Was ist Datenvorhaltung und welche Fristen gibt es?
Die Datenvorhaltung beschreibt grundlegend die Speicherung und Aufbewahrung von Datensätzen (vor allem personenbezogener Datensätze) in Unternehmen. Dabei gibt es maximale und minimale Zeitspannen, die es Unternehmen erlauben diese Daten zu speichern. Die Zeiträume sind europaweit unterschiedlich lang definiert und erschweren die Durchsichtigkeit und Klarheit von unternehmensinternen Speicherungsprotokollen und -prozessen. Europäische Datenschutzrichtlinien schreiben beispielsweise vor, dass Datensätze dann gelöscht werden müssen, wenn diese nicht länger zur Erreichung des ursprünglichen Zwecks der Datenerhebung benötigt werden. Andere Gesetze definieren Mindestzeitspannen, die vor allem für Finanzämter oder Strafverfolgungsbehörden relevant sind. Unternehmen müssen Datensätze mindestens für einen Zeitraum aufbewahren, um diese auf Anfrage der Behörden verfügbar zu machen.
Eine Mindestzeitspanne ist weiterhin gegeben, wenn es Vertrags- oder Geschäftsbedingungen eines Unternehmens erfordern. Als Beispiele wären hier zu nennen:
- Speicherung von Kontoinformationen von Nutzern um Beweise für eventuelle Prozessklagen zu sammeln.
- Speicherung von Mitarbeiterdaten um deren Leistungen zum Zwecke des Karrieremanagements verfolgen zu können.
Grundsätzlich sind drei Fristen der Datenvorhaltung für Unternehmen definiert und relevant:
- Eine gesetzliche maximale Zeitspanne,
- eine gesetzliche minimale Zeitspanne und
- eine Zeitspanne, die durch die Geschäftsbedingungen des Unternehmens vorgegeben ist.
Probleme und erhöhter Aufwand der Datenvorhaltung
Nahezu jedes Land im europäischen Wirtschaftsraum (EWR) hat andere Gesetze, die die Datenvorhaltung unterschiedlich regeln. Dies macht es vor allem für Unternehmen mit Zweigstellen oder Tochtergesellschaften im Ausland enorm schwierig den gesetzlichen Bestimmungen jedes Landes exakt nachzukommen. Die Datensätze mit ihren unterschiedlichen Datenkategorien und Verarbeitungszwecke sind leider nicht einheitlich geregelt, so dass es vorkommen kann, dass ein Datensatz im einen Land den Maximalzeitraum überschreitet während er im anderen durch gesetzliche Mindestanforderungen weiterhin aufbewahrt werden muss. Der Datensatz muss als teilweise gelöscht, wiederum teilweise gespeichert werden.
US-amerikanisches Recht schreibt z.B. vor, dass Unternehmen Beweise sichern müssen, die für einen potentiellen Rechtsstreit von Relevanz sein könnten. Dies nennt man auch „litigation hold“, was die reguläre Datenvorhaltung und alle damit verbundenen Bestimmungen und Gesetze außer Kraft setzt.
Der Aufwand, den Unternehmen innerhalb eines Landes betreiben multipliziert sich also mit der Anzahl der Länder, in dem das Unternehmen aktiv vertreten ist. Weiterhin kommt erschwerend hinzu, dass sich Gesetze häufig ändern. Es kann also vorkommen, dass Sie für Ihr Unternehmen mit großem Aufwand einen Datenvorhaltungsplan erstellen, dieser jedoch bereits nach Fertigstellung durch Änderungen bzw. Erweiterungen entsprechende Anpassungen erfordert.
Doch was nun? Wie sollen Unternehmen nun ihre Datensätze speichern, was dürfen sie, was müssen sie? Sie benötigen ein Merkblatt zur Datenvorhaltung sowie Tipps was Sie beachten und wie Sie die Vorgaben umsetzen können? In unserem Artikel über den Vorhaltungszeitplan können Sie sich über diese Thema weiter informieren.
Datenvorhaltung im Unternehmen
Wie Sie vielleicht schon aus eigener Erfahrung gemerkt haben, sind Pläne zur Datenvorhaltung sehr aufwändig. Ist Ihr Unternehmen z.B. durch Tochtergesellschaften im Ausland tätig, muss ein länderübergreifender Vorhaltungszeitplan erstellt werden, um den Anforderungen der einschlägigen Gesetzte gerecht zu werden. Weiterhin steigt der Aufwand mit der Anzahl an Datenkategorien, also der Vielzahl an personenbezogenen Daten, die Ihr Unternehmen erhebt. Um all diesen Anforderungen nachzukommen, entscheiden sich viele Firmen für eine Art Mittelweg. Hierbei werden sowohl Kosten als auch Risiken gegenüberstellt.
Finden Sie also für Ihr Unternehmen den geeignetsten Weg zur Datenvorhaltung. Wägen Sie Kosten und Risiken ab, jedoch sollten Sie hier nicht sparen. Investieren Sie in Softwarelösungen oder in geeignetes Personal. Ihr Datenschutzbeauftragter (weitere Informationen zum Datenschutzbeauftragten finden Sie HIER) sollte sich unbedingt mit diesem heiklen Thema auseinandersetzen und entsprechende Lösungen parat haben. Beachten Sie Löschfristen bzw. Mindestzeitspannen zur Speicherung gewisser Datensätze. Vor allem sollten Sie Ihr Augenmerk auf sensible personenbezogene Datensätze richten.
Wenn Sie mögen, haben wir für Sie 4 wichtige Tipps zur Datenvorhaltung zusammengetragen, die Sie interessieren könnten.
Wir wünschen Ihnen viel Erfolg bei der Umsetzung!