Bei der Formulierung von Löschregeln für einzelne Datenarten kann ein hoher Analyseaufwand entstehen. Um den Aufwand möglichst gering zu halten und die begrenzten Kapazitäten zu schonen, empfiehlt es sich, Standardlöschfristen festzulegen. Die Zahl der Standardlöschfristen sollte auf ein Minimum begrenzt werden. Dies trägt zur Verringerung der Komplexität des Löschkonzepts und insbesondere der nachgelagerten technischen und organisatorischen Umsetzung der Löschung bei.
Standardlöschfristen lassen sich aus den einschlägigen Rechtsvorschriften, die Datenvorhaltung bzw. -löschung betreffen, und den bestehenden vertraglichen oder gesetzlichen Regelungen ableiten. Neben den datenschutzrechtlichen Vorgaben der DSGVO und des BDSG sind insbesondere die Regelungen des Handelsgesetzbuchs (HGB) und der Abgabenordnung (AO) von besonderer Relevanz. Aber auch die Regelungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) können im Bereich der Vermietung und Personalarbeit ihre Wirkung entfalten. Bei Maklertätigkeit und bei Wohnungsgenossenschaften mit Spareinrichtung sind das Geldwäschegesetz (GwG) und das Kreditwesengesetz (KWG) zu beachten.
Fristen
Die Aufbewahrungsfrist beträgt gemäß § 257 Abs. 4 HGB für Buchungsbelege 10 Jahre und für Handelsbriefe 6 Jahre. § 147 Abs. 1 Nr. 2–4, Abs. 3 AO normiert die Aufbewahrungsfristen für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe wie Eingangs- und Ausgangsrechnungen, Lieferscheine, Kostenvoranschläge und Verträge dürfen bereits von Gesetzes wegen innerhalb der maßgeblichen Frist von 10 Jahren nicht gelöscht werden. Unterlagen im Zusammenhang mit der Anbahnung eines Handelsgeschäfts (Angebotsschreiben), das dann aber doch nicht zustande kam, unterliegen nicht der Aufbewahrungsfrist nach dem HGB oder den Steuergesetzen. Bedeutung hat dies für Bewerbungsunterlagen für eine Mietwohnung (Mietinteressentenbogen). Kommt es nicht zum Vertragsabschluss, sind die Unterlagen nach angemessener Frist (z. B. 3 Monate) zu löschen. Eine längere Aufbewahrung ohne Zustimmung der Mietbewerber ist unzulässig.
Insgesamt sind 3 Fälle bei der Fristbestimmung zu beachten.
- Ist in den Rechtsvorschriften eine Löschfrist angegeben, kann diese unmittelbar übernommen werden.
- Es bestehen spezifische Vorschriften zur Löschung einer Datenart, jedoch wird keine Frist angegeben. Durch Auslegung der Rechtsnorm unter Beachtung des Verwendungszwecks muss eine angemessene Löschfrist bestimmt werden.
- Die Löschung der Datenart muss nur an den allgemeinen Prinzipien der Verarbeitung von personenbezogenen Daten nach DSGVO und BDSG ausgerichtet werden. Unter Beachtung der Zweckbindung, Datensparsamkeit und Speicherbegrenzung nach Art. 5 DSGVO ist in diesen Fällen die Ableitung von Standardlöschfristen anhand einfacher Kriterien ausreichend. Der sich ergebende Spielraum bei der Fristbemessung sollte ausgenutzt werden. Jedoch sind auch immer die Grenzen zu beachten. Eine langfristige Speicherung für unbestimmte Zwecke (Vorratsdatenspeicherung) kann mit den Spielräumen nicht begründet werden. Diese Art der Vorratsdatenspeicherung widerspricht den Prinzipien der Zweckbindung und Datensparsamkeit. Auch die frei gewählten Standardlöschfristen müssen so festgelegt werden, dass für die zugeordneten Datenarten die datenschutzrechtlichen Grundsätze eingehalten werden.
Im Regelfall ist es ausreichend, die Standardlöschfristen des Löschkonzepts anhand ausgewählter Datenarten festzulegen. Fristen, die als Regellöschfristen für Kernprozesse eines Wohnungsunternehmens identifiziert werden, sind häufig für viele Datenbestände und verschiedene Datenarten anwendbar. Solche Fristen sind zumeist auch geeignete Standardlöschfristen.