Welche Daten muss man aufbewahren oder löschen?
(Presseartikel | IT-ZOOM world of technology | 22.11.2016)
BDSG | DSGVO
Zu den Beratungsschwerpunkten gehören
- Beratung hinsichtlich der Datenschutz-Grundverordnung (DS-GVO) und im Hinblick der datenschutzrechtlichen Konformität Ihrer Geschäftsprozesse.
- Durchführung von Audits zur Überprüfung und Beurteilung der DS-GVO-Compliance Ihrer datenschutzrechtlichen Unternehmensprozesse.
- Konzeption und Einführung bzw. Prüfung Ihres bestehenden Datenschutz-Managementsystems (DSMS).
- Prüfung und Anpassung Ihrer Datenschutz-, Sicherheits- und Organisationsrichtlinien.
Data Retention Management Systeme
Die Lösung für die Frage „Aufbewahren oder Löschen?“.
Die Aufbewahrung und die Löschung kaufmännischer Unterlagen, insbesondere die personenbezogene Daten (pbD) enthalten, sind durch nationale und internationale Vorschriften geregelt. Die Gesetze, die sich teils konträr positionieren, werfen in der Praxis viele Fragen auf. Immer mehr Unternehmen greifen daher auf Data Retention Management Systeme (DRMS) zurück, um den Beginn der Aufbewahrung, die Aufbewahrungsfrist und den Löschprozess für jedes ihrer steuerlich relevanten Dokumente eindeutig festzulegen und die Unterlagen somit gesetzeskonform verwalten zu können.
Viele Unternehmen können nur schwer beurteilen, welche Unterlagen über welchen Zeitraum aufzubewahren und wann sie zu löschen sind. Um zu einer Entscheidung zu gelangen, sind verschiedenste Aspekte zu betrachten. Die Frage, wann die Aufbewahrungsfrist beginnt, richtet sich nach der letzten vorgenommenen Handlung in einem steuerlich relevanten geschäftlichen Prozess. Es gilt, genau zu prüfen, welches die letzte Aktion war und wann sie stattgefunden hat. Dabei ist der gesamte sachliche Zusammenhang über die verschiedenen Organisationseinheiten und über die gesamte IT des Unternehmens hinweg zu betrachten.
Häufig wird im Zusammenhang mit der Festlegung der Aufbewahrungsfristen der Begriff der Löschfrist synonym verwendet. Dieser Begriff ist jedoch irreführend: Er suggeriert fälschlicherweise einen Zeitraum, innerhalb dessen die Löschung vorgenommen werden kann. Sofern keine Löschhemmnisse bestehen, fordert der Gesetzgeber aber nach Ablauf der Aufbewahrungsfrist die unverzügliche Löschung der Unterlagen. Nur in begründeten Fällen kann die Löschung temporär ausgesetzt werden.
Aus Gründen der Zusammengehörigkeit mit anderen Unterlagen eines Vorgangs ist eine Löschung einzelner Daten und Dokumente oft nicht möglich, auch wenn juristische Vorschriften dies erfordern. Zudem ist eine selektive Datenlöschung auf Sicherungskopien in der Regel technisch kaum realisierbar; gesetzliche Aufbewahrungsfristen werden somit immer wieder zwangsweise überschritten. Um datenschutzrechtlich vertretbare Aufbewahrungsfristen umsetzen zu können, wären Aufbewahrungsregeln für Sicherungskopien mit pbD erforderlich und es müsste im Vorfeld definiert werden, wie Datenbestände auf Sicherungskopien aufzuteilen sind.
Als Ausweg aus diesem Dilemma ist die Erstellung eines Aufbewahrungs- und Löschkonzept angebracht. Dieses Konzept ermöglicht den Unternehmen, die rechtskonforme und systematische Aufbewahrung und Löschung von Unterlagen sicherzustellen. Dabei sollte das Konzept grundsätzlich unabhängig von der zurzeit im Unternehmen eingesetzten IT entwickelt werden. Als Grundlage dienen tragfähige Kompromisse zwischen den rechtlichen Vorgaben einerseits und den technischen Möglichkeiten der IT andererseits. Bieten die vorhandenen Systeme beispielsweise keine Löschmöglichkeit, so tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung.
Für die gesetzeskonforme Aufbewahrung und Löschung von Unterlagen mit pbD bieten sich eigens hierfür entwickelte Data Retention Management Systeme (DRMS) an, die unabhängig von branchen- oder rechtsspezifischen Aufbewahrungspflichten einsetzbar sind. Sie verwalten eine Vielzahl von Informationen und Übersichten, zum Beispiel zu Datenarten, Dokumenttypen, Aufbewahrungsfristen, -klassen und -regeln, Löschhemmnissen, -sperren-, und -regeln sowie Berechtigungen und Rollen.
Grundlage eines DRMS ist das Fristenmodell. Es definiert die Aufbewahrungsregeln, Zeitpunkte und Zeiträume, nach denen die Unterlagen in dem System bewirtschaftet werden. Es legt also fest, ab wann und über welchen Zeitraum hinweg die Dokumente aufzubewahren sind. Durch das Setzen von Sperren können Verantwortliche wie Geschäftsführer oder die Rechtsabteilung das Löschen von Unterlagen verhindern, wenn die Dokumente nach Ablauf der Aufbewahrungsfrist noch für juristische Verfahren oder steuerliche Prüfungen benötigt werden. Erfolgte Löschungen werden protokolliert, wobei auch diese Protokolle aus Datenschutzgründen nicht dauerhaft aufbewahrt werden dürfen.
In Zeiten fortschreitender Digitalisierung und wachsender Informationsmengen bieten DRM-Systeme die Möglichkeit, den Überblick über die gespeicherten Unterlagen zu behalten, die Aufbewahrung der Unterlagen effizient und ihre Löschung effektiv zu gestalten.
Interessierten Unternehmen bieten wir eine unabhängige und ausführliche Beratung.