Lesezeit: 3 Min
Warum müssen personenbezogene Daten gelöscht werden?
Der Datenschutz hat unter anderem die Hauptaufgabe den Schutz der Betroffenen sicher zu stellen. Dabei stehen die Verarbeitung und Aufbewahrung oft im Mittelpunkt der Organisationen, die sich mit dem Datenschutz beschäftigen müssen. Grundsätzlich muss sich jeder Verantwortliche, der personenbezogene Daten verarbeitet, an den Datenschutz halten.
Was dabei nicht vergessen werden darf: Es geht nicht nur darum, dass personenbezogene Daten gesetzeskonform verarbeitet werden. Personenbezogene Daten dürfen nicht unbegrenzt aufbewahrt, gespeichert oder verarbeitet werden.
Welche Daten sind personenbezogene Daten?
Um zu wissen, welche Daten der Betroffenen unter die Vorgaben der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) fallen, muss man wissen, was personenbezogene Daten sind.
Personenbezogene Daten sind jene Daten, die Rückschlüsse auf eine natürliche Person zulassen. Ob Daten zu personenbezogenen Daten werden, kann unter Umständen auch von der Situation abhängen, in der Sie genutzt werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Typische Beispiele für personenbezogene Daten können sein:
- Name
- Adresse
- Telefonnummer (auch geschäftlich)
- E-Mail-Adressen (auch geschäftlich)
- IP-Adressen
Darüber hinaus gibt es auch sogenannte personenbezogene Daten der besonderen Kategorien, wie zum Beispiel Gesundheitsdaten. Die Verarbeitung dieser Daten unterliegt noch deutlich strengeren Regeln und darf nur in Ausnahmefällen erfolgen.
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
DS-GVO: Warum müssen personenbezogene Daten geschützt werden?
Die Verarbeitung von personenbezogenen Daten birgt immer auch ein Risiko für den Betroffenen. Um das Risiko für einen Schaden des Betroffenen möglichst gering zu halten, schafft der Datenschutz die notwendigen Grundlagen. Dazu gilt es, unterschiedliche Vorgaben der DS-GVO und des BDSG einzuhalten.
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten und darf nur aufgrund einer zulässigen Grundlage (wie z.B. gesetzliche Vorschriften oder einer Einwilligung des Betroffenen) erfolgen.
BLOG-TIPP: VERBOT MIT ERLAUBNISVORBEHALT – VERARBEITUNG VON PERSONENBEZOGENEN DATEN
Personenbezogene Daten löschen
Personenbezogene Daten dürfen nicht uneingeschränkt lange verarbeitet oder aufbewahrt werden. In der DS-GVO ist festgelegt, dass personenbezogene Daten dann gelöscht werden müssen, wenn sie nicht mehr für den ursprünglichen Zweck, für den sie erfasst wurden, benötigt werden.
Dabei dürfen die Daten aber nicht gelöscht werden, wenn sie aus anderen gesetzlichen Vorgaben heraus länger aufbewahrt werden müssen. Zusammenfassend kann man sagen: Die personenbezogenen Daten dürfen nur so kurz wie möglich verarbeitet und aufbewahrt werden.
BLOG-TIPP: BETROFFENENRECHTE – WAS IST DAS RECHT AUF LÖSCHUNG?
Welche personenbezogenen Daten müssen gelöscht werden?
Darüber hinaus müssen die personenbezogenen Daten dann gelöscht werden, wenn die Verarbeitung aufgrund einer Einwilligung des Betroffenen erfolgt ist und dieser seine Einwilligung rechtmäßig widerruft.
BLOG-TIPP: EINWILLIGUNG IM DATENSCHUTZ FÜR DIE RECHTMÄSSIGE VERARBEITUNG
Wenn der Zweck eine Verarbeitung oder Speicherung nicht mehr notwendig macht oder die Einwilligung widerrufen wurde, müssen alle personenbezogenen Daten gelöscht werden.
Personenbezogene Daten die nicht gelöscht werden können
Wenn personenbezogene Daten aufgrund von einer gesetzlichen Vorgabe oder aus einem anderen rechtlichen Grund nicht gelöscht werden können, dürfen sie nicht gelöscht werden. Entsprechend verändert sich die Aufbewahrungs- bzw. Löschpflicht. In einigen Fällen kann es darüber hinaus notwendig sein, dass bestimmte Daten im Sinne des Datenschutzes anonymisiert werden müssen.
BLOG-TIPP: DATENSCHUTZ ERKLÄRT: „PRIVACY BY DESIGN“ / „PRIVACY BY DEFAULT“
Datenschutz: Löschkonzepte erstellen
Um die einzelnen Löschfristen im Datenschutz und die Aufbewahrungspflichten anderer gesetzlicher Vorgaben ausreichend sicher und vor allem zum korrekten Zeitpunkt umsetzen zu können, sollten Löschkonzepte entwickelt und etabliert werden.
Löschkonzepte kombinieren die unterschiedlichen Ansprüche von Datenschutz und anderer gesetzlicher Vorgaben mit den Prozessen in denen personenbezogene Daten verarbeitet werden. So kann sichergestellt werden, dass keine personenbezogenen Daten länger als erlaubt verarbeitet und gespeichert werden und bei Bedarf eine Anonymisierung erfolgt.
Achtung bei Datenvernichtung: Auftragsverarbeitung beachten
Die Löschung oder auch die Anonymisierung von personenbezogenen Daten bezieht sich hierbei nicht nur auf die digitale Verarbeitung der Daten, sondern eben auch um die Vernichtung von Daten in Papierform o.ä.. Wird die Löschung oder die Vernichtung von personenbezogenen Daten durch einen Dritten übernommen, dann handelt es sich um eine sogenannte Auftragsverarbeitung. Bei dieser Art von Verarbeitung der Daten, muss ein sogenannter AV-Vertrag abgeschlossen werden, um den Datenschutz umzusetzen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Gerade die Umsetzung und Erstellung von DS-GVO-konformen Löschkonzepten, die Beurteilung, wann Daten gelöscht, anonymisiert oder eben auch aufbewahrt werden können oder dürfen, kann eine komplexe Aufgabe im Datenschutz darstellen. Hierbei macht es Sinn, sich durch den (externen) Datenschutzbeauftragten in Sachen Datenschutz beraten zu lassen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.