Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Compliance-Check: Aufbewahrungsdauer von Geschäftsdokumenten

05/2021 – Fachartikel Swiss Infosec AG

Wie lange müssen und dürfen Geschäftsdaten aufbewahrt werden?

Bei der Aufbewahrung von Geschäftsdokumenten stellt sich zunächst die Frage, ob eine gesetzliche Aufbewahrungsfrist zu beachten ist. Ist dies der Fall, müssen und dürfen Dokumente während dieser Dauer nicht gelöscht werden (Minimalfrist zur Aufbewahrung). Beispielsweise sind Unterlagen in Zusammenhang mit dem Nachweis zur Erfüllung von Pflichten aus dem Arbeitsgesetz während fünf Jahren aufzubewahren. Belege für die Buchhaltung sowie Geschäftsbücher, Geschäftsbericht und Revisionsbericht zehn Jahre. Je nach Branche können aber auch besondere gesetzliche Löschfristen relevant sein (Maximalfristen zur Aufbewahrung).

Für die Zeit nach Ablauf einer gesetzlichen Aufbewahrungsfrist oder auch falls gar keine solche anwendbar ist, können Dokumente in datenschutzrechtlicher Hinsicht zunächst so lange verwendet und aufbewahrt werden (müssen sie aber rein gesetzlich nicht), wie die darin enthaltenen Personendaten zum legitimen Zweck, zu dem sie erhoben wurden oder der für die betroffenen Personen aus den Umständen ersichtlich ist, noch gebraucht werden. Eine gesetzliche Löschfrist würde hingegen einen legitimen Bearbeitungszweck ausschliessen. Sprechen datenschutzrechtliche Gründe gegen eine weitere Bearbeitung von Personendaten, muss in der Regel nicht das ganze Dokument gelöscht oder vernichtet werden. Häufig reicht es aus, über eine Anonymisierung oder Löschung nur der Personendaten den Personenbezug zu entfernen.

Beispielsweise können Unterlagen, die für das Verfassen eines Arbeitszeugnisses benötigt werden, sicher mindestens so lange behalten werden, wie das Anstellungsverhältnis dauert. Vertragliche Pflichten, etwa zur Erbringung von Wartungs-/Serviceleistungen, werden auch praktisch immer die Aufbewahrung gewisser Dokumente voraussetzen. Grundlagendokumente des Unternehmens wie etwa Statuten oder Organisationsreglemente sollten während der ganzen Lebensdauer des Unternehmens aufbewahrt werden.

Werden Personendaten nicht mehr gebraucht, nehmen viele Unternehmen an, dass zu Beweiszwecken Unterlagen noch so lange aufbewahrt werden dürfen (aber nicht müssen), bis die zugrundeliegenden Forderungen noch nicht verjährt sind (in der Erwartung, sich auch dafür auf einen legitimen Bearbeitungszweck berufen zu können).

Die Verjährung spricht den Zeitpunkt an, ab dem eine Forderung nicht mehr (gerichtlich) durchgesetzt werden kann. Beispielsweise verjährt die Forderung auf Bezahlung eines Übersetzungshonorars zehn Jahre nach ihrer Fälligkeit. Hat der Kunde dem Übersetzer die Rechnung nicht bezahlt, kann der Übersetzer dies vom Kunden noch während zehn Jahren nach Bestellung der Übersetzungsleistung verlangen (und auch durchsetzen), später aber nicht mehr. Bei der Frage, welche Unterlagen während laufender Verjährungsfrist noch zu behalten sind, geht es im Wesentlichen um die Einschätzung, wie das Unternehmen im Hinblick auf zukünftige rechtliche Auseinandersetzungen aufgestellt sein will. Nur aus datenschutzrechtlichem Blickwinkel dürfte es aber zu weit gehen, für rein potentielle Streitigkeiten, die sich den spezifischen Erfahrungswerten nach nur mit verschwindend kleiner Wahrscheinlichkeit und/oder Schwere ereignen werden, jedes Mal den Ablauf der Verjährungsfristen von Forderungen abzuwarten, auf die sich die entsprechenden Dokumente beziehen.

Zusammengefasst und etwas vereinfacht gesagt, lässt sich die konkrete Aufbewahrungsdauer von Dokumenten, die Personendaten beinhalten, anhand von drei Fragen nachvollziehen (in dieser Reihenfolge):

  • Besteht für das Dokument bzw. die darin enthaltenen Daten eine gesetzliche Aufbewahrungsfrist?
  • Werden Personendaten noch für einen legitimen Zweck verwendet (beispielsweise im Rahmen einer vertraglichen Pflicht, etwa zur Erbringung von Wartungs-/Serviceleistungen)?
  • Wenn nicht (mehr): ist eine weitere Aufbewahrung zu (legitimen) Beweiszwecken erforderlich?

