Digitaler Frühjahrsputz: Neue Speicherfristen beachten und veraltete Daten löschen
Mit dem Beginn des Frühlings und dem traditionellen Frühjahrsputz bietet sich für Unternehmen und Behörden die Gelegenheit, auch ihre Datenbestände einer gründlichen Überprüfung zu unterziehen. Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es erforderlich ist. Daher ist es essenziell, regelmäßig zu prüfen, ob gespeicherte Daten noch benötigt werden oder ob sie gelöscht werden müssen. Besonders in diesem Jahr ist besondere Aufmerksamkeit gefragt, da ab 2025 neue gesetzliche Aufbewahrungsfristen gelten.
Gesetzliche Aufbewahrungsfristen und neue Regelungen ab 2025
Viele Dokumente unterliegen gesetzlich festgelegten Mindestspeicherfristen, die sich vor allem aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) ergeben. Diese Fristen betragen in der Regel sechs, acht oder zehn Jahre, je nach Art des Dokuments. Für spezifische Branchen gelten zudem gesonderte Vorschriften, beispielsweise die zehnjährige Aufbewahrungspflicht für Patientenakten in Arztpraxen oder die 30-jährige Frist für strahlenschutzrelevante Unterlagen.
Ab 2025 treten jedoch Änderungen in Kraft: Das Vierte Bürokratieentlastungsgesetz hat unter anderem die Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre verkürzt. Unternehmen müssen diese neuen Vorgaben umsetzen, ihre Löschkonzepte entsprechend anpassen und veraltete Daten zeitnah bereinigen.
Bedeutung interner Löschkonzepte
Neben gesetzlich vorgeschriebenen Speicherfristen müssen Unternehmen auch personenbezogene Daten ohne explizite Frist nach einem internen Löschkonzept verwalten. Diese Konzepte sollten festlegen, wie lange bestimmte Daten aufbewahrt werden und wann sie gelöscht werden müssen. Hierbei sind die jeweiligen Geschäftsanforderungen sowie zivilrechtliche Verjährungsfristen zu berücksichtigen. Ein strukturiertes und nachvollziehbares Löschkonzept ist nicht nur Ausdruck guter Daten-Compliance, sondern auch eine gesetzliche Verpflichtung.
Bußgelder bei unzureichender Datenlöschung
Die Datenschutzbehörden prüfen regelmäßig die Einhaltung von Löschpflichten und können bei Verstößen erhebliche Bußgelder verhängen. So wurde im Herbst 2024 ein Unternehmen der Forderungsmanagement-Branche mit einem Bußgeld von 900.000 Euro belegt, weil es Daten nicht ordnungsgemäß gelöscht hatte. Auch europaweit wird das Thema verstärkt überwacht, insbesondere durch das Coordinated Enforcement Framework des Europäischen Datenschutzausschusses.
Unternehmen und Behörden sollten daher den digitalen Frühjahrsputz nutzen, um ihre Datenbestände zu aktualisieren, neue gesetzliche Vorgaben umzusetzen und ihre Compliance zu stärken.
Nähere Informationen finden Sie unter: HIER
Neueste Beiträge
TikTok: 530 Millionen Euro Bußgeld wegen Datenübermittlung nach China20. Mai 2025 - 13:06Die irische Datenschutzbehörde hat TikTok ein Bußgeld von 530 Millionen Euro auferlegt – wegen unzulässiger Datenübermittlung europäischer Nutzer*innen nach China. Trotz Sicherheitsmaßnahmen wie „Project Clover“ sah die DPC gravierende Mängel beim Schutz vor staatlichen Zugriffen und bei der Transparenz. Besonders sensibel: der Umgang mit Kinderdaten
BGH stärkt Verbraucherrechte: Datenschutzverstöße als Wettbewerbsverstöße14. Mai 2025 - 10:21Am 27. März 2025 hat der Bundesgerichtshof (BGH) mit drei wegweisenden Urteilen (I ZR 186/17, I ZR 222/19, I ZR 223/19) die Verbraucherrechte gestärkt und klargestellt, dass Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) auch als wettbewerbswidrige Handlungen einzustufen sind. Damit können künftig nicht nur Aufsichtsbehörden, sondern auch Verbraucherschutzverbände und Mitbewerber Datenschutzverstöße zivilrechtlich verfolgen. Dieser Paradigmenwechsel hat erhebliche Auswirkungen auf Unternehmen und deren rechtliche Risikolage.
Ein ehemaliger, angestellter Werbetechniker klagte gegen seinen früheren Arbeitgeber auf Schadensersatz. Während des laufenden Arbeitsverhältnisses hatte der Arbeitgeber Fotos und Videos des Klägers zu Werbezwecken auf der Firmenwebsite verwendet. Nach seinem Wechsel zu einem direkten Wettbewerber im Mai 2019 forderte der Kläger die Entfernung dieser Bildaufnahmen. Der ehemalige Arbeitgeber kam dieser Aufforderung jedoch erst im Februar 2020 vollständig nach.
- AG Mainz: DSGVO-Rüge zur Kundengewinnung ist rechtsmissbräuchlich14. Mai 2025 - 9:48
Ein Webdesigner hatte einen Zahnarzt per E-Mail auf angebliche DSGVO-Verstöße hingewiesen – verbunden mit einem kostenpflichtigen Dienstleistungsangebot. Als der Zahnarzt nicht reagierte, machte der Webdesigner Auskunfts- und Schadensersatzansprüche geltend (1.160,25 € für ein Gutachten seines Bruders).
Das Amtsgericht Mainz (Urteil vom 27.03.2025 – Az. 88 C 200/24) wies die Klage ab: Das Vorgehen sei rechtsmissbräuchlich (§ 242 BGB). Der Kläger habe keine echte Betroffenheit i.S.d. DSGVO dargelegt, sondern den Datenschutz nur vorgeschoben, um Kunden zu akquirieren.
Ein Auskunftsanspruch nach Art. 15 DSGVO sowie ein Schadenersatzanspruch nach Art. 82 DSGVO bestünden nicht. Auch das Gutachten sei unnötig und geschäftlich motiviert gewesen.
