Lesezeit: 3 Min
Wie lange dürfen personenbezogene Daten aufbewahrt werden?
Im Datenschutz, vor allem in der Datenschutzgrundverordnung (DS-GVO), die für alle Unternehmen, Schulen, Vereine, Selbstständige, Ärzte, Steuerberater und so weiter gilt, ist immer wieder davon die Rede, dass personenbezogene Daten gelöscht werden müssen.
Doch was heißt das eigentlich konkret und wann müssen personenbezogene Daten gelöscht werden?
Was sind personenbezogene Daten?
Um zu wissen, wie lange man personenbezogene Daten aufbewahren darf bzw. wann diese nach den Vorgaben des Datenschutzes gelöscht werden müssen, muss erst einmal festgestellt werden, wo und vor allem welche personenbezogenen Daten verarbeitet werden.
Personenbezogene Daten sind Daten, die einen Rückschluss auf eine natürliche Person zulassen. Dazu gehören Angaben wie Name, Adresse, Telefonnummer, E-Mail-Adressen, IP-Adressen, Geburtsdaten und so weiter.
BLOG-TIPP: Datenschutz in der Praxis – Was sind personenbezogene Daten nach DS-GVO?
Wie lange dürfen personenbezogene Daten gespeichert werden?
Grundsätzlich gilt: Personenbezogene Daten von Betroffenen, dürfen nicht unbegrenzt lange aufbewahrt werden. Folgt man den Vorgaben im Datenschutz, die durch das Bundesdatenschutzgesetzt (BDSG) und die Datenschutzgrundverordnung (DS-GVO) festgelegt werden, müssen die personenbezogenen Daten direkt dann gelöscht werden, wenn sie nicht mehr für den Zweck, für den sie erhoben werden, benötigt werden.
Es soll also verhindert werden, dass personenbezogene Daten von Betroffenen unnötig lange einsehbar oder auch abrufbar sind. Eine willkürlich große Datensammlung, wie es sie früher gerne auch einmal gab, darf so also gar nicht mehr entstehen.
Bevor der Verantwortliche in Unternehmen, Schule, Kindergarten, Verein, Kanzlei oder Praxis personenbezogene Daten aber löscht, muss aber einiges beachtet werden.
Wie lange müssen personenbezogene Daten aufbewahrt werden?
Auch wenn der Zweck, weshalb die personenbezogenen Daten erhoben wurden, erloschen ist, kann es gesetzliche und auch datenschutzrechtliche Vorgaben geben, die es notwendig machen, Daten weiterhin zu speichern.
Dazu gehören gesetzliche Aufbewahrungsfristen zum Beispiel für Rechnungen und andere Belege, aber auch Nachweis- und Dokumentationspflichten im Datenschutz.
BLOG-TIPP: Datenschutz in der Praxis – Datenvernichten, aber richtig
Wann müssen personenbezogene Daten wieder gelöscht werden?
Um herauszufinden welche personenbezogenen Daten zu welchem Zeitpunkt gelöscht werden müssen, muss man daher genau definieren, welche Gruppen von Daten man zu welchem Zweck und bei welchem Prozess verarbeitet.
Um dabei strukturiert vorzugehen, erstellt man ein Löschkonzept, welches die notwendigen Angaben dokumentiert, strukturiert, bündelt und die richtigen Schritte zum entsprechenden Zeitpunkt einleitet.
Strukturierte und regelmäßige Prüfung der Löschfristen
Wer durch ein Löschkonzept sicherstellt, wann und welche Daten gelöscht werden müssen, der kann mögliche Verstöße gegen die Vorgaben im Datenschutz aber auch gegen die gesetzlichen Vorgaben bezüglich der Aufbewahrung vermeiden.
Dabei gilt es sowohl die ERP-, E-Mail- und andere EDV-Systeme zu betrachten. Erfüllen die Programme, welche personenbezogene Daten verarbeiten, die Grundlagen im Datenschutz? Wo werden die Daten gespeichert oder ggf. sogar weiter übermittelt? – Fragen, die sich jeder Verantwortliche stellen muss, um personenbezogene Daten korrekt aufzubewahren oder auch zu löschen.
BLOG-TIPP: ERP-Systeme im Datenschutz richtig nutzen
Personenbezogene Daten in Papierform – auch hier gelten die Fristen
Was für die personenbezogenen Daten gilt, die digital Verarbeitet werden, das gilt natürlich auch für jene, die manuell erfasst werden. Karteileichen im Schrank oder andere Ausdrucke etc., in denen personenbezogene Daten aufbewahrt werden könnten, müssen ebenfalls durch das erstellte Löschkonzept abgedeckt werden.
Einhaltung und Dokumentation von Löschfristen
Neben der Einhaltung der Löschfristen im Datenschutz, ist auch die Dokumentation eine wichtige Grundlage. Bei einer Nachfrage durch die zuständige Aufsichtsbehörde ist auch nachzuweisen, warum man personenbezogene Daten unter Umständen noch aufbewahrt hat (z.B. gesetzliche Aufbewahrungspflichten) oder wie und in welchem Umfang Daten gelöscht bzw. vernichtet wurden.
Daher sollten alle damit zusammenhängenden Prozesse entsprechend dokumentiert und regelmäßig aktualisiert werden.
Richtige Löschung und externe Verarbeitung von personenbezogenen Daten
Wichtig bei der Löschung und Vernichtung von Daten, ist auch die korrekte Umsetzung. Gerade im Bereich der EDV, bedeutet Löschen nicht immer auch, dass die Daten ausreichend vernichtet werden. Auch bei der Vernichtung von Daten muss einiges beachtet werden. Dazu gehört unter anderem auch, ob die Löschung bzw. Vernichtung von personenbezogenen Daten durch einen externen Anbieter erfolgt. Unter Umständen ist hier ein sogenannter AV-Vertrag notwendig.
Auch Geräte wie Kopierer, Scanner, Faxgeräte usw. müssen auf eine mögliche Datenverarbeitung und -Speicherung, damit auch eine Löschung hin überprüft werden.
Komplexe Ansprüche bei der Datenlöschung
Gerade bei der Löschung von personenbezogenen Daten im Datenschutz und bei dem Umgang mit den notwendigen Löschkonzepten, sollte ein Fachmann hinzugezogen werden. Viele Organisationen müssen, definiert durch die Vorgaben im Datenschutz, einen Datenschutzbeauftragten für die entsprechende Umsetzung des Datenschutzes berufen.
Aber auch wenn nicht zwingend ein Datenschutzbeauftragter eingesetzt werden muss, macht es vor allem in komplexen Abläufen Sinn, sich durch diesen in der Datenverarbeitung beraten zu lassen. Ein externer Datenschutzbeauftragter kann dabei eine wichtige fachliche Unterstützung darstellen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.