Lesezeit: 3 Min
Aufbewahren und Löschen und der Datenschutz
Personenbezogene Daten von Interessenten stellen in Unternehmen eine große Masse an Daten dar. Egal ob aus dem Interessenten einmal ein Kunde wird oder kein Auftrag entsteht: auch für diese Daten muss der Datenschutz eingehalten werden. Dabei stellt sich dann oft die Frage: Wie lange müssen oder dürfen personenbezogene Daten von Interessenten aufbewahrt werden?
Was sind personenbezogene Daten von Interessenten?
Bevor man die personenbezogenen Daten von Interessenten datenschutzkonform löschen kann, muss man herausfinden, welche Daten verarbeitet werden. Daher sollte man mögliche Prozesse in denen personenbezogene Daten verarbeitet werden könnten identifizieren und auf die Einhaltung des Datenschutzes hin durchleuchten.
Personenbezogene Daten können die unterschiedlichsten Daten darstellen, was auch je nach Situation unter Umständen variieren kann. Zu personenbezogenen Daten von Interessenten können beispielweise zählen:
- E-Mail-Adressen (auch geschäftlich)
- Name
- Anschrift
- IP-Adresse
- Bestelldaten
- Telefonnummern (auch geschäftlich)
- Geschlecht
- Nickname
- Geburtsdaten
Grundsätzlich darf eine Verarbeitung von personenbezogenen Daten nur dann stattfinden, wenn eine gesetzliche Grundlage oder eine Einwilligung des Betroffenen vorliegen. Eine gesetzliche Grundlage kann zum Beispiel die Vertragserfüllung sein. Dabei ist zu beachten, dass die personenbezogenen Daten nur in einem Umfang erfasst werden dürfen, die für den Zweck notwendig sind.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Wieso müssen personenbezogene Daten gelöscht werden?
Dabei geht es um den Schutz des Betroffenen, in diesem Fall des Interessenten. Seine Daten dürfen nicht endlos aufbewahrt oder verwendet werden. Damit die Daten nicht für andere, unrechtmäßige Zwecke verwendet, verändert oder auch abgegriffen werden können, müssen sie in einem sicheren Maße gelöscht werden, sobald sie für den ursprünglichen Zweck nicht mehr benötigt werden.
Wie lange dürfen Interessentendaten aufbewahrt werden?
Personenbezogene Daten dürfen zum Schutz des Betroffenen nicht unendlich lange aufbewahrt werden. Das gilt auch für die Daten von Interessenten. Im Datenschutz geht es darum, dass die personenbezogenen Daten gelöscht werden, wenn diese für den Zweck nicht mehr benötigt werden.
Wichtig ist, dass vor der Löschung der Daten auch abgeklärt werden muss, ob personenbezogene Daten aufgrund anderer gesetzlicher Vorgaben (z.B. Steuerrecht o.ä.) aufbewahrt werden müssen und daher nicht im Sinne des Datenschutzes gelöscht werden dürfen.
Löschung oder doch Anonymisierung von personenbezogenen Daten?
In anderen Fällen kann es notwendig sein zu prüfen, ob personenbezogene Daten zwar nicht gelöscht werden müssen oder gar dürfen, aber eine Anonymisierung bestimmter oder aller personenbezogener Daten erfolgen muss.
Wann müssen personenbezogene Daten gelöscht werden?
Personenbezogene Daten müssen zwingend dann gelöscht werden, wenn der Zweck, für den sie verwendet werden, nicht mehr vorhanden ist. Eine längere Aufbewahrung ist nicht erlaubt. Das gilt für alle personenbezogene Daten, digital oder analog verarbeitet oder aufbewahrt. Die Daten müssen ggf. auch dann gelöscht werden, wenn der Betroffene seine Einwilligung zur Datenverarbeitung rechtmäßig widerruft.
Wichtig ist, dass vor der Löschung der Daten auch abgeklärt werden muss, ob personenbezogene Daten aufgrund anderer gesetzlicher Vorgaben (z.B. Steuerrecht o.ä.) aufbewahrt werden müssen und daher nicht im Sinne des Datenschutzes gelöscht werden dürfen.
Wer ist für die Löschung verantwortlich?
Personenbezogene Daten von Interessenten werden also an unterschiedlichsten Stellen verarbeitet und dürfen nur begrenzt aufbewahrt werden. Doch wer ist eigentlich dafür verantwortlich, dass die Daten rechtzeitig gelöscht oder anonymisiert werden? Die Verantwortung für die Löschung von Interessentendaten liegt grundsätzlich beim Unternehmen. Denn gemäß der Datenschutz-Grundverordnung (DS-GVO) ist der Verantwortliche für die Verarbeitung personenbezogener Daten dafür zuständig, dass diese Daten ordnungsgemäß gelöscht werden. Dazu gehören auch die Daten von Interessenten.
Hierbei ist es wichtig zu beachten, dass die Löschung nicht nur physisch, sondern auch digital erfolgen muss. Um die Einhaltung der Löschpflichten sicherzustellen, sollten Unternehmen klare Regelungen und Prozesse implementieren. Hierbei kann ein Datenschutzbeauftragter unterstützen.
BLOG-TIPP: DATENSCHUTZ: PFLICHTEN DES VERANTWORTLICHEN
Technologien für Löschkonzepte implementieren
Ein Löschkonzept für die Einhaltung der Fristen und des Datenschutzes ist meist unumgänglich. Um sicherzustellen, dass die erhobenen personenbezogenen Daten zum richtigen Zeitpunkt gelöscht werden, gerade bei großen Mengen von Daten oder einer automatisierten Verarbeitung, macht es Sinn Technologien einzusetzen.
Die implementierten Technologien müssen natürlich auch immer einer Überprüfung im Datenschutz unterzogen werden und dieser standhalten. Darüber hinaus müssen die Mitarbeiter im Umgang mit den personenbezogenen Daten geschult werden, damit auch alle erfassten Daten entsprechend berücksichtigt werden können.
BLOG-TIPP: DATENSCHUTZ IN NRW: LÖSCHFRISTEN FÜR UNTERNEHMEN
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.