Wenn alle drei Fragen mit nein beantwortet werden, verlangt der Datenschutz (konkretisiert durch das Prinzip der Verhältnismässigkeit/Speicherbegrenzung und natürlich umso mehr bei einer expliziten gesetzlichen Löschfrist), dass Personendaten, die nicht mehr gebraucht werden, gelöscht werden.

Wenn es darum geht, ein Löschkonzept zu konkretisieren, ist es häufig sinnvoll, vornweg eine Übersicht über alle für das spezifische Unternehmen relevanten Aufbewahrungs-, Lösch- und Verjährungsfristen zu erstellen.

Haben Sie Fragen zum Datenschutz? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

Swiss Infosec AG; 23.04.2021

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage

Facebook-Leck: Reaktion von Europaabgeordneten auf Tatsache, dass ihre Handynummer jetzt im Netz steht

Skandal!

Vor knapp zwei Wochen sind bei einem Datenleck über 500 Millionen Handynummern ins Internet gestellt worden – mit zugehörigem Facebook-Profil. Der Datenkonzern will die Betroffenen nicht informieren. Deshalb haben wir betroffene Mitglieder des Europaparlaments angerufen und ihnen Bescheid gesagt – die meisten sind empört und genervt von Facebook.

„Ich hab jetzt auch einfach ein bisschen Schiss“ – so und anders reagieren Abgeordnete des Europaparlamentes darauf, dass ihre Handynummer offen im Netz steht. Vor fast zwei Wochen wurde ein Datensatz mit 533 Millionen Einträgen von Facebook-Profilen öffentlich.

Schon vor einer Woche haben wir bei den betroffenen Bundestagsabgeordneten angerufen. Erst jetzt beginnt der Bundestag die Abgeordneten seinerseits zu warnen. Im Europaparlament wurde bisher nur allgemein gewarnt, dass es ein Datenleck bei Facebook gegeben habe.

netzpolitik.org wurde auf einen öffentlich zugänglichen Datensatz mit 495 Millionen Facebook-Profilen aufmerksam gemacht, eine Kopie liegt der Redaktion vor. Wir werden auch in diesem Artikel aus Sicherheits- und Datenschutzgründen nicht darauf verlinken, selbst wenn er öffentlich einsehbar ist. Aus Deutschland sind 15 Mitglieder des Europäischen Parlaments aus allen Fraktionen betroffen, aus Österreich sechs.

Wir haben den Großteil von ihnen über ihre jetzt öffentlichen Handynummern angerufen und informiert, dass ihre Nummer offen im Netz steht. Ihre Reaktionen haben wir anonym protokolliert: „Ja, von dem Datenleck habe ich gehört, daher haben sie jetzt meine Nummer? – Na klasse.“

„Meine Handynummer hatte ich eigentlich nicht öffentlich angegeben“

Neben dem vollen Namen, Beziehungsstatus, Wohnort, eventuell dem Geburtsdatum und E-Mail-Adressen enthält der geleakte Datensatz auch die Telefonnummern der Betroffenen. Sie werden für die Zwei-Faktor-Authentifizierung verwendet, um das eigene Konto zu schützen. Facebook versicherte immer wieder, dass sie nicht – wie jetzt geschehen – öffentlich werden.

2018 und 2019 wurden bereits Handynummern und Profildaten von Facebook-Nutzenden erbeutet. Das neue Datenleck ist das größte bisher. Allein in Deutschland sind sechs Millionen Menschen betroffen. Am meisten Daten wurden von Nutzer*innen, die Ägypten als Heimatort angaben, abgegriffen: Dort sind es fast 45 Millionen Datensätze.

„Oh, das war mir unbekannt“

Die Reaktionen der EU-Abgeordneten reichten von „Ach, du Scheiße“ bis zum Dank für die Information. Einige wenige hatten bereits über die Website haveibeenpwned.com selbst überprüft, ob ihre Daten betroffen sind, oder waren von Kollegen informiert worden. Die, die ihre Daten selbst überprüft haben, hatten vorher vermehrt Spam-SMS mit Paket-Meldungen erhalten.

