Pünktlich zum Jahresbeginn stehen viele Unternehmer wieder vor der Frage, welche Unterlagen sie dem Reißwolf übergeben und welche Dateien sie unwiderruflich löschen können. Gleichzeitig herrscht häufig noch immer Unsicherheit, welche Unterlagen oder Dateien nach DSGVO gar nicht erst lange gespeichert werden dürfen oder unter welchen Umständen solche Daten eben doch mehrere Jahre aufbewahrt werden müssen. Denn wer Unterlagen oder Daten zu früh löscht, verstößt gegen Aufbewahrungspflichten, was schlimmstenfalls mit hohen Geldstrafen oder Freiheitsstrafen geahndet wird.
Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler und Entwickler von Office Manager DMS erklärt: »Grundsätzlich gilt, dass Geschäfts- oder Buchhaltungsunterlagen, egal ob elektronisch oder auf Papier, über einen fest definierten Zeitraum aufbewahrt werden müssen. Bei personenbezogenen Daten ist das etwas anders. Wenn kein Speichergrund vorliegt, sind Unternehmen nach Artikel 17 der Datenschutzgrundverordnung zur Löschung personenbezogener Daten verpflichtet. Das trifft aber nicht für Fälle zu, in denen personenbezogene Daten wegen anderer gesetzlicher Pflichten, beispielsweise nach Sozialversicherungs- und Arbeitsrecht, Steuer- und Handelsrecht oder laut Gewerbeordnung, für einen längeren Zeitraum archiviert werden müssen.« So fordert das Steuerrecht, dass Rechnungen, Buchungsbelege, Jahresabschlüsse, Eröffnungsbilanzen, Handels- und Geschäftsbücher, Aufzeichnungen, Arbeitsanweisungen und Organisationsunterlagen 10 Jahre aufbewahrt werden müssen. Das gilt dann auch für Dokumente, die personenbezogene Daten enthalten.
Damit muss die Speicherung von personenbezogenen Daten über einen längeren Zeitraum erfolgen, wenn ein berechtigtes Interesse dafür vorliegt. Das ist der Fall, wenn diese Daten zur Erfüllung bestimmter rechtlichen Anforderungen notwendig sind. »Allerdings dürfen nicht einfach sämtliche vorhandenen Daten vorsorglich für zehn Jahre aufbewahrt und sich dabei auf gesetzliche Aufbewahrungspflichten berufen werden. Für die Speicherung eines Datensatzes muss es einen definierten Zweck oder eine rechtliche Vorgabe geben, die die Archivierung rechtfertigt«, so Harald Krekeler. Er erläutert anhand eines Beispiels: »Ein Bewerber, der sich im Sommer dieses Jahres beworben, sich aber für ein anderes Unternehmen entschieden hat, kann die Löschung sämtlicher Daten rechtmäßig verlangen, da diese keinen Zweck mehr erfüllen. Wurden diesem Bewerber für seine Fahrt zum Bewerbungsgespräch jedoch Fahrtkosten erstattet, existiert darüber ein Beleg. Dieser muss aus buchhalterischen Gründen zehn Jahre aufbewahrt werden und darf erst ab Januar 2032 vernichtet werden.«
Das Softwarebüro Krekeler hat mit dem »Office Manager« eine DMS-Lösung für mittelständische Unternehmen und Freiberufler am Markt, die Anwender bei der Erfüllung der rechtlichen Vorschriften unterstützt, die sich sowohl aus der DSGVO als auch aus Aufbewahrungsvorschriften von Unterlagen für das Finanzamt ergeben. So ist beispielsweise die Definition von Aufbewahrungsfristen und das Löschen von Dokumenten nach Ablauf der Aufbewahrungsfrist möglich, wobei das Löschdatum von einem Internet-Zeitserver bestätigt wird, um Manipulationen zu verhindern. »Die Herausforderung ist, dass sich die gesetzlichen Aufbewahrungspflichten und der Schutz von personenbezogenen Daten gegenüberstehen, aber trotzdem unter einen Hut gebracht werden müssen. Das schafft Office Manager DMS mit einem integrierten Löschkonzept, nach welchem Daten nach Ablauf dieser Pflichten gelöscht werden können«, sagt Harald Krekeler.
