Lorenz Moser

Ihr Anschprechspartner

Lorenz Moser

Blog

Die richtige Löschfrist festlegen: ganz einfach!

Wann sind personenbezogene Daten zu löschen?

Das ist eine von Unternehmen häufig gestellt Frage, die zugegebenermaßen auch von Experten nicht immer leicht zu beantworten ist.

Das hat zwei Gründe: Erstens macht die Datenschutzgrundverordnung (DSGVO) selbst nur vage Vorgaben zur Löschung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden.

Zweitens gibt die DSGVO davon insbesondere eine Ausnahme an: „zur Erfüllung einer rechtlichen Verpflichtung“.

Damit verweist sie auf Aufbewahrungspflichten, die allerdings nicht in einem einzigen Gesetz gesammelt sind. Daher kann es sehr schwierig sein, die richtige Ausnahmebestimmung für die Speicherung personenbezogener Daten zu finden.

In der Praxis haben sich jedoch einige wesentliche Vorschriften herauskristallisiert, die zur Festlegung der meisten Löschfristen ausreichen.

Diese betreffen die Bereiche Steuer- und Unternehmensrecht sowie das Arbeits- und Sozialrecht. Zudem gibt es Best Practices aus den Bereichen Werbung und Websitenutzung.

Mittlerweile gibt es auch erste Entscheidungen der Datenschutzbehörde, die den Umgang mit dem Thema Datenlöschung ebenfalls erleichtern.

Mit dsvGO! unterstützen wir Ihr Unternehmen, indem wir Löschfristen und deren Grundlage aufzeigen, sodass Sie die passende Frist nur auszuwählen brauchen. Auch wenn es von diesen allgemeinen Löschfristen Ausnahmen geben kann, sind Sie durch die Festlegung allgemeiner Löschfristen für die Großzahl der Fälle bestens gewappnet. Unser Tool dsvGO! hilft Ihnen dadurch ganz einfach, die wesentliche Forderung der DSGVO nach Löschfristen zu erfüllen, damit personenbezogene Daten nicht auf Vorrat dauerhaft gespeichert werden.

Datenverarbeitungsvorgänge erkennen und dokumentieren: ganz konkret!

Auf Ihrem Weg zur Datenschutz-Compliance ist der erste wichtige Schritt die Erstellung des Verarbeitungsverzeichnisses. Dabei klären Sie bereits grundlegende Fragen des Datenschutzrechts:

  • Welche personenbezogenen Daten werden im Unternehmen verarbeitet?
  • Wen betreffen diese Daten und zu welchem Zweck werden sie verarbeitet?
  • An wen werden die Daten übermittelt und nach welcher Zeit werden sie gelöscht?

Die erste zentrale Aufgabe, die das Datenschutzrecht vorschreibt, besteht also darin, dass Sie die Datenverarbeitungsvorgänge Ihres Unternehmens erkennen und dokumentieren. Dabei stellen sich in Unternehmen regelmäßig grundlegende Fragen:

  • Was ist ein „Zweck“ der Datenverarbeitung?
  • Welche Kategorien von Personen sind „betroffen“ und welche Daten dieser Personen sind als „Kategorien personenbezogener Daten“ anzuführen?
  • In welcher Form ist das Verarbeitungsverzeichnis zu führen?

Die Datenschutzbehörde hat zur Form des Verarbeitungsverzeichnisses bisher bewusst keine Stellung genommen, um verschiedene Arten der Handhabung zu ermöglichen.

Mit unserem dsvGO!-Tool werden die abstrakten Anforderungen konkret.

Wir geben Ihnen umfangreiche Vorschläge zu den Zwecken der Verarbeitung, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Empfängern und Löschfristen, wie sie für fast jedes Unternehmen relevant sind. Aus diesen Vorschlägen können Sie bequem auswählen und sich Inspiration holen, damit Sie alle weiteren Datenverarbeitungsvorgänge in Ihrem Unternehmen in Ihr Verarbeitungsverzeichnis aufnehmen können. So wird Ihr Verzeichnis auch wirklich vollständig!

Mit dem dsvGO!-Tool sparen Sie somit wertvolle Zeit.

