Die Verarbeitung von Daten ist eine heikle Angelegenheit. Das gilt nicht zuletzt auch für die DSGVO-konforme Löschung von Daten. Aber welche Daten müssen aktuell gelöscht werden und wie müssen Unternehmen hier vorgehen? Ein Überblick.

Die Datenschutzgrundverordnung, kurz DSGVO, gilt seit 2018 in allen Staaten des Europäischen Wirtschaftsraums (EWR). Ihre Einführung war mit breiten Diskussionen und parlamentarischem Streit verbunden. Vor allem die großen US-IT-Konzerne fürchteten sich vor den neuen Datenschutzrichtlinien und ihre Lobbyisten liefen dagegen Sturm. Die große Katastrophe ist freilich ausgeblieben, dennoch gilt es für Unternehmen im Umgang mit Daten einiges zu beachten. Das betrifft vor allem auch die Löschung von Daten.

Wann Unternehmen Daten löschen müssen

Tatsächlich gibt die DSGVO zwar vor, welche Daten zu löschen sind, wann dies zu geschehen hat ist allerdings von vielen Faktoren abhängig und dementsprechend nicht exakt geregelt. Die DSGVO besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie dies zur Erfüllung des Zwecks, für den sie erhoben wurden, unbedingt notwendig ist. Dieser Grundsatz gilt nicht, wenn ein Verbraucher die Verwendung seiner Daten widerruft, Unternehmen Daten unrechtmäßig erheben oder die Verarbeitung der Daten gegen Gesetze der einzelnen Mitgliedsstatten des EWR verstößt. In diesen Fällen sind Daten bereits vor der Zweckerfüllung zu löschen.

Im Gegensatz dazu können Gesetze und Verordnungen einzelner Staaten auch längere Aufbewahrungsfristen erfordern. In Deutschland ergeben sich die genauen Fristen meist aus dem Steuer- und Handelsrecht. So sind etwa Rechnungen zehn Jahre lang aufzubewahren, für Kaufverträge aller Art beträgt die Frist sechs Jahre. Genaue Übersichten zu den gesetzlichen Aufbewahrungsfristen bieten etwa die Industrie- und Handelskammern in Deutschland.

Löschen ist nicht gleich löschen

Ergibt sich für Unternehmen die Situation, dass sie von ihnen erhobene Daten löschen müssen, stellt sich für sie die Frage nach dem wie. Auch in diesem Punkt lässt die DSGVO einigen Spielraum. Unternehmen können etwa den Datenträger, auf dem sich die entsprechenden Daten befinden, physisch vernichten, was allerdings nur bei externen Speichermedien praktikabel ist. Weitaus komplizierter ist die technische Löschung aus dem Betriebssystem unter Beachtung aller Sicherungskopien der Daten. Hierfür ist es für Unternehmen ratsam, ein eigenes Löschkonzept zu entwickeln. Eine weitere Möglichkeit besteht in der Anonymisierung von Daten, was allerdings ein hohes Maß an Sorgfalt erfordert. Anonymisierte Daten, die sich keiner Person mehr zuordnen lassen, gelten als gelöscht, lassen sich aber noch für statistische Zwecke verwenden.

Welche Daten 2022 zu löschen sind

Die Aufbewahrungsfrist für Rechnungs- und Buchungsdaten beginnt stets mit dem Schluss des Kalenderjahres ihrer letzten Ausführung. Konkret bedeutet das, dass ab Januar 2022 Rechnungsdokumente, also Ausgangs- und Eingangsrechnungen, Quittungen, Kontoauszüge, Bilanzunterlagen, Lieferscheine etc., aus dem Jahr 2011 zu löschen sind. Kaufunterlagen, etwa Angebote und Auftragsbestätigungen, Kassenzettel, Preislisten und Mahnungen, die personenbezogene Daten enthalten und aus dem Jahr 2015 stammen, sind ab jetzt ebenfalls zu vernichten.

Quelle Titelbild: Adobe Stock/ merklicht.de