Löschfristen


1. Pflicht zur Datenlöschung (Grundsatz)

Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet werden, wie sie für
den jeweils definierten Zweck benötigt werden. Wenn der Zweck nicht (mehr) besteht,
müssen sie gelöscht werden, sofern dieser Löschung keine gesetzlichen
Aufbewahrungsfristen entgegenstehen. Eine unbegrenzte Aufbewahrung ist nicht zulässig.
Im Übrigen gilt:
▪ Für alle Kategorien von personenbezogenen Daten sind Aufbewahrungsfristen von
vorneherein von uns festzulegen (gem. Art. 30 Abs. 1 Buchst. f DSGVO).
▪ Wenn ein Gesetz eine Aufbewahrungsfrist definiert, darf erst nach deren Ablauf gelöscht
werden.

2. Löschfristen in Abhängigkeit von eigenen Zwecken und gesetzlichen Vorschriften

Wir löschen personenbezogene Daten, wenn wir sie für unsere eigenen Zwecke nicht mehr
benötigen und keine gesetzlichen Vorgaben entgegenstehen (vgl. unten Nr. 7).
Unsere konkreten Löschfristen:

VorhaltefristLöschfrist
Personaldaten2 Jahre1 Jahr
Finanzbuchaltung6 Jahre4 Jahre
Steuerdaten10 Jahre1 Jahr
Kommunikationsdaten2 Jahre1 Jahr
Social Media1 Jahr1 Jahr

3. Übergangsfrist zur endgültigen Löschung

Nach Ablauf der Löschfrist bis zur Durchführung der Löschung dürfen nicht mehr als 6
Monate vergehen (Beispiele: Wirtschaftsprüfer sind am Jahresanfang da; in der Akten-
vernichtung ist gerade in den ersten Monaten eines neuen Jahres viel zu tun – externe
Kunden haben Vorrang).

4. Durchführung der Löschung

Daten werden, je nach Datenträger gem. DIN 66399 folgendermaßen gelöscht bzw.
vernichtet:
▪ Papier: z.B. über Schredder oder die Entsorgungstonne eines Dienstleisters,
▪ digitale Datenträger (z.B. Festplatte, USB-Stick, CD-ROM): ausschließlich über Formatierung (Software) und Zerstörung (Hardware) sowie anschliesend fachgerechter Entsorgung und Recycling von Elektroschrott

5. Protokollierung

Jede ordnungsgemäße Vernichtung wird dokumentiert. Daraus muss hervorgehen, wer was
wann gelöscht/vernichtet hat. Diese Protokolle werden für 3 Jahre, ggf. für unterschiedliche Datenarten unterschiedliche Zeitpunkte bestimmen aufbewahrt.

6. Verantwortlichkeit

Verantwortlich für das Löschen (d.h. für die Definition der Löschfristen, deren Einhaltung und
tatsächlicher Durchführung) ist der jeweilige Dateneigentümer.

7. Gesetzliche Aufbewahrungsfristen

Die Abteilungen sind über die in ihrem Bereich einschlägigen gesetzlichen Aufbewahrungs-
fristen informiert. Sie definieren auf Basis dieser Informationen angemessene Löschfristen für
die von ihnen durchgeführten Verarbeitungstätigkeiten und dokumentieren sie in der
Übersicht der Verarbeitungstätigkeiten.

8. Recht auf Löschung durch Betroffenen

Personen, deren Daten von uns gespeichert werden, haben unter Umständen ein Recht auf
Löschung nach Art. 17 DSGVO. Insbesondere gilt:

▪ Verantwortung: Verantwortlich für die Beantwortung des Löschungsbegehrens und
dessen Durchführung ist der jeweilige Dateneigentümer (s.o.).

▪ Frist: Stellt ein Betroffener einen Antrag auf Löschung, muss die Löschung unverzüglich
erfolgen. Unverzüglich heißt in diesem Kontext, dass wir Zeit haben, die Sachlage zu
prüfen. Jedoch müssen wir die Prüfung ohne schuldhaftes Zögern durchführen. Unsere
Obergrenze für die Klärung solcher Sachverhalte liegt bei zwei Wochen. Das Ergebnis der
Löschung muss dem Antragsteller zudem spätestens innerhalb eines Monats mitgeteilt
werden. (Ausnahmen von dieser Vorgehensweise sollten mit unserem
Datenschutzbeauftragten abgestimmt werden).

▪ Löschung: Wenn der Betroffene die Löschung seiner Daten wünscht, muss dem
nachgekommen werden, wenn einer dieser Fälle vorliegt:
o seine Daten sind mittlerweile nicht mehr notwendig (weil die Zwecke entfallen sind
und auch keine gesetzlichen Aufbewahrungsfristen bestehen)
o seine Daten wurden unrechtmäßig verarbeitet
o der Betroffene hat seine Einwilligung widerrufen (sofern seine Einwilligung die
Rechtsgrundlage für die Verarbeitung war)
o der Betroffene hat Widerspruch eingelegt (sofern sich unsere Datenverarbeitung
auf die Rechtsgrundlage der „berechtigten Interessen“ stützt und der Fall durch
den Datenschutz-beauftragten geprüft wurde)
o der Betroffene hat Widerspruch gegen Direktwerbung eingelegt

▪ Keine Löschung: Eine Löschung ist ausnahmsweise nicht erforderlich, wenn die Daten
nicht in der IT gespeichert sind (z.B. Papierakten, Mikrofiche und die Löschung nur mit
unverhältnismäßig hohem Aufwand möglich wäre und das Löschungsinteresse als gering
anzusehen ist. Anstelle einer Löschung müssen die Daten dann als „eingeschränkt für die
Verarbeitung“ markiert werden, (§ 35 BDSG n.F.).

▪ Wenn Daten zuvor veröffentlicht wurden: In diesem Fall müssen darüber hinaus
angemessene Maßnahmen getroffen werden, um andere Datenverarbeiter über die
Löschung zu informieren (Art. 17 Abs. 2 DSGVO)

Stand 14.01.2022