News

Paragraphen-Dschungel: Aufbewahrungsfristen

Geschrieben von Silke Graf | 26. Juli 2024

Fass ohne Boden, ein Buch mit sieben Siegeln, die Büchse der Pandora, die geöffnet wurde – für viele ist die „neue“ Datenschutzgrundverordnung (DSGVO) auch sechs Jahre nach Einführung noch genau das.Das Problem: Gerade für kleinere Betriebe ergab sich dadurch ein enormer Mehraufwand zum Schutz der verschiedenen Daten und man fand sich plötzlich in einem regelrechten Minenfeld wieder – ein Fehltritt und es drohen ärgerliche Konsequenzen.

Sie sind also generell dazu verpflichtet, personenbezogene Daten wie Kunden- oder Mitarbeiterdaten, Lieferscheine Rechnungen und Co. ordnungsgemäß aufzubewahren und diese – sobald möglich – angemessen zu vernichten.

Nicht verzagen – to.eyes fragen! Um Ihnen die wirklich sehr verwirrende Thematik vielleicht ein wenig verständlicher zu machen, verraten wir Ihnen hier einige der für Sie so wichtigen Fristen – kurz und bündig auf einen Blick zusammengefasst:

1. Nach §  9 Abs. 1 Satz 2 Medizinprodukterecht-Durchführungsgesetz (MPDG) sind Augenoptiker verpflichtet, eine Dokumentation der von ihnen angepassten Medizinprodukte zehn Jahre lang aufzubewahren. Gemeint ist damit schlichtweg Ihre Kundendatei, die Sie (hoffentlich) eh sehr akkurat führen!

2. Ebenfalls zehn Jahre archiviert werden müssen laut §257 des Handelsgesetzbuchs (HGB) Handelsbücher (Bilanzen), Inventare, Eröffnungsbilanzen und Jahresabschlüsse mit den zu ihrem Verständnis erforderlichen Arbeitsanweisungen. Hierbei ist – vereinfacht gesagt – die Rede von Ihrer Finanzbuchhaltung.

3. „Nur“ sechs Jahre lang müssen dagegen empfangene Handelsbriefe und Wiedergaben der selbst versandten Handelsbriefe aufbewahrt werden (gemäß § 257 HGB). Gut zu wissen: Dazu zählen neben der üblichen Geschäftskorrespondenz auch Lieferscheine.

Warum einfach, Wenn‘s auch kompliziert geht?!

Geht es nun ans Löschen dieser Daten, hat auch dies DSGVO-konform, also auf sichere Art und Weise zu erfolgen. Folgende Punkte gilt es laut Experten zu beachten:

1. Die Vernichtung der Daten muss sicherstellen, dass diese nicht mehr les- oder verwendbar sind. Erreicht wird das z. B. durch das Überschreiben von Daten auf Datenträgern oder durch die physische Zerstörung von Papierdokumenten. ACHTUNG: Das Verschieben Ihrer Daten auf dem Computer in den Papierkorb reicht nicht aus!

2. Protokollieren Sie die Löschung der Daten. So können Sie im Zweifel nachweisen, dass alles datenschutzkonform erledigt wurde. Das Protokoll sollte Angaben zum Zeitpunkt der Löschung, den gelöschten Daten und den Maßnahmen, die zur Löschung ergriffen wurden, enthalten.

3. Lassen Sie die Daten von einer qualifizierten Person vernichten, um sicherzustellen, dass die Daten wirklich ordnungsgemäß und datenschutzkonform gelöscht bzw. vernichtet werden. So dürfen
Papier-Dokumente nicht mit normalem Altpapier vermischt werden und bei Datenträgern muss die Möglichkeit auf eine Rekonstruktion ausgeschlossen werden.

Wem das alles zu kompliziert erscheint, der kann selbstverständlich auch externe Dienstleister zur Vernichtung engagieren. Aber Vorsicht: Auch hier ist vorher vom Gesetz her sicherzustellen, dass dieser über die nötigen Fähigkeiten zur dsgvo-konformen Löschung verfügt... So viel zum Thema Fass ohne Boden.

Dieser Text stellt keine Rechtsberatung dar und will diese auch nicht ersetzen. Er dient lediglich einem unverbindlichen Informationszweck. Insofern verstehen sich alle darin enthaltenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.