Löschkonzept und Aufbewahrungsfristen

Sicheres Löschen und Vernichten von Daten

Sicheres Löschen und Vernichten von Daten

Der vertrauliche Umgang mit sensiblen Daten ist in vielen Unternehmen klar geregelt und wird entsprechend umgesetzt. Der DSGVO folgend, sind personenbezogene Daten nach bestimmten Vorgaben zu vernichten bzw. zu löschen, wenn sie nicht mehr benötigt werden. Doch Unternehmen sollten dies nicht nur bei personenbezogenen Daten in Erwägung ziehen. Zudem sind die gesetzlichen Aufbewahrungsfristen zu beachten.

Handelt es sich um nicht personenbezogene, sensible Daten liegt der Umgang mit diesen Daten im Ermessen des Unternehmens. Es wäre allerdings fahrlässig sich deshalb nicht weiter um diese Daten zu kümmern. Das Vorgehen sollte hier klar vom Schutzbedarf der Daten abhängen. Der Ausdruck einer Website ist sicher anders zu bewerten, als eine Geschäftsstrategie des Unternehmens. Besteht die Möglichkeit, schützenswerte unzureichend gelöschte Daten weiterzugeben, kann dies zu erheblichen Schäden führen. Bei personenbezogenen Daten sieht die DSGVO darüber hinaus empfindliche Bußgelder vor.

Was ist zu beachten?

Zunächst ist zu klären auf welchen Medien Daten abgelegt sein können. Hier gibt die DIN 66399 einen umfassenden Überblick:

  • Festplatten mit magnetischem Datenträger
  • Elektronische Datenträger (SSD-Festplatten, USB-Sticks, Flash-Speicher)
  • Optische Datenträger (CDs, DVDs, Blu-ray-Discs)
  • Magnetische Datenträger (ID-Karten mit Magnetstreifen)
  • Informationen in verkleinerter Form (Film, Folie)
  • Daten im physischen Original (z. B. Papier)

Der DSGVO folgend, sind personenbezogene Daten nach bestimmten Vorgaben zu vernichten bzw. zu löschen, wenn sie nicht mehr benötigt werden. Es ergeben sich daraus verschiedenen Klassen, die für die Vernichtung und Löschung innerbetrieblich behandelt werden müssen, sofern es von Bedeutung ist. Das Auslassen einer Klasse aus Gründen der Wirtschaftlichkeit, ist nach der DSGVO nicht gesetzeskonform bzw. ein unkalkulierbares Risiko.

Gesetzliche Aufbewahrungsfristen beachten

Generell ist jedoch stets sicherzustellen, dass die gesetzlichen Aufbewahrungsfristen eingehalten werden: Die Aufbewahrungsfristen für die Unternehmen richten sich vornehmlich nach zwei Rechtsgrundlagen, der des Steuerrechts und der des Handelsrechts. Die Abgabenordnung (AO) regelt die Aufbewahrungspflichten im Bereich des Steuerrechts. Analog dazu gibt es im Bereich des Handelsrechts im Handelsgesetzbuch (HGB) entsprechende Vorschriften für Kaufleute. Zu großen Teilen stimmen die steuer- und handelsrechtlichen Vorgaben überein, für die betrieblich geübte Praxis stehen jedoch insbesondere die steuerrechtlichen Vorschriften im Fokus. Man unterscheidet dabei zwischen Fristen von 6 und 10 Jahren; Abrechnungs- und Steuerunterlagen müssen beispielsweise die vollen 10 Jahre aufbewahrt werden. Besondere Wichtigkeit kommt dem Schreiben „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ des Bundesministeriums der Finanzen zu.

Aufbewahrungsfristen aus anderen Rechtsgebieten, wie aus dem Arbeitsrecht, dem Sozialversicherungsrecht oder dem Produkthaftungsgesetz können signifikant andere Zeiträume veranschlagen. Zum Beispiel kann die notwendige Aufbewahrungszeit bei medizinischen Daten 30 Jahre betragen.

Der sichere Weg zur Löschung bzw. Vernichtung sensibler Daten

Um nicht Gefahr zu laufen, gegen die DSGVO zu verstoßen oder um sicherzustellen, dass nicht versehentlich schützenswerte Daten das eigene Unternehmen verlassen, sollte unbedingt eine Vorgehensweise zum sicheren Löschen und Vernichten festgelegt und umgesetzt werden:

  • Zunächst sollte eine zentrale Anweisung für die Löschung und Vernichtung von Daten erstellt und umgesetzt werden, die festlegt, welche Daten und welche Betriebsmittel unter welchen Voraussetzungen gelöscht und entsorgt werden müssen.
  • Zur ordnungsgemäßen Entsorgung von schützenswerten Betriebsmitteln und Daten müssen abgesicherte und geeignete Entsorgungseinrichtungen auf dem Gelände des Unternehmens verfügbar sein.
  • Sollen benutzte Datenträger weitergegeben oder zu einem anderen Zweck eingesetzt werden, sind die darauf befindlichen Daten sicher zu löschen.
  • Zur Löschung oder Vernichtung von Datenträgern und verschiedener Datenträgerarten müssen immer geeignete Geräte und Werkzeuge vorhanden sein, mit denen die Mitarbeiter die gespeicherten Daten sicher löschen und vernichten können (z. B. Datenlöschungtools oder Aktenvernichter).
  • Bei einer geregelten Außerbetriebnahme bzw. Aussonderung von IT-Systemen und Datenträgern muss sichergestellt sein, dass dort alle gespeicherten Daten sicher gelöscht sind.
  • Alle Mitarbeiter müssen in die Methoden und Verfahrensweisen zur Löschung und Vernichtung von Daten eingewiesen sein.

Die aufgeführten Punkte machen deutlich, wie wichtig es ist, ein geregeltes Verfahren zu planen und umzusetzen und dabei alle relevanten Datenträgerarten einzubeziehen. Ein systematisches Vorgehen, die Einbeziehung aller Mitarbeiter und die Bereitstellung von Tools und Werkzeugen sind darüber hinaus auch ausschlaggebend für die vertrauenswürdige Positionierung eines Unternehmens am Markt – dies gelingt in der Praxis durch ein Löschkonzept und entsprechende Arbeitsanweisungen.