Das Löschen von personenbezogenen Daten ist sicherlich eines der klassischen Datenschutzthemen. Denn das Datenschutzrecht verlangt stets dann eine Löschung der Daten, wenn für deren Verarbeitung keinerlei Verarbeitungszweck bzw. Rechtsgrundlage mehr besteht. Dies gebieten schon die datenschutzrechtlichen Grundsätze der Datensparsamkeit und der Zweckbindung. In der Praxis wird dieses Erfordernis leider von vielen Unternehmen häufig übersehen. Daher bietet sich die hoffentlich besinnliche Zeit am Jahresende an, auf dieses grundlegende Erfordernis im Rahmen dieses Beitrags hinzuweisen.
Grundsatz der zeitlich begrenzten Speicherung
Der Gesetzgeber hat die DSGVO so ausgestaltet, dass jede Verarbeitung von personenbezogenen Daten nur so lange erfolgen darf, wie es für den Zweck erforderlich ist, für den die Daten ursprünglich erhoben wurden. Dabei regelt die DSGVO leider nicht explizit den konkreten Zeitraum der Speicherung von personenbezogenen Daten. Beispielsweise dürfen Daten, die zur Abwicklung eines Kaufvertrags – etwa nach Bestellung in einem Online-Shop – erhoben wurden, zumindest solange aufbewahrt werden, bis die Bestellung ausgeliefert wurde und die Rechnung bezahlt wurde, ohne dass die DSGVO einen konkreten Zeitraum nennt.
Darüber hinaus sind gesetzliche Aufbewahrungsfristen zu berücksichtigen. Konkrete Aufbewahrungsfristen ergeben sich maßgeblich aus steuer- und handelsrechtlichen Regelungen. So lassen sich Aufbewahrungsfristen für viele Unterlagen in der Regel aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) ableiten. Für die oben erwähnte Rechnung aus dem Kauf im Online-Shop ergibt sich demnach eine Aufbewahrungsfrist von 10 Jahren. Der Kaufvertrag an sich, auch wenn er lediglich elektronisch bspw. per E-Mail abgeschlossen wurde, müsste lediglich 6 Jahre aufbewahrt werden. Somit sind die wesentlich zu berücksichtigenden Zeiträume bei Aufbewahrungsfristen, die sich aus dem Steuer- bzw. Handelsrecht ergeben, mit sechs bzw. zehn Jahren bereits beschrieben. Eine Übersicht der wesentlichen aufbewahrungspflichtigen Unterlagen mit Nennung der konkreten Fristen stellt bspw. die Industrie- und Handelskammer für München und Oberbayern zur Verfügung. Die entsprechende Übersicht lässt sich über diesen Link als PDF abrufen:
Weitere Löschfristen können sich aber auch aus vielen anderen Rechtsbereichen ergeben. Arbeitsrechtlich ergibt sich beispielweise eine Aufbewahrungsfrist bei Bewerbungsunterlagen von in der Regel drei – vier Monaten nach Abschluss des Auswahlverfahrens zur Abwehr von Schadenersatzforderungen bei abgelehnten Bewerbern.
Löschung der Daten
Stehen keine Aufbewahrungspflichten entgegen und werden personenbezogene Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigt, ist darauf zu achten, dass diese gelöscht werden. Dies ergibt sich schon aus Art. 17 DSGVO als gesetzliche Konkretisierung des Datensparsamkeitsgrundsatzes. Gem. Art. 17 DSGVO kann sich neben des Zweckentfalls ein Erfordernis zur Löschung von personenbezogenen Daten u.a. auch aus dem Widerruf einer Einwilligung oder bei sonstiger unrechtmäßiger Verarbeitung der personenbezogenen Daten ergeben.
In der Regel dürfte mit Löschen der Daten das physikalische Vernichten gemeint sein. Löschung kann aber auch bedeuten, dass durch Anonymisierung der Daten der Personenbezug entfällt. Denn entfällt der Personenbezug der Daten, ist die DSGVO schlichtweg nicht mehr anwendbar und entsprechende Löschfristen, die sich aus der DSGVO ergeben, sind dann ebenfalls nicht anwendbar. Doch bei der Anonymisierung als Löschmethode von personenbezogenen Daten ist höchste Vorsicht geboten, da es sich, um den Personenbezug entfallen zu lassen, um eine echte Anonymisierung handeln muss, deren Umsetzung in der Praxis sehr anspruchsvoll sein kann. Eine Pseudonymisierung der Daten, bei der der Personenbezug nur durch das Heranziehen weiterer zusätzlicher Informationen hergestellt werden kann, reicht in der Regel jedoch nicht aus, um von einer wirksamen Löschung sprechen zu können.
Maßnahmen zur Umsetzung von Löschfristen
Die oben beschriebenen Anforderungen verdeutlichen, dass in die Umsetzung von Löschfristen unternehmensintern erhebliche Anstrengungen fließen sollten, gerade auch um mögliche Bußgelder zu vermeiden. In diesem Zusammenhang sei nochmals an den Fall der Deutsche Wohnen SE erinnert, gegen die im vergangenen Jahr ein Bußgeld in Höhe von 14,5 Millionen €uro wegen des Nichtlöschens eines Archivs mit Daten von ehemaligen Mietern verhängt wurde (wir berichteten).
Der Fall der Deutsche Wohnen SE demonstriert, dass schon bei der Implementierung neuer Anwendungen daran zu denken ist, dass diese auch systemseitig die Möglichkeiten bieten, gesetzlich vorgegebene Löschfristen umzusetzen. Dabei ist insbesondere auch an Daten-Archivsysteme zu denken, die in Unternehmen an vielen Stellen eingesetzt werden. Auch hier muss eine ordnungsgemäße Umsetzung der Löschfristen möglich sein.
Ferner sollten Unternehmen auch beim Einsatz von Dienstleistern zur Verarbeitung von personenbezogenen Daten daran denken, dass mit diesen entsprechende Verträge zur Auftragsverarbeitung abgeschlossen werden, die garantieren, dass die DSGVO-Vorgaben zur Löschung auch beim Dienstleister umgesetzt werden können. Denn das Unternehmen muss als verantwortliche Stelle im datenschutzrechtlichen Sinne auch auf die Löschung der Daten beim eingesetzten Dienstleister hinwirken können.
Zu guter Letzt ist im Rahmen eines effektiven Datenschutzmanagements daran zu denken, ein entsprechendes Löschkonzept zu erstellen, welches systematisch einer Datenart eine Löschfrist zuordnet, um Löschroutinen unternehmensweit durchzusetzen. Empfehlungen für Inhalte und den Aufbau eines Löschkonzepts für personenbezogene Daten enthält beispielsweise die DIN 66398, die auf der Webseite des DIN e.V. unter diesem Link kostenpflichtig abgerufen werden kann.
15. Juni 2022 @ 16:23
Was muss ich veranlassen, wenn ich Kundendaten löschen möchte. Es kam nur zu einem Angebot kein Kauf. Muss ich hier Löschfristen einhalten?
21. Juni 2022 @ 15:45
Hallo Silvia,
vielen Dank für Ihren Kommentar.
Starre Löschfristen sind in den datenschutzrechtlichen Bestimmungen nicht verankert.
Grundsätzlich sind personenbezogene Daten dann zu löschen, nachdem sich der Zweck der konkreten Verarbeitung erledigt hat.
Ist kein Vertrag mit dem Kunden zustande gekommen und stehen keine sonstigen Aufbewahrungsfristen bspw. gem. Handelsgesetzbuch oder der Abgabenordnung entgegen,
sollten die Kundendaten unverzüglich gelöscht werden.
Viele Grüße
8. April 2022 @ 19:21
überflüssige Konten gelöscht
22. Dezember 2020 @ 14:09
Fragen:
1) Führen Auskunftsersuchen, Nachfragen o.ä. zu einer Verlängerung der Aufbewahrungspflicht (der ursprünglich vorhandenen Daten)?
2) Müssen bei einer Auskunft auch alle Kommunikationsdaten (Schriftverkehr, Mitschnitte bei Banken u.ä.) mitgeteilt werden?
3) Kann nach §20 DS-GVO (Datenübertragbarkeit) auch die elektronische Datenübermittlung in Dateiform gefordert werden (CD), oder
muss dazu eine ggf. unsichere E-Mailadresse angegeben werden?
23. Dezember 2020 @ 16:47
Vielen Dank für die Fragen.
1)
Aufbewahrungsfristen bestehen unabhängig von Auskunftsersuchen und verlängern sich dadurch nicht.
2)
Auch über die Datenverarbeitung, die durch die Kommunikation im Rahmen des Auskunftsersuchens ausgelöst wird, sollte unbedingt informiert werden.
3)
Im Rahmen eines Anspruchs gem. Art. 20 DSGVO (Recht auf Datenübertragbarkeit) sind die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen.
Das kann dann auch durch Zusendung einer CD erfolgen. Bei der Übermittlung der Daten per E-Mail sollte unbedingt auf deren sichere Verschlüsselung geachtet werden.
Viele Grüße & schöne Feiertage
22. Dezember 2020 @ 12:43
„Und was ist mit Datensicherungen?“
„Hey, wir schreiben hier nur Gesetze, die Umsetzung ist euer Problem.“