Die auf dieser Website enthaltenen Beiträge wurden sorgfältig ausgearbeitet und dienen lediglich allgemeinen Informationszwecken. Sie ersetzen keinesfalls individuelle Rechtsberatung und stellen keine verbindliche Rechtsauskunft dar.