Diese Unterlagen und Daten dürfen ab Januar 2022 gelöscht werden
Ab 1. Januar 2022 dürfen Schriftwechsel und Geschäftsbriefe, Versicherungspolicen, Angebote und Auftragsbestätigungen, Kassenzettel und Preislisten sowie Mahnungen vernichtet werden, die im Jahr 2015 erstellt wurden. Aus dem Jahr 2011 stammende Unterlagen wie Ausgangs- und Eingangsrechnungen, Quittungen, Kontoauszüge, Bilanzunterlagen, Kassenberichte, Kredit- und Steuerunterlagen sowie Lieferscheine dürfen nun ebenfalls dem Reißwolf übergeben oder unwiderruflich gelöscht werden.
»Bei der Berechnung der Aufbewahrungsfristen sollten Unternehmer immer bedenken, dass die Frist stets mit dem Schluss des Kalenderjahres, in dem in einem Dokument die letzte Eintragung gemacht worden ist oder Handels- und Geschäftsbriefe abgesandt oder empfangen wurden, beginnt«, macht Harald Krekeler aufmerksam und verdeutlicht: »Wenn die letzte Buchung für 2009 erst im Jahr 2011 gemacht und der Jahresabschluss erstellt wurde, können diese Unterlagen aus 2009 erst ab 1. Januar 2022 vernichtet werden. Für Rechnungen, die im Jahr 2021 erstellt wurden, beginnt die Aufbewahrungsfrist erst am 1. Januar 2022 und dauert bis 31. Dezember 2031.«
Gesetzeskonformer Umgang mit personenbezogenen Daten – Unternehmen fällt die DSGVO-Umsetzung weiterhin schwer
Auch nach Jahren stellt die Datenschutzgrundverordnung (DSGVO) viele Unternehmen noch vor große Herausforderungen – das zeigt die schnell wachsende Zahl der gemeldeten Verstöße. Häufig fehlt intern Wissen zum richtigen Umgang mit personenbezogenen Daten und Verständnis für die rechtlichen Regelungen. Mit dem Wegfall des »Privacy Shield«-Abkommens und dem Home-Office-Boom sind überdies neue Fallstricke hinzugekommen.
Vor inzwischen fünf Jahren trat die DSGVO in Kraft, seit 25. Mai 2018 müssen Unternehmen die europäischen Datenschutzregelungen verbindlich umsetzen. Von Anfang an haderten viele von ihnen mit den Vorgaben und taten sich mit der Einführung der notwendigen Maßnahmen zum Schutz personenbezogener Daten schwer. Mit der Annullierung des »Privacy Shield«-Abkommens zwischen der EU und den USA, das viele rechtliche Fragezeichen bei der Nutzung von Cloud-Diensten hinterlässt, und der Corona-Pandemie, durch die viele Datenverarbeitungen ins Home Office verlagert wurden, ist die Liste der Herausforderungen im vergangenen Jahr noch länger geworden.
Ein sichtbares Indiz für die Schwierigkeiten, die Unternehmen mit der DSGVO-Umsetzung haben, sind die mehr als 26.000 Datenschutzverletzungen, die den deutschen Behörden 2020 gemeldet wurden – deutlich mehr als in den gut anderthalb Jahren zuvor zusammengenommen [1]. Auch die Zahl und die Höhe der verhängten Bußgelder schnellte nach oben, hohe Millionenbeträge sind keine Seltenheit mehr. Nicht immer geht es bei den DSGVO-Verstößen um die wissentliche Missachtung des Datenschutzes. Oft haben Unternehmen aus Unwissenheit oder schlicht einer unternehmerischen Laissez-faire-Haltung heraus keine ausreichenden Vorkehrungen getroffen, um personenbezogene Daten DSGVO-konform zu speichern, zu verarbeiten und zu löschen.
Bereits im Vorfeld der DSGVO-Scharfstellung vor drei Jahren hatten Unternehmen und Wirtschaftsverbände rechtliche Unklarheiten und fehlende Umsetzungshilfen beklagt. Seitdem ist die Situation durch Änderungen seitens des Gesetzgebers und eine europaweit uneinheitliche Auslegung der Regeln eher noch verwirrender geworden, auch wenn die EU-Kommission im Zuge der letztjährigen DSGVO-Evaluierung mehr Unterstützung insbesondere für kleine und mittlere Unternehmen zugesichert hat. Schon die Meldepflicht bei Datenschutzverletzungen überfordert diese oft, weil sie nicht richtig einschätzen können, ob eine Meldepflicht begründet ist. Bei solchen Entscheidungen sollten sie sich daher professionell beraten lassen, um Strafen zu vermeiden – zumal Vorfälle wie Hacker-Angriffe, verlorene Notebooks oder versehentlich veröffentlichte Daten in der Home-Office-Welt häufiger vorkommen und umgehend gemeldet werden müssen.
