Löschfristen und Nachweis der Löschung

Elektronischer Speicherplatz verursacht heutzutage nahezu keine Kosten mehr. Daher geht die Unternehmenspraxis zumeist den Weg, jegliche Daten einfach aufzubewahren. Das erleichtert, zukünftig Datenanalysen durchzuführen und den unterschiedlichen gesetzlichen Aufbewahrungspflichten nachzukommen. Für viele Daten ist das auch kein Problem und datenschutzrechtlich zulässig.

Personenbezogene Daten

Problematisch wird die Aufbewahrung von Daten, wenn diese identifizierbaren Personen zugeordnet werden können. Das Datenschutzrecht sieht bezüglich personenbezogener Daten vor, diese nur für vorher festgelegte und rechtskonforme Zwecke zu verarbeiten. Zur Verarbeitung gehört hierbei auch das Speichern von Dateien und Aufbewahren von Unterlagen. Entfällt die Rechtsgrundlage für die Aufbewahrung oder sind personenbezogene Daten nicht mehr erforderlich, um den Zweck zu erfüllen, für den sie ursprünglich gespeichert wurden, so müssen sie gelöscht werden.
Persönlich sollte dies für jedermann nachvollziehbar sein. Warum sollte eine Organisation von mir Daten verarbeiten dürfen, ohne dass dafür noch ein legitimer Grund besteht?

Anonymisierung

Wichtig ist, dass nur personenbezogene Daten zwingend gelöscht werden müssen. Daten ohne Personenbezug oder anonymisierte Daten betrifft diese Löschpflicht nicht. Daten sind nicht automatisch anonym, wenn kein Name mehr damit verknüpft ist. Vielmehr darf kein Rückschluss auf die Person, die die Daten betreffen, mehr möglich sein. Ein Rückschluss kann sich oftmals aus dem Kontext mehrerer Einzelinformationen ergeben.

Aufbewahrungsfristen

Alle Daten – auch personenbezogene – dürfen aufbewahrt werden, wenn es hierfür wichtige Gründe gibt. Diese Gründe können sich aus dem Zweck der Datenverarbeitung selbst oder aber auch aus vertraglichen und gesetzlichen Grundlagen ergeben. Aufgrund der Komplexität der gesetzlichen Löschfristen, ist die Erstellung eines Löschkonzepts ratsam. An diesem können sich Mitarbeiter des Unternehmens orientieren, wann welche Daten zu löschen und welche Dokumente zu vernichten sind. Weiter unten im Beitrag finden Sie eine Auflistung verschiedener Aufbewahrungsfristen als Ankerpunkt.

Dokumentation der Löschung

Eine Löschung von Daten muss im Rahmen der Datenschutz-Rechenschaftspflicht dokumentiert werden. Grundsätzlich ist dem Verantwortlichen selbst überlassen, wie dies geschieht. Wenn eine Löschung nicht automatisch in einem System festgehalten wird, kann sie beispielsweise bei der jeweiligen Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