Alle anderen haben erst von uns davon erfahren, keine offizielle Behörde hat ihnen bisher Bescheid gesagt. Viele reagierten entsprechend schockiert: „Da muss ich jetzt erstmal gucken, wie ich damit umgehe“, andere wollten die Sache erst einmal „überprüfen lassen“ oder sich dazu nicht äußern. Die Reaktionen sind heftig, doch Facebook bleibt bisher dabei, die Betroffenen nicht benachrichtigen zu wollen.

Die Situation ist für einige auch beängstigend: „Das ist keine ungefährliche Sache“, sagte eine Person. „Als öffentliche Repräsentant*innen stellen sich da jetzt weitere Sicherheitsfragen“, große Konzerne hätten da auch eine zusätzliche Verantwortung, findet eine andere.

„Ein absoluter Skandal“

Die meisten Abgeordneten waren verärgert und entsetzt: „In Ordnung ist das ja wohl nicht“, war dabei noch eine eher moderate Reaktion. Andere finden es „richtig, richtig Scheiße“ und halten das Leck für „ein Unding“. Auch der richtige Umgang mit dem Leck ist für die Betroffenen bislang unklar: „Für mich ist die Situation jetzt überfordernd“, sagt eine Person, eine andere erwidert: „Ich weiß nicht, was ich tun soll“.

Als 2019 bereits Handynummern von Facebook öffentlich wurden, sagte die Hamburger Datenschutzbehörde, dass Handynummern für Betroffene einen ähnlichen Stellenwert wie Adressen hätten. Sie seien ähnlich lange gültig und könnten nicht ohne erheblichen Aufwand geändert werden. Das zeigt sich auch dieses Mal: „Ich hab die Nummer seit ich klein bin, ich will sie ungern wechseln“. Eine andere Person sagt: „Ich würde eigentlich gerne wechseln, aber das ist im Betrieb schwierig, eine Einschränkung meiner Tätigkeit.“

Klar ist für alle Europaabgeordneten, dass Facebook die Konsequenzen spüren sollte. Einige halten den Umgang von Facebook mit dem Leck für einen Skandal, alle hoffen, dass die Sache Konsequenzen für Facebook hat. „Wir müssen auf EU-Ebene die Daumenschrauben anziehen. Wir werden prüfen, was auf EU-Ebene passieren kann“, sagt eine Person. Eine andere will mit dem Datenschutzbeauftragten sprechen und „gucken, was getan werden kann“.

Eine Person zeigt sich eher resigniert, die irische Datenschutzbehörde habe zwar bereits Untersuchungen angekündigt, aber „Sie kennen ja die Datenschutzbehörde, da gibt es ein Problem mit der Durchsetzung.“

„Und was soll ich jetzt machen?“

„Was würden Sie mir jetzt empfehlen?“ – Die EU-Datenschutzgrundverordnung (DSGVO) regelt eigentlich, dass Unternehmen wie Facebook in so einem Fall die Betroffenen informieren müssen. Die Daten hätten außerdem ausreichend geschützt sein müssen. Digital Rights Ireland (DRI) hat jetzt eine Kampagne gegen das Datenleck gestartet. Die Behörde ruft alle betroffenen EU-Bürger*innen dazu auf, sich auf einer Seite zu melden, um sich einer Sammelklage anzuschließen.

Die Organisation hat eine Beschwerde bei der irischen Datenschutzbehörde eingereicht und bereite sich jetzt darauf vor, die Interessen der Betroffenen vor Gericht zu verteidigen. Sie hoffen auf eine Geldstrafe für Facebook. Laut Antoin O Lachtnain, dem Vorsitzenden des DRI, sei Schadensersatz der effektivste Weg, um das Verhalten solcher Unternehmen zu verändern. O Lachtnain teilte in einer Pressemitteilung mit, die Betroffenen hätten es verdient, dass gehandelt werde. Es werde die erste Massenklage dieser Art sein, aber nicht die letzte. Der Schutz persönlicher Daten müsse auch von Tech-Giganten ernst genommen werden. In Irland, wo die Klage eingereicht werden soll, sind ebenfalls vier Europaparlaments-Abgeordnete betroffen. Der eine, den wir erreicht haben, war bisher noch nicht informiert: „Thank you very much, I’m gonna check that.“

Netzpolitik.org; Josefine Kulbatzki; 19.04.2021

http://creativecommons.org/licenses/by-nc-sa/4.0/

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.  

Swiss Infosec AG; 23.04.2021

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Datenschutz
© Swiss Infosec AG 2026