Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur solange, wie die Verarbeitung für diesen Zweck erforderlich ist. Danach müssen personenbezogene Daten gelöscht werden. Lesen Sie hier, welche Maßnahmen Sie treffen sollten, um diese Pflicht zu erfüllen.
So lange darf man personenbezogene Daten speichern
Personenbezogene Daten dürfen nur verarbeitet werden, wenn man dafür eine Rechtfertigung hat. Rechtfertigungstatbestände ergeben sich vor allem aus der DSGVO und dem BDSG, können sich aber auch aus anderen Rechtsnormen wie Betriebsvereinbarungen oder Tarifverträgen ergeben.
Bevor man personenbezogene Daten erhebt, muss man sicherstellen, dass eine Rechtfertigung vorliegt, z.B. weil die Betroffenen eine Einwilligung erklärt haben oder die Verarbeitung für die Erfüllung gesetzlicher oder vertraglicher Pflichten erforderlich ist. Man darf personenbezogenen Daten dann verarbeiten, bis dieser Zweck erreicht ist. Wenn etwa Adressdaten verarbeitet werden, um eine Bestellung auszuliefern, wäre dieser Zweck erfüllt, wenn die Bestellung ausgeliefert ist.
Wann muss man personenbezogene Daten Löschen?
Wenn der Zweck einer Datenverarbeitung erreicht ist, müssen personenbezogene Daten eigentlich gelöscht werden. Es gibt aber oft Gründe, das nicht direkt zu tun. Es kann nämlich sein, dass neue Rechtfertigungstatbestände eingreifen und sich aus einem geänderten Zweck eine neue Rechtfertigung ergibt. Wenn man etwa Adressdaten für eine Bestellung erhoben hat und die Empfänger sich bei der Bestellung für Infopost des Unternehmens angemeldet haben, darf das Unternehmen nach der Auslieferung Adressdaten auch zur Versendung der Infopost verwenden.
Wenn es keinen Zweck mehr zur Verarbeitung personenbezogener Daten gibt, sollte man vor der Löschung immer prüfen, ob es Pflichten oder Rechte zur Aufbewahrung gibt. Das ist sehr häufig der Fall. Dann kann eine Aufbewahrung vor der Löschung gerechtfertigt oder sogar erforderlich sein. Typische Aufbewahrungsfristen ergeben sich aus gesetzlichen Verjährungsfristen oder den steuer- und handelsrechtlichen Aufbewahrungspflichten.
Für das Beispiel der Verarbeitung personenbezogener Daten zur Auslieferung einer Bestellung ist es zulässig, diese bis zum Ablauf der gesetzlichen Verjährungsfrist von drei Jahren ab dem Ende des Kalenderjahres aufzubewahren, nämlich für den Fall, dass es im Zusammenhang mit der Bestellung zu einer rechtlichen Auseinandersetzung kommt. Wenn im Zusammenhang mit der Bestellung Handels- oder Geschäftsbriefe versendet wurden, müssen diese 6 Jahre aufbewahrt werden.
Wenn keine Rechtfertigung mehr besteht und Aufbewahrungsfristen abgelaufen sind, müssen personenbezogene gelöscht werden.
Hier gibt es eine Übersicht der Löschfristen für HR Daten.
Pflicht zur Erstellung eines Löschkonzepts
Aus Art. 5 Abs. 2 DSGVO ergibt sich faktisch eine Pflicht zur Erstellung eines Löschkonzepts.
Die Pflicht zu Löschung von personenbezogenen Daten ergibt sich aus dem Betroffenenrecht in Art. 17 DSGVO und aus dem Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten müssen wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO nachgewiesen werden können. Das erfordert praktisch, dass Verantwortliche eine Dokumentation vorhalten, aus der sich IT-Systeme, enthaltene personenbezogene Daten, Verarbeitungszwecke, Aufbewahrungs- und Löschfristen und einen Nachweis der Löschung ergeben. In anderen Worten: ein Löschkonzept.
Wie erstellt man ein Löschkonzept?
Für die Erstellung des Löschkonzepts erstellt man eine Übersicht der IT-Systeme und Prozesse zur Verarbeitung personenbezogener Daten. Diese Übersicht ergänzt man um die konkret betroffenen personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten in diesen IT-Systemen und Prozessen. Für die personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten legt man dann möglichst konkret fest, wie lange es Zwecke gibt, diese Daten zu verarbeiten (Vorhaltefrist) und wie lange die personenbezogenen Daten nach der Zweckerfüllung aufbewahrt werden dürfen oder müssen (Aufbewahrungspflicht).
Hier geht es zum Download von unserem Muster.
Was passiert, wenn man personenbezogene Daten zu spät oder gar nicht löscht?
Der Verstoß gegen Art. 17 DSGVO oder den Grundsatz der Speicherbegrenzung ist bußgeldbewehrt und kann zu Bußgeldern in Höhe von bis zu 20 Millionen EUR oder 4% des Unternehmensumsatzes führen. Für den Verstoß gegen Löschpflichten wurde 2019 von der Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die die „Deutsche Wohnen“ das bisher höchste Datenschutz-Bußgeld in Deutschland in Höhe von 14 Millionen EUR verhängt. Der Bußgeldbescheid ist nicht rechtskräftig. Die Rechtmäßigkeit wird noch gerichtliche geklärt.