05/2019 – Fachartikel Swiss Infosec AG
Alles Wissenswerte über das Zusammenspiel zwischen Datenschutz, gesetzlichen Aufbewahrungs- und Verjährungsfristen
Personendaten können nur für eine gewisse Dauer aufbewahrt werden. Danach sind sie nach schweizerischem (DSG) wie auch nach europäischem Datenschutzrecht (DSGVO/GDPR) zu löschen.
Ausgenommen von der Löschpflicht sind zunächst Daten, die aufgrund einer gesetzlichen Vorschrift aufbewahrt werden müssen. Ist das der Fall, müssen und dürfen Dokumente während dieser Dauer nicht gelöscht werden. Am wichtigsten ist die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsberichte und Buchungsbelege, die 10 Jahre beträgt.
Für die Zeit nach Ablauf dieser Dauer oder falls keine gesetzliche Aufbewahrungsfrist besteht, können Dokumente zunächst solange verwendet und aufbewahrt werden, wie die darin enthaltenen Personendaten zum Zweck, zu dem sie erhoben wurden, noch gebraucht werden. Auch aus dem Grundsatz der Datenrichtigkeit für Personendaten wird die Pflicht zur Löschung abgeleitet: Je älter Personendaten sind, desto eher werden sie in der Tendenz nicht mehr zutreffen.
Beispielsweise können Unterlagen, die für das Verfassen eines Zwischenzeugnisses benötigt werden, solange behalten werden, wie das Anstellungsverhältnis dauert. Grundlagendokumente des Unternehmens, wie etwa dessen Statuten oder Organisationsreglement, sollten während der ganzen Lebensdauer des Unternehmens aufbewahrt werden.
Werden Personendaten nicht mehr zum ursprünglich erhobenen Zweck gebraucht, kann im Allgemeinen angenommen werden, dass zu Beweiszwecken Unterlagen dennoch so lange aufbewahrt werden dürfen (aber nicht müssen) bis die Verjährungsfrist der zugrundeliegenden Forderung noch nicht abgelaufen ist. Ab diesem Zeitpunkt kann eine Forderung nicht mehr (gerichtlich) durchgesetzt werden. Beispielsweise verjährt die Forderung aus einem Auftragsverhältnis auf Bezahlung eines Übersetzungshonorars 10 Jahre nach seiner Fälligkeit. Hat der Kunde dem Übersetzungsunternehmen die Rechnung nicht bezahlt, kann das Unternehmen dies vom Kunden noch während 10 Jahren nach Bestellung der Übersetzungsleistung verlangen (und auch durchsetzen), später aber nicht mehr. Bei der Frage, welche Unterlagen während laufender Verjährungsfrist noch zu behalten sind, geht es im Wesentlichen um die Einschätzung, wie das Unternehmen im Hinblick auf potenzielle rechtliche Auseinandersetzungen aufgestellt sein will.
Zusammengefasst lässt sich die Aufbewahrungsdauer von Personendaten enthaltenden Dokumenten anhand dieser drei Fragen nachvollziehen (in dieser Reihenfolge):
a) Besteht eine gesetzliche Aufbewahrungsfrist?
b) Werden Personendaten noch gebraucht?
c) Wenn nicht: ist eine weitere Aufbewahrung zu Beweiszwecken bis zum Ablauf der Verjährungsfristen erforderlich?
Wenn alle drei Fragen mit nein beantwortet werden können, verlangt der Datenschutz, dass Personendaten gelöscht werden oder der Zugriff darauf zumindest stark eingeschränkt wird. Da die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsbericht und Buchungsbelege 10 Jahre beträgt und viele Forderungen nach 10 Jahren verjähren, haben sich als genereller Richtwert 10 Jahre eingebürgert. Es gelten teilweise aber auch andere gesetzliche Aufbewahrungs- und Verjährungsfristen:
1.1 Gesetzliche Aufbewahrungsfristen
1.2 Verjährungsfristen
Wir empfehlen deshalb: Legen Sie unter Berücksichtigung des Bearbeitungszwecks und der jeweils geltenden Aufbewahrungs- und Verjährungsfristen für die Dokumente in Ihrem Unternehmen, die Personendaten enthalten, Fristen fest, nach deren Ablauf die Personendaten gelöscht werden können.
Haben Sie Fragen zu Personendaten generell oder zur Aufbewahrungspflicht oder Verjährungsfristen im Speziellen? Oder können wir Ihnen weiterhelfen, weil Sie ein individuelles Löschkonzept brauchen? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.