Allgemeine Aufbewahrungsfristen

Dokumententyp/DatenartLöschfrist
Angebote6 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Anhang zum Jahresabschluss10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Arbeitsanweisungen3 Jahre nach Außerkraftsetzung und Kalenderjahrende (einfache Verjährungsfrist nach §§ 195 ff. BGB)
Arbeitssicherheit – Einträge im Verbandbuch5 Jahre nach § 24 Abs. 6 DGUV Vorschrift 1
Arbeitsunfähigkeitsbescheinigungen10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Arbeitszeiterfassung2 Jahre nach § 16 Abs. 2 ArbZG sowie MiLoG
Ausgangsrechnungen10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Arbeitsverträge10 Jahre nach Austritt des Mitarbeiters (bei möglichen Ansprüchen auf eine betriebliche Altersvorsorge, sollten Arbeitsverträge und Beendigungsnachweise bis zum Tod des Mitarbeiters und der Hinterbliebenen aufbewahrt werden, § 4a BetrAVG)
Bankbelege10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Bankbürgschaften nach Vertragsende10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Beitragsabrechnungen zu Sozialversicherungsträgern, Aufzeichnungspflicht nach § 28f SGB IV10 Jahre nach § 147 AO / § 257 HGB – Unterlagen sind aus steuerlichen Gründen länger aufzubewahren (als § 28f SGB IV)
Belege, soweit Buchungsfunktion10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
BesucherdatenJe nach Zweck der Erfassung bis zu 3 Jahre nach Kalenderjahrende nach §§ 195 ff BGB
Betriebliche Gesundheitsvorsorge – Einladung und Annahme/Ablehnung betriebsärztlicher UntersuchungenLöschung nach 3 Jahren nach Austritt des Mitarbeiters nach §§ 195 ff BGB
Betriebliches EingliederungsmanagementNach Abschluss des BEM-Verfahrens die BEM-Akte nach 3 Jahren löschen. Vorher Maßnahmenblatt, Einladungsschreiben und Dokumente zum Datenschutz in die Personalakte verbringen. Angaben zu Fehlzeiten und Krankheitsursachen aus der BEM-Akte dürfen nicht in die Personalakte.
Bewerberdaten nach Entscheidung zur Stelle6 Monate (2 Monate Klagefrist nach § 15 (4) AGG + 3 Monate Frist aus Arbeitsgerichtsgesetz (§ 61b ArbGG)) + „Postlaufzeit“ )
Bewirtungsunterlagen (Formblatt, wenn Buchungsbelege oder steuerlich erforderlich)10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Darlehensunterlagen als Buchungsbeleg10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Disziplinarmaßnahmen3 Jahre nach Austritt des Mitarbeiter
Eingangsrechnungen einschließlich Berichtigungsbelege dazu10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Ein- und Ausfuhrbelege10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss (z.B. zum Nachweis einer steuerfreien Lieferung oder Einfuhr)
Einwilligung zu NewsletterEinwilligung bleibt so lange bestehen, wie der Newsletter versandt wird. Löschung erst nach Widerruf nach 3 Jahren gem. §§ 195 ff. BGB; Datum einer Einwilligung sollte stets verfügbar bleiben
E-MailsE-Mails der Geschäftsführung und Mitarbeitern 10 Jahre gem. § 147 AO; E-Mails von Auszubildenden oder Praktikanten 3 Jahre nach allgemeinen Verjährungsvorschriften § 195 ff. BGB.
Fahrtkostenerstattungsunterlagen10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Führerscheinprüfung bei Nutzung Fuhrpark Bei halbjähriger Prüfung Protokoll bis zur übernächsten Prüfung aufbewahren; Löschung letzter Prüfung nach Ausscheiden des Mitarbeiters nach drei Jahren und Kalenderjahrende (einfache Verjährungsfrist nach §§ 195 ff. BGB)
Führungszeugnisse10 Jahre nach Austritt des Mitarbeiters
Gehaltsabrechnungen einschließlich Sonderzahlungen10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Geschenknachweise10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Gewinn- und Verlustrechnung10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Handelsbriefe (außer Rechnungen oder Gutschriften)6 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Handelsbücher10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Inventare (§ 240 HGB)10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Interessentendaten, wenn kein Kontakt mehr besteht2 Jahre, da dann spätestens Zweck entfallen ist
Jahresabschluss mit Erläuterungen10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Kassenberichte10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Kassenbücher/-blätter10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Konzernabschluss (§ 290 HGB)10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Kontoauszüge10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Konzernlagebericht (§§ 290, 350 HGB)10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Kündigungsschreiben, Aufhebungsverträge10 Jahre nach Austritt des Mitarbeiters (bei Anspruch auf eine betriebeliche Altersvorsorge darf erst nach Tod des Mitarbeiters und der Hinterbliebenen geöscht werden, § 4a BetrAVG)
Leistungsbeurteilungen3 Jahre nach Austritt des Mitarbeiters
Lohn- und Gehaltsabrechungen10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Mahnbescheide und Mahnungen6 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Mietunterlagen (nach Vertragsende), soweit Buchungsbelege10 nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Nutzungsprotokollierung IT/Internet/WLAN im Rahmen der Datensicherheitsanforderungen nach Art. 32 DSGVO3-6 Monate (in der Regel dann Zweck entfallen)
Patientendaten in Arztpraxen, nach Abschluss der Behandlungen10 Jahre nach MBO-Ä, längere Aufbewahrung nach erweiterter Verjährungsfrist nach § 199 Abs. 3 BGB für 30 Jahre möglich
Personalakten, bis zum Austritt des Mitarbeiters10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Personalbögen (auch bei Änderungen der Angaben)Löschung nach 10 Jahren nach Austritt des Mitarbeiters
Reisekostenabrechnung10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
SanktionslistenabgleichNach Beendigung der Geschäftsbeziehung 10 Jahre nach § 147 AO, da ggf. steuerrelevant (z.B. für Exportkontrolle)
Schulungsnachweise, Weiterbildungsnachweise von Mitarbeitern3 Jahre nach Austritt und Kalenderjahrende (einfache Verjährungsfrist nach §§ 195 ff. BGB)
Steuererklärungen und Steuerbescheide10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Telefonkostennachweise, wenn Buchungsbelege10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
TelefonverbindungsdatenLöschen nach 6 Monaten; Belege nach 10 Jahren löschen nach § 147 AO
Testdaten bei SoftwareentwicklungTestdaten werden nach Abschluss der Testphase gelöscht, ggf. Vorhaltung nach individueller Vereinbarung mit Auftraggeber
Überstundenlisten, wenn Lohnbelege10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Urlaubsdatei10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss (Urlaubsrückstellungen sind relevant für den Jahresabschluss)
Vermögenswirksame Leistungen, wenn Buchungsbelege10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Versorgungsakten (z.B. bAV)Vernichtung nach Ablauf des Jahres, in dem die letzte Versorgungszahlung geleistet worden ist. Besteht die Möglichkeit eines Wiederauflebens des Anspruchs, sind die Daten 30 Jahre aufzubewahren.
Verträge, sonstige, soweit handels- und steuerrechtlich von Bedeutung10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss
Zollbelege10 Jahre nach § 147 AO / § 257 HGB nach Kalenderjahrende und Jahresabschluss (z.B. zum Nachweis einer steuerfreien Lieferung oder Einfuhr)
Zugriffsberechtigungen EDVanalog der Aufbewahrungsfrist von Logfiles in der Organisation, 6 Monate nach Austritt des Mitarbeiters löschen
Mittwoch, der 6. Januar 2021