Müssen alle personenbezogenen Daten gelöscht werden?
Als Grundsatz gilt: Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet werden, wie sie für den jeweils definierten Zweck benötigt werden. Wenn der Zweck nicht (mehr) besteht, müssen sie gelöscht werden, sofern dieser Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Wenn ein Gesetz eine Aufbewahrungsfrist definiert, darf erst nach deren Ablauf gelöscht werden. Dies bedeutet, dass die meiste E-Mail-Korrespondenz oftmals zeitnah gelöscht werden kann und muss, es sei denn innerbetriebliche Erfordernisse oder gesetzliche Aufbewahrungspflichten (beispielsweise wenn E-Mails als Geschäftsbrief gelten) erfordern eine längere Aufbewahrung.
Gibt es Ausnahmen? Nach Art. 17 Abs. 3 DSGVO besteht eine Ausnahme von der Verpflichtung zur Löschung personenbezogener Daten, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Hierzu zählen sowohl gerichtliche wie auch außergerichtliche Verfahren. Daneben ist eine Löschung ausnahmsweise nicht erforderlich,
- wenn die Daten nicht in der IT gespeichert sind (z.B. Papierakten), die Löschung nur mit unverhältnismäßig hohem Aufwand möglich wäre und das Löschungsinteresse als gering anzusehen ist,
- wenn der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden oder
- wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.
Was ist in diesem Fall zu tun? Die Daten sind dann u. U. als „eingeschränkt für die Verarbeitung“ zu markieren. Wenn diese Einschränkung der Verarbeitung vorgenommen wurde, bedeutet dies, dass nur zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses die personenbezogenen Daten verarbeitet werden dürfen oder alternativ mit Einwilligung der Betroffenen.
Empfehlung: „Für alle Kategorien von personenbezogenen Daten sind Aufbewahrungsfristen festzulegen, auch wenn dies nicht immer trivial ist“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein. Denn sicher ist: Eine zeitlich unbefristete Aufbewahrung ist unter keinen Umständen erlaubt. UIMC rät deshalb allen Verantwortlichen im Umgang mit personenbezogenen Daten, Löschfristen zu definieren und Daten-Cluster zu bilden. Sind die Aufbewahrungsfristen dann abgelaufen, müssen die personenbezogenen Daten gelöscht werden. Auch einen Tipp hat Dr. Voßbein noch parat: „Die notwendigen Informationen können dem Verzeichnis von Verarbeitungstätigkeiten entnommen werden… wenn es denn gepflegt ist.“
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de