Richtlinie zur Datenaufbewahrung

Zweck, Geltungsbereich und Nutzer

Diese Richtlinie legt die vorgeschriebenen Aufbewahrungsfristen für bestimmte Kategorien personenbezogener Daten fest und definiert die Mindeststandards, die bei der Vernichtung bestimmter Informationen anzuwenden sind.

Diese Richtlinie gilt für alle Geschäftsbereiche, Prozesse und Systeme in allen Ländern, in denen StorMagic Ltd geschäftlich tätig ist und Geschäftsbeziehungen oder sonstige Beziehungen zu Dritten unterhält.

Diese Richtlinie gilt für alle Führungskräfte, Vorstandsmitglieder, Mitarbeiter, Beauftragten, verbundenen Unternehmen, Auftragnehmer, Berater, Gutachter oder Dienstleister von StorMagic Ltd, die Daten (einschließlich personenbezogener Daten und/oder sensibler personenbezogener Daten) erheben, verarbeiten oder Zugriff darauf haben. Es liegt in der Verantwortung aller oben genannten Personen, sich mit dieser Richtlinie vertraut zu machen und deren ordnungsgemäße Einhaltung sicherzustellen.

Diese Richtlinie gilt für alle bei StorMagic Ltd. verwendeten Informationen. Beispiele für solche Dokumente sind:

  • E-Mails
  • Dokumente in Papierform
  • Dokumente in elektronischer Form
  • Von physischen Zugangskontrollsystemen erzeugte Daten

Referenzdokumente

EU-DSGVO 2016/679 (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG)

Aufbewahrungsvorschriften

Allgemeiner Grundsatz zur Aufbewahrung

Für alle Dokumentenkategorien, die an anderer Stelle in dieser Richtlinie nicht ausdrücklich definiert sind, gilt – sofern das geltende Recht nichts anderes vorschreibt – eine Aufbewahrungsfrist von drei Jahren ab dem Datum der Erstellung des Dokuments.

Allgemeiner Zeitplan für die Aufbewahrung

Der Datenschutzbeauftragte legt anhand des Aufbewahrungsplans den Zeitraum fest, für den die Dokumente und elektronischen Aufzeichnungen aufzubewahren sind. Dieser Zeitraum kann unter außergewöhnlichen Umständen verlängert werden.

Laufende Ermittlungen durch Behörden der Mitgliedstaaten, sofern die Möglichkeit besteht, dass das Unternehmen Aufzeichnungen über personenbezogene Daten benötigt, um die Einhaltung gesetzlicher Vorschriften nachzuweisen; oder

Bei der Ausübung gesetzlicher Rechte im Rahmen von Rechtsstreitigkeiten oder ähnlichen, nach lokalem Recht anerkannten Gerichtsverfahren.

Datenschutz während der Aufbewahrungsfrist

Die Möglichkeit, dass für die Archivierung verwendete Datenträger verschleißen, ist zu berücksichtigen. Werden elektronische Speichermedien gewählt, sind auch alle Verfahren und Systeme, die gewährleisten, dass während der Aufbewahrungsfrist auf die Informationen zugegriffen werden kann (sowohl hinsichtlich des Datenträgers als auch der Lesbarkeit der Formate), zu dokumentieren, um die Informationen vor Verlusten infolge künftiger technologischer Veränderungen zu schützen. Die Verantwortung für die Aufbewahrung liegt beim Datenschutzbeauftragten.

Vernichtung von Daten

Das Unternehmen und seine Mitarbeiter sollten daher regelmäßig alle Daten überprüfen – unabhängig davon, ob diese elektronisch auf ihren Geräten oder in Papierform vorliegen –, um zu entscheiden, ob Daten vernichtet oder gelöscht werden sollen, sobald der Zweck, zu dem diese Dokumente erstellt wurden, nicht mehr gegeben ist. Den Aufbewahrungsplan finden Sie im Anhang. Die Gesamtverantwortung für die Vernichtung von Daten liegt beim DSGVO-Beauftragten. Sobald die Entscheidung getroffen wurde, die Daten gemäß dem Aufbewahrungsplan zu entsorgen, sollten diese gelöscht, geschreddert oder auf andere Weise vernichtet werden, und zwar in einem Umfang, der ihrem Wert für Dritte und ihrem Vertraulichkeitsgrad entspricht. Die Art der Entsorgung variiert und hängt von der Art des Dokuments ab. So müssen beispielsweise alle Dokumente, die sensible oder vertrauliche Informationen (und insbesondere sensible personenbezogene Daten) enthalten, als vertraulicher Abfall entsorgt und einer sicheren elektronischen Löschung unterzogen werden; bei einigen abgelaufenen oder durch neuere Fassungen ersetzten Verträgen kann eine interne Aktenvernichtung ausreichend sein. Der nachstehende Abschnitt „Zeitplan für die Dokumentenentsorgung“ legt die Art der Entsorgung fest. In diesem Zusammenhang hat der Mitarbeiter die für die Vernichtung der Informationen relevanten Aufgaben in angemessener Weise auszuführen und die entsprechenden Verantwortlichkeiten zu übernehmen. Der konkrete Lösch- oder Vernichtungsprozess kann entweder von einem Mitarbeiter oder von einem internen oder externen Dienstleister durchgeführt werden, den der DSGVO-Beauftragte zu diesem Zweck beauftragt. Alle geltenden allgemeinen Bestimmungen der einschlägigen Datenschutzgesetze sowie der Datenschutzrichtlinie des Unternehmens sind einzuhalten. Es sind angemessene Kontrollmaßnahmen zu treffen, die den dauerhaften Verlust wesentlicher Unternehmensinformationen infolge böswilliger oder unbeabsichtigter Vernichtung verhindern. Der Datenschutzbeauftragte hat den Vernichtungsprozess vollständig zu dokumentieren und zu genehmigen. Die geltenden gesetzlichen Anforderungen an die Vernichtung von Informationen, insbesondere die Anforderungen gemäß den geltenden Datenschutzgesetzen, sind uneingeschränkt zu beachten.

Verstöße, Durchsetzung und Einhaltung

Der für den Datenschutz zuständige Beauftragte, der DSGVO-Beauftragte, ist dafür verantwortlich, sicherzustellen, dass jede Niederlassung des Unternehmens diese Richtlinie einhält. Es liegt in der Verantwortung des DSGVO-Beauftragten, jede lokale Niederlassung bei Anfragen von lokalen Datenschutz- oder Regierungsbehörden zu unterstützen. Jeder Verdacht auf einen Verstoß gegen diese Richtlinie muss unverzüglich dem DSGVO-Beauftragten gemeldet werden. Alle Fälle mutmaßlicher Verstöße gegen diese Richtlinie sind zu untersuchen, und es sind entsprechende Maßnahmen zu ergreifen. Die Nichteinhaltung dieser Richtlinie kann nachteilige Folgen nach sich ziehen, darunter unter anderem den Verlust des Kundenvertrauens, Rechtsstreitigkeiten und den Verlust von Wettbewerbsvorteilen, finanzielle Verluste und Rufschädigung des Unternehmens sowie Personenschäden, Beeinträchtigungen oder Verluste. Die Nichteinhaltung dieser Richtlinie durch festangestellte, befristet beschäftigte oder auf Vertragsbasis tätige Mitarbeiter sowie durch Dritte, denen Zugang zu den Räumlichkeiten oder Informationen des Unternehmens gewährt wurde, kann daher zu Disziplinarverfahren oder zur Beendigung ihres Arbeitsverhältnisses bzw. ihres Vertrags führen. Eine solche Nichteinhaltung kann zudem rechtliche Schritte gegen die an solchen Handlungen beteiligten Parteien nach sich ziehen.

