Aufbewahrungs- und Löschpflichten
von Freya Wolfenstaedter
Die datenschutzrechtlich konforme Aufbewahrung und Löschung personenbezogener Daten ist ein wichtiges Thema. Wie bereits kennengelernt, besteht immer der Grundsatz, so wenig Daten wie nur möglich zu verarbeiten und zu speichern, weshalb es bestimmte Regelungen zur Aufbewahrungs- und Löschfristen gibt. Für alle (egal in welcher Form) gespeicherten Daten sollten daher Löschfristen festgesetzt werden, damit die datenschutzgerechte Entsorgung konfliktlos von statten geht.
Generell gilt, dass für alle gespeicherten personenbezogenen Daten Aufbewahrungs- und Löschfristen festgelegt werden sollten, da personenbezogene Daten nach Art. 5 DSGVO nur so lange gespeichert und verarbeitet werden dürfen, wie die Speicherung und Verarbeitung für die Verarbeitungszweckerfüllung notwendig sind. Eine Löschpflicht kann natürlich auch dann bestehen, wenn der Betroffene die Einwilligung zur Datenverarbeitung zurückzieht oder die Löschung seiner Daten veranlasst.
Welche Fristen genau einzuhalten sind, hängt im Einzelfall von dem Verarbeitungszweck und der Datenverarbeitung ab. Bei kleineren z.B. Vereinen kann es schon ausreichen, die Fristen im Verarbeitungsverzeichnis festzulegen, bei größeren Verarbeitungen sollte allerdings ein detaillierteres Lösch- und Sperrkonzept ausgearbeitet werden.
Bei der Entsorgung der nicht mehr benötigten Unterlagen und Datenträgern ist darauf zu achten, diese so zu entsorgen, dass die darauf enthaltenen Daten nicht durch Dritte auslesbar sind. Bei Papierunterlagen zum Beispiel sollte ein Aktenvernichter genutzt werden, bei Festplatten könnten die Daten so überschrieben werden, dass eine Wiederherstellung nicht möglich ist.
Eine Sperrung oder Zugangsbeschränkung stellt keine Löschung dar, ist allerdings vorzunehmen, wenn der Löschung gesetzliche Aufbewahrungsfristen oder Ausübung von Rechtsansprüchen der Löschung entgegenstehen. Damit ist sichergestellt, dass die Daten nicht weiterverarbeitet werden und zugleich die Aufbewahrungsfrist eingehalten wird. Es gibt eine Vielzahl von gesetzlichen Grundlagen, die Aufbewahrungsfristen vorschreiben. Hier gilt wie bereits bei den Löschfristen, dass diese individuell nach Verarbeitungszweck betrachtet und festgelegt werden müssen. Nach Ablauf der Frist werden die Daten dann jeweils gelöscht.
Insgesamt muss also ständig überprüft werden, ob Löschungspflichten bestehen. Dies lässt sich am besten durch ein einheitliches Löschkonzept realisieren, sodass den Vorschriften der DSGVO ausreichend nachgekommen wird.