Interessenskonflikte für den Datenschutzbeauftragten. In kleinen und mittelständischen Unternehmen treten regelmäßig Interessenskonflikte auf, weil die ernannten Datenschutzbeauftragten ihren bisherigen Aufgaben weiter nachgehen. Bestellen Unternehmen beispielsweise den IT-Leiter zum Datenschutzbeauftragten, ist dieser sowohl für die Überwachung aller technischen und organisatorischen Maßnahmen verantwortlich als auch für deren Umsetzung durch die IT-Abteilung – er müsste sich selbst kontrollieren. Noch widersprüchlicher wird es, wenn Mitarbeiter aus Bereichen wie Marketing oder Vertrieb, die von einer umfassenden Datennutzung profitieren, die Position des Datenschutzbeauftragten übernehmen sollen. Zudem fehlen solchen Mitarbeitern in der Regel detaillierte Kenntnisse im Bereichen Daten-Compliance, also zur praktikablen Datenklassifizierung und der sauberen Trennung von Geschäfts- und personenbezogenen Daten, zur Festlegung der Rechtsgrundlage für die Datenverarbeitung sowie die datenschutzkonforme Cloud-Nutzung und die korrekte Vertragsgestaltung.
Nahezu jedes Unternehmen nutzt heute SaaS-Anwendungen, Cloud-Computing oder ein ex-ternes Rechenzentrum, durch die es zu einer Auftragsdatenverarbeitung kommt, sprich: die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Dienstleister. Für die Zusammenarbeit mit diesem müssen Unternehmen besondere Maßnahmen treffen und einen speziellen Vertrag aufsetzen, dessen Inhalt weitgehend vorgegeben ist. Fehlt er, haften das Unternehmen und der Dienstleister gemeinsam bei DSGVO-Verstößen.
Hoher Aufwand durch neue Prozesse. Eine große Herausforderung ist für viele Unternehmen die Entwicklung und Implementierung der technischen und organisatorischen Maßnahmen (TOMs) zum Schutz personenbezogener Daten. Zu diesen zählen einerseits technische Lösungen wie Firewalls, verschlüsselte Datenübertragungen, sichere Authentifizierung und eine Protokollierung von Datenzugriffen, aber auch die Berücksichtigung von »Privacy by Design« und »Privacy by Default« bei der Einführung neuer Anwendungen und Systeme. Andererseits umfassen die »TOMs« zahlreiche organisatorische Aspekte wie Mitarbeiterschulungen – auch speziell zum Umgang mit Daten im Home Office – sowie neue Prozesse, etwa für die Dokumentation aller Maßnahmen. Überdies müssen Unternehmen zum Beispiel für die Verarbeitung von sensiblen Daten in großem Umfang eine Datenschutz-Folgenabschätzung (DSFA) vornehmen, in der sie die Risiken für die Rechte und Freiheiten von Personen durch die Verarbeitung ihrer Daten beschreiben und bewerten sowie erklären, wie sie diese Risiken behandeln beziehungsweise in der Regel reduzieren.
Auch die mit der DSGVO eingeführten Betroffenenrechte machen neue interne Abläufe notwendig. So hat jede Person ein Auskunftsrecht und darf bei Unternehmen erfragen, welche Daten von ihr zu welchen Verarbeitungszwecken gespeichert sind, wie lange die Speicherung geplant ist und mit welchen anderen Unternehmen die Daten geteilt werden. Unternehmen müssen diese Auskunft präzise und in verständlicher Form sowie in einem gängigen Format erteilen. Voraussetzungen für eine schnelle Antwort auf solche Anfragen sind ein gut strukturiertes Datenschutzkonzept, schlanke Prozesse für eine fristgerechte und korrekte Bearbeitung sowie Tools, die die Auskunft weitgehend automatisch erstellen – denn müssen Mitarbeiter die Daten manuell zusammensuchen, steigt der Aufwand schnell ins Unermessliche. Ein ähnlich strukturierter Ablauf sollte auch beim Recht auf Vergessenwerden zum Einsatz kommen, um Daten – unter Berücksichtigung der anwendbaren Aufbewahrungspflichten – schnell und sicher zu löschen, wenn eine Person ihre Einwilligung zur Verarbeitung zurückzieht.
Christoph Seidel,
Senior Manager, GRC European Practice
der Security Division von NTT Ltd.