05/2021 – Fachartikel Swiss Infosec AG
Wie lange müssen und dürfen Geschäftsdaten aufbewahrt werden?
Bei der Aufbewahrung von Geschäftsdokumenten stellt sich zunächst die Frage, ob eine gesetzliche Aufbewahrungsfrist zu beachten ist. Ist dies der Fall, müssen und dürfen Dokumente während dieser Dauer nicht gelöscht werden (Minimalfrist zur Aufbewahrung). Beispielsweise sind Unterlagen in Zusammenhang mit dem Nachweis zur Erfüllung von Pflichten aus dem Arbeitsgesetz während fünf Jahren aufzubewahren. Belege für die Buchhaltung sowie Geschäftsbücher, Geschäftsbericht und Revisionsbericht zehn Jahre. Je nach Branche können aber auch besondere gesetzliche Löschfristen relevant sein (Maximalfristen zur Aufbewahrung).
Für die Zeit nach Ablauf einer gesetzlichen Aufbewahrungsfrist oder auch falls gar keine solche anwendbar ist, können Dokumente in datenschutzrechtlicher Hinsicht zunächst so lange verwendet und aufbewahrt werden (müssen sie aber rein gesetzlich nicht), wie die darin enthaltenen Personendaten zum legitimen Zweck, zu dem sie erhoben wurden oder der für die betroffenen Personen aus den Umständen ersichtlich ist, noch gebraucht werden. Eine gesetzliche Löschfrist würde hingegen einen legitimen Bearbeitungszweck ausschliessen. Sprechen datenschutzrechtliche Gründe gegen eine weitere Bearbeitung von Personendaten, muss in der Regel nicht das ganze Dokument gelöscht oder vernichtet werden. Häufig reicht es aus, über eine Anonymisierung oder Löschung nur der Personendaten den Personenbezug zu entfernen.
Beispielsweise können Unterlagen, die für das Verfassen eines Arbeitszeugnisses benötigt werden, sicher mindestens so lange behalten werden, wie das Anstellungsverhältnis dauert. Vertragliche Pflichten, etwa zur Erbringung von Wartungs-/Serviceleistungen, werden auch praktisch immer die Aufbewahrung gewisser Dokumente voraussetzen. Grundlagendokumente des Unternehmens wie etwa Statuten oder Organisationsreglemente sollten während der ganzen Lebensdauer des Unternehmens aufbewahrt werden.
Werden Personendaten nicht mehr gebraucht, nehmen viele Unternehmen an, dass zu Beweiszwecken Unterlagen noch so lange aufbewahrt werden dürfen (aber nicht müssen), bis die zugrundeliegenden Forderungen noch nicht verjährt sind (in der Erwartung, sich auch dafür auf einen legitimen Bearbeitungszweck berufen zu können).
Die Verjährung spricht den Zeitpunkt an, ab dem eine Forderung nicht mehr (gerichtlich) durchgesetzt werden kann. Beispielsweise verjährt die Forderung auf Bezahlung eines Übersetzungshonorars zehn Jahre nach ihrer Fälligkeit. Hat der Kunde dem Übersetzer die Rechnung nicht bezahlt, kann der Übersetzer dies vom Kunden noch während zehn Jahren nach Bestellung der Übersetzungsleistung verlangen (und auch durchsetzen), später aber nicht mehr. Bei der Frage, welche Unterlagen während laufender Verjährungsfrist noch zu behalten sind, geht es im Wesentlichen um die Einschätzung, wie das Unternehmen im Hinblick auf zukünftige rechtliche Auseinandersetzungen aufgestellt sein will. Nur aus datenschutzrechtlichem Blickwinkel dürfte es aber zu weit gehen, für rein potentielle Streitigkeiten, die sich den spezifischen Erfahrungswerten nach nur mit verschwindend kleiner Wahrscheinlichkeit und/oder Schwere ereignen werden, jedes Mal den Ablauf der Verjährungsfristen von Forderungen abzuwarten, auf die sich die entsprechenden Dokumente beziehen.
Zusammengefasst und etwas vereinfacht gesagt, lässt sich die konkrete Aufbewahrungsdauer von Dokumenten, die Personendaten beinhalten, anhand von drei Fragen nachvollziehen (in dieser Reihenfolge):
- Besteht für das Dokument bzw. die darin enthaltenen Daten eine gesetzliche Aufbewahrungsfrist?
- Werden Personendaten noch für einen legitimen Zweck verwendet (beispielsweise im Rahmen einer vertraglichen Pflicht, etwa zur Erbringung von Wartungs-/Serviceleistungen)?
- Wenn nicht (mehr): ist eine weitere Aufbewahrung zu (legitimen) Beweiszwecken erforderlich?
Wenn alle drei Fragen mit nein beantwortet werden, verlangt der Datenschutz (konkretisiert durch das Prinzip der Verhältnismässigkeit/Speicherbegrenzung und natürlich umso mehr bei einer expliziten gesetzlichen Löschfrist), dass Personendaten, die nicht mehr gebraucht werden, gelöscht werden.
Wenn es darum geht, ein Löschkonzept zu konkretisieren, ist es häufig sinnvoll, vornweg eine Übersicht über alle für das spezifische Unternehmen relevanten Aufbewahrungs-, Lösch- und Verjährungsfristen zu erstellen.
Haben Sie Fragen zum Datenschutz? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.
Swiss Infosec AG; 23.04.2021
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch