Aufbewahrungsfrist und DSGVO

Veröffentlicht 14. januar 2022
#Aufbewahrungsfrist #Löschverfahren
This post thumbnail

Die DSGVO-Vorschriften zur Aufbewahrung und Löschung personenbezogener Daten sind sehr einfach: Es ist illegal, personenbezogene Daten länger als notwendig für den Verarbeitungszweck aufzubewahren. Aber bedeutet das, dass man Daten so lange aufbewahren kann, wie man möchte, ohne jemals dafür belangt zu werden?

Notwendige Aufbewahrungsfrist

Es ist richtig, dass Sie selbst definieren, welche Aufbewahrungsfrist für die von Ihnen verarbeiteten personenbezogenen Daten notwendig ist. Sie müssen die Aufbewahrungsfrist jedoch auch im Verarbeitungsverzeichnis angeben. Das bedeutet, dass Sie für alle Verarbeitungen angeben müssen, wie lange Sie die Daten aufbewahren werden. Dies muss ein konkretes Zeitintervall in Wochen/Monaten/Jahren sein, und Sie können nicht einfach schreiben "so lange wie nötig". Das liegt daran, dass Sie immer darüber entscheiden müssen, wie lange es notwendig ist, alle personenbezogenen Daten, die Sie verarbeiten, aufzubewahren. Sie müssen auch nachweisen können, dass die Notwendigkeit, die Daten so lange aufzubewahren, wie Sie es wünschen, real ist. Sie können nicht schreiben, dass Sie Daten 10 Jahre lang aufbewahren, wenn Sie keinen realen Bedarf nachweisen können. Hier müssen Sie auch die Bedürfnisse Ihres Unternehmens gegenüber dem Datenschutz der betroffenen Person abwägen. In den meisten Fällen ist es so, dass je älter die Daten sind, desto weniger relevant sind sie für das Unternehmen, und irgendwann wird klar, dass das Bedürfnis des Unternehmens weniger wichtig ist als der Datenschutz der betroffenen Person.

Löschverfahren und Kontrolle

Sie sollten auch Kontroll- und Löschverfahren vorweisen können, die sicherstellen, dass personenbezogene Daten gemäß dem Verarbeitungsverzeichnis Ihres Unternehmens gelöscht werden können. Die beste Methode ist natürlich die Implementierung automatisierter Löschverfahren, aber es ist keine Voraussetzung, da Löschverfahren auch manuell durchgeführt werden können.

Anonymisierung als Alternative zur Löschung

Eine Alternative zur Löschung von personenbezogenen Daten ist die Anonymisierung, aber es ist wichtig, dass der Prozess der Anonymisierung tatsächlich dazu führt, dass die Daten zu 100% anonymisiert werden. Einige Leute haben die falsche Vorstellung, dass es ausreicht, identifizierende Daten zu löschen, aber das ist bei weitem nicht genug. Lesen Sie hier mehr über Anonymisierung und Pseudonymisierung.

© 2023 GDPRControl. Von Anders Svensson und Jan Ove Skogheim.