Aktuelle Entwicklungen bei der Speicherung von Personendaten Viertes Bürokratieentlastungsgesetz (BEG IV) – Januar 2025

AdobeStock | 1280073572 | ShanewazAdobeStock | 1280073572 | Shanewaz

Für die Speicherung von personenbezogenen Daten wird nach der DSGVO eine gültige Rechtsgrundlage (Art. 6 DSGVO) benötigt. Im Zusammenhang mit einem konkreten Geschäftsvorgang (z.B. einer Warenbestellung oder der Behandlung beim Zahnarzt) kommen hierfür die Einwilligung der betroffenen Person oder z.B. vertragliche Verpflichtungen gegenüber dem Betroffenen in Betracht.

Daneben müssen von den Unternehmen in der Regel eine ganze Reihe von gesetzlichen und steuerrechtlichen Vorschriften beachtet werden, die die Speicherung von Betroffenendaten erfordern bzw. mit sich bringen. Insbesondere führen hier gesetzliche Nachweispflichten für z.B. Jahresabschlüsse, Verträge, Rechnungen, Schriftverkehr usw. zu Speicherfristen, die über die Erfordernisse des eigentlichen Geschäftsvorgangs hinausgehen. Auch diese Vorschriften stellen eine Rechtsgrundlage für die Speicherung von personenbezogenen Daten dar.

Das Vierte Bürokratieentlastungsgesetz (BEG IV) regelt, dass ab 1. Januar 2025 steuerrechtliche Buchungsbelege (wie z.B. Rechnungskopien, Kontoauszüge, Lohn-/Gehaltslisten) nicht mehr für 10 Jahre, sondern nur noch für 8 Jahre aufbewahrt werden müssen. Das bedeutet, dass solche Buchungsbelege aus den Jahren 2015 und 2016 (oder älter) nach steuerrechtlichen Maßstäben vernichtet werden können.

(Text im Bundesgesetzblatt siehe https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/0313_BEGIV.html
https://www.recht.bund.de/bgbl/1/2024/323/VO.html)

Auswirkungen für den Datenschutz

In datenschutzrechtlicher Sicht entfällt damit für die betreffenden Unterlagen die Rechtsgrundlage für die Speicherung der personenbezogenen Daten. Soweit nicht andere Aufbewahrungsfristen beachtet werden müssen (z.B. BGB für Handels- und Geschäftsbriefe oder für Patientenakten) sind die entsprechenden Unterlagen daher unverzüglich und datenschutzgerecht zu vernichten bzw. zu löschen.

Die Überwachung der Aufbewahrungsfristen für Unterlagen mit personenbezogenen Daten sowie deren Löschung nach Beendigung des jeweiligen Zweckes (Art.5 DSGVO), ist eine der wesentlichen Verpflichtungen aus der DSGVO für Unternehmen oder Selbständige wie z.B. Handwerker oder Ärzte.

Im Rahmen der Auskunftspflichten aus der DSGVO (Abschnitt 2 DSGVO) können Betroffene Auskunft über ihre personenbezogenen Daten verlangen. Falls dabei Verstöße festgestellt werden, z.B. weil die Daten längst hätten gelöscht werden müssen, sind gegebenenfalls Schadensersatzforderungen möglich.

Maßnahmen der Aufsichtsbehörden

Auch die Datenschutz-Aufsichtsbehörden prüfen und verfolgen Verstöße gegen Aufbewahrungsfristen und verhängen gegebenenfalls Bußgelder.

In einer am 5. März 2025 veröffentlichten Pressemitteilung (https://datenschutzkonferenz-online.de/media/pm/DSK-PM_CEF_2025.pdf) haben Datenschutzbehörden nun angekündigt, eine europaweite Aktion zur Durchsetzung des Rechts auf Löschung (Art. 17 DSGVO) durchzuführen.

Hierbei sollen ausgewählte Unternehmen in einem Fragebogen Auskunft über den Umgang mit Löschverlangen und Beschwerden von Betroffenen erteilen. Gegenstand der Befragung werden in diesem Zusammenhang auch die im Unternehmen etablierten Datenschutz-Maßnahmen sein. Inwieweit sich aus der Analyse der Antworten bereits Maßnahmen gegenüber einzelnen Unternehmen ergeben, bleibt abzuwarten.

Aufgaben für Unternehmen

Die Reduzierung der Aufbewahrungsfristen von steuerlich relevanten Geschäftsunterlagen sowie die aktuelle Schwerpunktsetzung der Aufsichtsbehörden sollte die Unternehmen dazu bewegen, einmal den Stand der eigenen Datenschutzmaßnahmen in diesem Umfeld zu prüfen und gegebenenfalls nachzuarbeiten. Dazu gehören insbesondere folgende Schwerpunktthemen

  • Die sorgsame Behandlung von Beschwerden und Löschverlangen von Betroffenen
  • Die unverzügliche und qualifizierte Beantwortung von Anfragen der Aufsichtsbehörden
  • Die Festlegung bzw. Aktualisierung von Löschregeln und Verfahren für alle Unterlagen mit Personenbezug
  • Die Überprüfung aller gespeicherten Unterlagen hinsichtlich ihrer Aufbewahrungsfristen und gegebenenfalls unverzügliche Vernichtung bzw. Löschung

In einer von der Unternehmensleitung herausgegebenen Datenschutz-Richtlinie sollten Verfahrensprozesse und Verantwortlichkeiten hierfür angemessen geregelt werden

Bei Fragen, kommen Sie bitte gerne auf uns zu.

/von
Das könnte Dich auch interessieren
Aufgeschlagenes Buch mit Holzkreuz - kirchlicher DatenschutzAdobe Stock | #131116329 | ChristArtNeue Gesetze zum kirchlichen Datenschutz in Deutschland
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute KI rechtssicher im Unternehmen einführen
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Neue Folgen
bunte HandabdrückeWas die Kita wissen darf – Datenschutz in der Krippe und im Kindergarten
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute Data Act & Co.
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute TTDSG

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen