Personenbezogene Daten sollten nicht ewig aufbewahrt werden
Der Datenschutz, der in der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) definiert ist, schützt in aller erster Linie die personenbezogenen Daten der sogenannten Betroffenen. Dabei soll verhindert werden, dass diese Daten an Unbefugte gelangen oder für andere Zwecke genutzt werden, als jenem weshalb die Daten einmal erhoben wurden.
Dabei schreibt der Datenschutz auch vor, wie lange die Daten aufbewahrt werden dürfen. In der Regel sind Unternehmen dazu verpflichtet, die Daten von Betroffenen sofort zu löschen, wenn diese nicht mehr für den Geschäftsprozess notwendig sind, für den sie erfasst wurden. Zu beachten ist dabei, dass die Daten natürlich so lange aufgehoben werden müssen, wie es gesetzlich vorgeschrieben ist.
Die Löschfristen sind für jeden Unternehmer, Vermieter, Vereinsvorsitzenden oder anderen Verantwortlichen im Datenschutz in NRW ein komplexes Thema und eine mögliche Fehlerquelle in der Umsetzung der DS-GVO. Datenschutzberater.NRW möchte Ihnen daher in diesem Datenschutz-Blog einen Überblick über die nötigen Vorgaben geben.
Welche gesetzlichen Aufbewahrungspflichten gelten im Datenschutz in NRW?
Wer in den gängigen Suchmaschinen nach den Löschfristen für personenbezogene Daten im Datenschutz sucht, der wird nicht auf eindeutige Angaben stoßen. Grund dafür ist, dass sich die Löschfristen in vielen Fällen an den gesetzlichen Aufbewahrungsfristen orientieren, bzw. direkt mit dem Zweck der Datenerhebung in Verbindung stehen.
Die DS-GVO sagt aus, dass personenbezogene Daten von Betroffenen nur so lange aufbewahrt werden dürfen, wie für den Zweck notwendig. Das bedeutet natürlich, dass die Daten erst dann gelöscht werden können, wenn die gesetzliche Aufbewahrungsfrist abgelaufen ist. Beide Vorgaben greifen also ineinander.
Es ist daher also empfehlenswert, wenn Datenschutzgrundverordnung oder Bundesdatenschutzgesetz nichts anderes vorschreiben, sich an den gesetzlichen Aufbewahrungspflichten für die Löschung zu orientieren. Liegen keine Aufbewahrungspflichten vor, sind die Daten nach Ablauf des Zwecks zwingend zu löschen. (Siehe hierzu auch unseren Artikel „Datenvernichten aber richtig“)
ERP- und E-Mail-Systeme auf dem Prüfstand der DS-GVO
Ein ERP-System (Enterprise Resource Planning) ist in nahezu jedem Unternehmen etabliert, um Prozesse zu optimieren. Dort werden auch personenbezogene Daten verarbeitet und gespeichert. Es sollte daher auch DS-GVO-konform nutzbar sein. Dazu gehört auch, dass man aus diesem System die Daten der Betroffenen wieder löschen muss. In der jüngeren Vergangenheit haben wir bereits darüber berichtet, dass es durchaus schon Probleme mit dem Löschen der Daten gegeben hat, da dies im System nicht vorgesehen war.
Das Gleiche gilt auch für verwendete E-Mail-System in Ihrem Unternehmen. Daten, die hier gespeichert werden, müssen löschbar sein. Stellen Sie daher sicher, dass auch aus Ihrem System die Daten wieder endgültig löschbar sind.
Keine Karteileichen im Schrank – gesetzeskonforme Papierakten
Wer Daten als Papierakten führt, muss auch hier sicherstellen, dass diese in den entsprechenden Fristen gelöscht werden. Ein Blick in den Keller lohnt dabei meistens. Oft werden alte Daten in Form von Akten länger als nötig aufbewahrt und sollten längst vernichtet werden.
Beachten Sie in allen Fällen aber auch die Aufbewahrungsfristen möglicher gesetzlicher Vorgaben.
Personenbezogene Daten: Datenschutz in NRW erfordert Löschkonzepte
Um sicher zu stellen, dass personenbezogene Daten gesetzeskonform und dem Datenschutz entsprechend in den Fristen gelöscht werden, sollte jedes Unternehmen in NRW ein Löschkonzept erstellen.
