Personenbezogene Daten müssen gelöscht werden, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Denn im Datenschutzrecht gilt der Grundsatz der Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet oder gespeichert werden. Das bedeutet aber auch: Daten, deren rechtmäßiger Besitz nicht nachgewiesen werden kann, dürfen also auch nicht weiterverarbeitet oder “auf Vorrat” gespeichert werden.
Sobald die ursprüngliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten wegfällt, stellt sich die Frage, ob die Daten gelöscht oder weiter aufbewahrt werden müssen bzw. dürfen. Die gesetzlichen Regelungen erlauben bzw. verlangen je nach Fall unterschiedliches Vorgehen.
Die Verantwortlichen müssen deshalb ein Löschkonzept erstellen, das all diese Aspekte berücksichtigt. Die Einhaltung der DSGVO ist nicht das einzige positive Ergebnis der Erarbeitung eines Löschkonzepts. Es trägt auch zu einer Verbesserung der internen Unternehmensorganisation bei, weil die Geschäftsprozesse präzisiert und optimiert werden.
Wann muss gespeichert werden?
Situationen, in denen nicht gelöscht werden darf, listet die DSGVO auf. Dazu gehören zum Beispiel - im Moment sehr aktuell - Gründe im Bereich der öffentlichen Gesundheit oder Daten, die zur Ausübung oder Verteidigung von Rechtsansprüchen notwendig sind. Weitere Aufbewahrungspflichten für besondere Situationen finden sich in diversen Spezialgesetzen. So ergeben sich insbesondere steuerrechtliche Aufbewahrungspflichten und mitunter die Pflicht zur Aufzeichnung und Speicherung der Kundentelefonate von Unternehmen. Und auch im Personalwesen gibt es bestimmte Aufbewahrungspflichten zu beachten.
Welche Daten haben wir wo?
Es ist in manchen Unternehmen schwierig, einen Überblick darüber zu gewinnen, wo überall im Unternehmen die zu löschenden Daten gespeichert sein können, welche Systeme diese Daten untereinander austauschen und wer die Daten erhalten hat. Diese Herausforderung wird durch Cloud Computing und andere Technologien noch erhöht. Durch einen Blick in das Verzeichnis der Verarbeitungstätigkeiten (VdV) kann zumindest die Bestandsaufnahme der verarbeiteten Daten gelingen. Als Nächstes sollten diese Daten in Kategorien eingeordnet werden, für die jeweils die gleiche Aufbewahrungsdauer gilt. Dabei ist wichtig, gründlich vorzugehen, da Lösch- und Aufbewahrungspflichten leicht zu Haftungsfallen werden können.
Ist meine verwendete Software datenschutzkonform?
Auch, wenn das Löschkonzept steht, ist die Umsetzung nicht immer einfach. Lösch- und Speicherregeln sind in die Software, die für Datenverarbeitungen genutzt wird, einzupflegen. Einige Programme sehen keine Möglichkeit vor, überhaupt Daten zu löschen. An dieser Stelle kann die Pflicht zum „Privacy by Design“ nach Art 25 DSGVO Sie dazu verpflichten, Software anzuschaffen, die das Löschen und Speichern nach den Vorgaben des Löschkonzeptes ermöglicht.
Da sich die Verarbeitungstätigkeiten und die dafür genutzten Tools auch permanent verändern, bedarf es einer fortlaufenden und umfassenden Kontrolle, weshalb sich das Heranziehen von Datenschutzexperten für diesen Teil der Umsetzung der DSGVO empfiehlt.
Wünsche Sie Unterstützung?
Kontaktieren Sie mich!
Ing. Walter Wratschko, "Der Scout im Dienste Ihrer Daten", der@dsgvo-scout.at, +43 699 150 43 86 0