Entsorgung von Dokumenten

Zeitplan für die regelmäßige Entsorgung

Folgende Unterlagen dürfen routinemäßig vernichtet werden, sofern sie nicht Gegenstand einer laufenden rechtlichen oder behördlichen Untersuchung sind:

  • Ankündigungen und Mitteilungen zu den regelmäßigen Sitzungen und anderen Veranstaltungen, einschließlich Teilnahmebestätigungen und Absagen;
  • Anfragen nach allgemeinen Informationen, wie beispielsweise Wegbeschreibungen;
  • Reservierungen für interne Besprechungen ohne Gebühren bzw. externe Kosten;
  • Übermittlungsunterlagen wie Briefe, Faxdeckblätter, E-Mail-Nachrichten, Versandbelege, Begleitschreiben und ähnliche Unterlagen, die den Dokumenten beiliegen, jedoch keinen zusätzlichen Wert darstellen;
  • Nachrichtenzettel;
  • Veraltete Adresslisten, Verteilerlisten usw.;
  • Doppelte Dokumente wie CC- und FYI-Kopien, unveränderte Entwürfe, Momentaufnahmen oder Auszüge aus Datenbanken und Tagesakten;
  • interne Veröffentlichungen, die veraltet sind oder durch neuere Fassungen ersetzt wurden; und
  • Fachzeitschriften, Herstellerkataloge, Flyer und Newsletter von Anbietern oder anderen externen Organisationen.

In jedem Fall unterliegt die Vernichtung etwaigen Offenlegungspflichten, die im Rahmen eines Rechtsstreits bestehen könnten.

Vernichtungsverfahren

Dokumente der Stufe I sind solche, die Informationen von höchster Sicherheits- und Vertraulichkeitsstufe enthalten, sowie solche, die personenbezogene Daten umfassen. Diese Dokumente sind als vertraulicher Abfall zu entsorgen (durch Kreuzschnitt-Schreddern und Verbrennen) und müssen einer sicheren elektronischen Löschung unterzogen werden. Die Entsorgung der Dokumente sollte einen Vernichtungsnachweis umfassen.

Dokumente der Stufe II sind firmeneigene Dokumente, die vertrauliche Informationen wie Namen, Unterschriften und Adressen der Parteien enthalten oder von Dritten zur Begehung von Betrug missbraucht werden könnten. Die Dokumente sind kreuzweise zu schreddern und anschließend in verschlossene Müllbehälter zu entsorgen, damit sie von einem zugelassenen Entsorgungsunternehmen abgeholt werden können; elektronische Dokumente sind einer sicheren elektronischen Löschung zu unterziehen.

Dokumente der Stufe III sind solche, die keine vertraulichen Informationen oder personenbezogenen Daten enthalten und als Unternehmensdokumente veröffentlicht wurden. Diese sollten streifenweise geschreddert oder über ein Recyclingunternehmen entsorgt werden und umfassen unter anderem Anzeigen, Kataloge, Flyer und Newsletter. Diese können ohne Nachverfolgungsnachweis entsorgt werden.

Verwaltung der auf der Grundlage dieses Dokuments geführten Unterlagen

Name der Akte Aufbewahrungsort Für die Aufbewahrung zuständige Person Maßnahmen zum Schutz der Akte Aufbewahrungsfrist Datenaufbewahrungsplan Google Drive des DSGVO-Beauftragten Datenschutzbeauftragter Nur befugte Personen dürfen dauerhaft auf dieses Dokument zugreifen

Gültigkeit und Dokumentenmanagement

Dieses Dokument gilt ab dem 25.05.2018. Verantwortlich für dieses Dokument ist der Datenschutzbeauftragte, der das Dokument mindestens einmal jährlich überprüfen und gegebenenfalls aktualisieren muss.

Anhang – Aufbewahrungsfristen – Datenschutzbeauftragter (DSB)