Lösch- und Aufbewahrungsfristen

Vor dem Hintergrund, dass gemäß DSGVO nicht mehr benötigte Daten gelöscht, vernichtet werden sollen, führen wir dieses auch regelmäßig in unserem Haus durch.
In diesem Zuammenhang kam nun aberr die Frage auf, wie lange das Vernichtungsprotokoll aufbewahrt werden muss. Unsere Interne Revision ist der Meinung,dass diese Nachweise für immer aufbewahrt werden müssen.
Die gleiche Frage stellte sich bei der Aufbewahrung des Stockregisters. Umsätze zum Sparkonto sind für 10 Jahre nachzuverfolgen. Muss das Stockregister dann unbefristet aufbewahren?
Und ein letzter Punkt: Wie lange muss ein Schlüsselverzeichnis aufbewahrt werden? Für welen Zeitraum spielt es noch eine Rolle, wer welchen Schlüssel in seinem Zugriff und damit Zugang zu bestimmten Räumen (Büros, Archiv, Personalakten etc.) hatte.

Ich freue mich auf Ihre Rückmeldung

Als “ex Banker” und DSB versuche ich mich mal vorsichtig dem Thema anzunähern.

Wie Du schon schreibst, sind nach Art.5 DS-GVO nicht mehr benötigte Daten zu löschen/vernichten, wobei eine Anonymisierung gleichbedeutend ist. Nach gesetzlichen Regelungen ist (bis auf wenige Ausnahmen wie Bauakten, Baubücher u. ä.) die längste Aufbewahrungsfrist 10 Jahre, wie Du für das Stockregister schreibst.
Das Sparbuch ist m. W. Namenspapier mit Inhaberklausel nach §808 BGB. Es sollte bzw. muss alles im Sparbuch dokumentiert sein und am Ende zurückgegeben oder “ungültig” gekennzeichnet sein.
Wenn dem immer so ist, können m. E. alle Unterlagen nach Fristablauf vernichtet werden. Aber oft ist es eben nicht so einfach. Sparbücher gehen verloren, Erstdokumente wurden ausgestellt, Auszahlungen ohne Vorlage durchgeführt u.s.w. Die Regelungen sind m. W. in den §§793-808 BGB geregelt. Wenn die Vorlagefrist nicht anders geregelt wurde (?) würde meiner Ansicht nach eine Frist von 30 Jahren nach Fälligkeit gelten. Da in der Regel für ein Sparbuchguthaben keine Fälligkeit, sondern nur Festlegungsfristen vereinbart werden, wäre für die genannten Abweichungen eine unbefristete Aufbewahrung zum Nachweis tatsächlich erforderlich.
Für das Löschungsprotokoll, dass keine personenbezogenen Daten enthält, würde ich die Aufbewahrungsfrist nach GoBD von 10 Jahren ansetzen.
PS: Hinweise auf Urteile findest Du unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Text=3%20U%2068/94

Hallo und guten Tag,

wenn ich als externer DSB einen Kunden betreue und dieser kündigt dann irgendwann den Vertrag, wie sieht es dann mit den Lösch- und Aufbewahrungsfristen aus?
Die Frage bezieht sich auf für den Kunden erstellte Dokumentationen, z.B. Jahresbericht, VVT, Informationspflichten u.ä.m.

Hallo Bagojowitsch,

habt ihr da im Vertrag mit eurem Kunden keine Regelung dazu getroffen? Oft wird bei so einem Fall doch mit eingebaut, dass die Daten der Kunden nach dem Vertragsverhältnis zu löschen sind. :thinking:
Ich würde dem Kunden am Ende der Laufzeit einfach nochmal alle Dateien anbieten, damit würde die Dokumentation gewahrt bleiben. Der Kunde muss dann die Verantwortung selbst übernehmen.
Und ihr könntet die Dateien direkt löschen oder anonymisieren. Manchmal ist es ja hilfreich bestimmte Textpassagen nicht neu erfinden zu müssen und sich mit solchen Templates die Arbeit ein bisschen zu erleichtern. :wink:
Am Besten du fragst mal bei euch rum, wie oft die Ex-Kunden nochmal zu euch kommen und die alte Dokumentation wieder anfordern. Daran könntet ihr dann ebenfalls die Löschfrist knüpfen.
Und nicht vergessen zu überprüfen, ob der Inhalt für euch wegen anderen Rechtsgrundlagen aufbewahrt werden muss. (Stichworte GoBD, Steuerrecht, etc.) :slightly_smiling_face:

Vielen Dank für die Antwort. Ich habe von der Verwaltung mal den Vertrag und AVV angefordert, um zu sehen, was da drin steht. Steuerrechtliche Unterlagen u.ä. ist klar. Anderes, was man ggfs. anderweitig als Vorlage o.ä. verwenden könnte - nun, da könnte die Anonymisierung helfen.