Was umfasst ein Löschkonzept? Das Löschkonzept umfasst dabei mehr als nur die zeitlichen Abläufe der Löschungen oder die praktische Umsetzung. In einem Löschkonzept sollte so genau wie möglich der Zweck der Datenverarbeitung definiert sein, auf deren Basis die Datenerhebung erfolgt. Im Zusammenhang mit diesem Zweck, vielmehr damit wann und wie lange dieser Zweck vorliegt (Zweckbindungsgrundsatz) und in der Kombination mit den gesetzlichen Aufbewahrungspflichten, ergibt sich dann der Zeitraum, wann die Daten gelöscht werden dürfen aber vor allem auch, wann sie gelöscht werden müssen.
Es besteht also neben der gesetzlichen Aufbewahrungspflicht, die sich durch den Verarbeitungszweck ergeben kann, eine Löschpflicht für den Verantwortlichen. Auch der Betroffene kann eine Löschung seiner Daten fordern, was natürlich mit den gesetzlichen Vorgaben konform sein muss.
Ein Löschkonzept sollte auch die Daten des geforderten Backups eines Systems und ebenfalls die Auftragsdatenverarbeitung, also die Weitergabe der personenbezogenen Daten an Auftragsdatenverarbeiter berücksichtigen. Auch hier müssen die Daten nach Ablauf der Fristen oder auf das Löschbegehren des Betroffenen hin gelöscht werden.
Das Löschkonzept sollte auch eine durchdachte und stimmige Löschroutine enthalten. Erstellt und dokumentiert man ein stichhaltiges Löschkonzept, kann dies auch bei möglichen Argumentationen gegenüber der Aufsichtsbehörde hilfreich sein.
Löschfristen unbedingt einhalten und dokumentieren
Die übermäßige Speicherung und zu lange Aufbewahrung von personenbezogenen Daten stellt einen Verstoß gegen die DS-GVO dar. Viele Verantwortliche unterschätzen dies und leider wird in der EDV-Beratung dieses Thema nicht immer sehr ernst genommen.
Sehr oft ist in den Köpfen noch verbreitet, dass es kein großes Problem ist, die personenbezogenen Daten etwas länger als nötig aufzubewahren. Fakt ist dabei aber, dass es nicht erlaubt ist Daten zu sammeln oder aufzubewahren.
Wie bei allen Vorgängen im Datenschutz ist auch die Einhaltung der Löschfristen entsprechend zu dokumentieren. Dies geschieht wie oben schon angemerkt über ein Löschkonzept, aber auch in anderen Bereichen der Umsetzung der DS-GVO müssen die Löschfristen festgehalten werden.
Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, sollten die Löschfristen zum Beispiel angegeben werden. In den sogenannten VVT erfassen Sie jede Art von Datenerhebung, bei der personenbezogene Daten verarbeitet werden. Auch in anderen Bereichen Ihrer Dokumentation sollten die Löschfristen gesetzeskonform dokumentiert werden.
Datenschutz: Löschfristen durch den (externen) Datenschutzbeauftragten beurteilen lassen
Ein Löschkonzept und die einzuhaltenden Löschfristen bilden also ein wichtiges Fundament des Datenschutzes, daher sollte der Verantwortliche eines Unternehmens, einer Kanzlei, Praxis, Schule oder eines Vereins sich durch den betrieblichen oder externen Datenschutzbeauftragten beraten lassen, wie es dieses umzusetzen gilt.
Der (externe) Datenschutzbeauftragte kann bei der Umsetzung unterstützend tätig werden und helfen, Fehlern oder Versäumnissen vorzubeugen. Er betrachtet das Unternehmen und seine Vorgänge aus datenschutzrechtlicher Sicht und kann daher die einzelnen Verarbeitungsprozesse im Löschkonzept bewerten.
Das Team von Datenschutzberater. NRW kann Ihnen dabei helfen, Löschfristen und Löschkonzepte DS-GVO-konform umzusetzen und Ihnen dabei beratend zur Seite stehen. Wir betreuen bereits erfolgreich Kunden aus verschiedenen Branchen in Köln, Bonn, Düsseldorf und ganz NRW.
Unser Angebot umfasst u.a. folgende Themenfelder:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- GoBD-Beratung
- IT-Erstberatung
- IT-Audit
- Scan der Homepage auf die Vorgaben des Datenschutzes
- Wir stellen einen externen Datenschutzbeauftragten (TÜV), der durch eine Datenschutzfachkraft (TÜV) unterstützt wird
Das Team aus dem Bereich Datenschutz, Steuerrecht und IT freut sich auf Ihre Anfrage.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO in NRW? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.