Die häufig zeitintensive Aufgabe, alle Verarbeitungsvorgänge zu erkennen und zu dokumentieren, haben wir für Sie bereits vorbereitet. Sie können sich Ihr Verarbeitungsverzeichnis einfach und schnell selbst zusammenstellen und dieses nach Bedarf ergänzen.

Das Tool dsvGO! bietet Ihnen über die Anforderungen der Datenschutzgrundverordnung (DSGVO) hinaus die Möglichkeit, bereits bei der Erstellung des Verarbeitungsverzeichnisses die Rechtsgrundlagen der Verarbeitung zu bestimmen und einzutragen. Das Tool schlägt Ihnen für die von Ihnen ausgewählten Verarbeitungsvorgänge Rechtsgrundlagen vor und liefert Best-Practice-Beispiele dazu, worauf die ausgewählten Verarbeitungsvorgänge üblicherweise gestützt werden können. Durch diese Dokumentation der Rechtsgrundlagen der Verarbeitung erfüllen Sie schon den zweiten wichtigen Schritt zur Datenschutz-Compliance.

Technische und organisatorische Maßnahmen: risikobasiert!

Maßnahmen zum technischen und organisatorischen Schutz von Daten sind für jedes Unternehmen sehr bedeutsam.

Selbstverständlich liegt es daher ohnehin in Ihrem ureigensten Interesse, gewisse technische und organisatorische Maßnahmen umzusetzen. Aber auch die Datenschutzgrund¬verordnung (DSVGO) verlangt, dass Sie bei der Verarbeitung personenbezogener Daten Sicherheitsvorkehrungen treffen, um die betroffenen Personen zu schützen.

Kommt es zu einer „Datenpanne“, weil personenbezogene Daten verloren gehen, vernichtet werden oder an nicht befugte Personen offen gelegt werden, müssen Sie als Unternehmer diese Datenpanne an die Datenschutzbehörde melden. Falls eine Gefahr für die betroffenen Personen besteht, müssen Sie auch diese Personen verständigen. Das kann einen großen Imageschaden für Ihr Unternehmen bedeuten, aber nicht nur das: Auch kann die Datenschutzbehörde Ihnen Strafen auferlegen, wenn Sie personenbezogene Daten nicht ausreichend sicher verarbeiten.

Die Bandbreite technischer und organisatorischer Maßnahmen ist vielfältig: Sie reicht von simplen Maßnahmen wie Türschlössern und versperrbaren Aktenschränken bis zur Verschlüsselung Ihrer Datenträger und verschlüsselter Kommunikation.
Wichtig ist, dass Sie das Schutzniveau der technischen und organisatorischen Maßnahmen nicht mit dem Kunden vereinbaren können, sondern sich immer an die gesetzlichen Vorschriften halten müssen.

Auf der anderen Seite können betroffene Personen von Ihnen als Unternehmer aber auch keine spezifischen technischen und organisatorischen Maßnahmen zum Schutz ihrer personenbezogenen Daten verlangen (DSB 13.09.2018, DSB-D123.070/0005-DSB/2018).
Welche Maßnahmen Sie treffen müssen, wird risikobasiert beurteilt, d.h. wenn Sie ein „datenintensives Unternehmen“ oder ein Gesundheitsdienstleister sind, müssen Sie sehr viel stärkere technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten setzen als etwa ein technologiefernes Kleinunternehmen.

Für alle Unternehmen gilt allerdings, dass die technischen und organisatorischen Maßnahmen dokumentiert werden müssen.

Sie sind auch bereits als Teil des Verarbeitungsverzeichnisses anzugeben und können daher von der Datenschutzbehörde leicht abgefragt werden.
dsvGO! hilft Ihnen bei der Dokumentation der technischen und organisatorischen Maßnahmen anhand der mittlerweile üblichen Einteilung nach Maßnahmen der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Eingabekontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle.

Der Nutzer kann die in seinem Unternehmen angewendeten technischen und organisatorischen Maßnahmen im dsvGO!-Tool einfach aus einer Liste mit Vorschlägen aussuchen und selbst ergänzen. Die Liste mit technischen und organisatorischen Maßnahmen kann als eigenes Dokument dem Verarbeitungsverzeichnis beigelegt werden.