Personenbezogene Daten nach DSGVO löschen oder gemäss der gesetzlichen Aufbewahrungspflicht behalten? Bei all den Widersprüchen in der Rechtsprechung fällt diese Entscheidung manchmal schwer. Wir erörtern die Abgrenzung und helfen Ihnen bei der DSGVO Umsetzung.
DSGVO Umsetzung aufgrund Rechtsprechung erschwert
Die Umsetzung der Datenschutzgrundverordnung (DSGVO) fällt nicht nur innerhalb von „herkömmlichen“ Geschäftsbetrieben schwer. Gerade Webseiten-Betreiber oder Online-Anbieter sehen sich vor dem Problem, dass genaue Inhalte des geltenden Rechts meist zu pauschal formuliert sind. Konkrete Anwendungsbeispiele ergeben sich nicht.
Erschwerend hinzu kommt, dass die DSGVO sich in einigen Punkten anderen Gesetzeswerken sogar widerspricht. Paradebeispiel dafür ist das Erfordernis für die Löschung personenbezogener Daten (DSGVO) und im Gegenzug die gesetzliche Aufbewahrungspflicht.
Löschpflicht laut DSGVO
Laut DSGVO müssen Sie personenbezogene Daten löschen, sobald der „Zweck der Speicherung“ entfällt. Das ist zum Beispiel dann der Fall, wenn die Geschäftsbeziehung mit dieser Person endet.
Aufbewahrungspflicht
Viele Gesetze beinhalten derweil eine Aufbewahrungspflicht von geschäftsrelevanten Daten. Dazu können logischerweise auch personenbezogene Daten gehören. Je nach Art des greifenden Gesetzes gilt so zum Beispiel eine Aufbewahrungspflicht von bis zu 10 Jahren.
Was fällt überhaupt unter personenbezogene Daten?
Hier wird die DSGVO Umsetzung sogar noch komplizierter. Im Gegensatz zum weit verbreiteten Irrglauben, dass personenbezogene Daten nur „persönliche“ Angaben wie Name, Anschrift, Geburtsdatum und Co. sind, definiert die DSGVO diese als alles, was den Rückschluss auf eine bestimmte Person ermöglicht.
Personenbezogene Informationen können somit nicht nur rein objektive Aspekte sein. Es zählen nämlich auch subjektive Datenrückschlüsse dazu. Beispiele dafür sind:
- Meinungen
- Sachliche Verhältnisse einer bestimmbaren Person (z.B. Kreditwürdigkeit)
- Rassische und ethnische Herkunft
- Politische, weltanschauliche oder religiöse Überzeugungen
Die Möglichkeit, einen Rückschluss auf eine bestimmte Person zu erzielen, besteht besonders im Falle von angewandten Tracking-Methoden. Denn Daten wie das Surf- bzw. einzelne Nutzerverhalten ermöglichen eindeutig die Zuordnung zu mindestens einer der genannten subjektiven Gruppierungen.
So gelingt die DSGVO Umsetzung
Glücklicherweise beinhaltet die DSGVO direkt eine Lösung für das Dilemma zwischen Lösch- und Aufbewahrungspflicht. Denn sie besagt, dass die Löschpflicht entfällt, sofern die personenbezogenen Daten erforderlich sind, um rechtliche Verpflichtungen zu erfüllen. Ergo: Sind Sie an eine Aufbewahrungspflicht (z.B. nach Steuerrecht) gebunden, können Sie die DSGVO für eine Weile vernachlässigen – aber bitte nur in diesem einen Punkt.
Um Umsetzung der DSGVO als auch weiterer gesetzlicher Anforderungen konkret miteinander zu vereinbaren, sollte Ihr Unternehmen bestenfalls Folgendes aufweisen:
- Verzeichnis für die Datenverarbeitung: Hierin definieren und erfassen Sie alle Prozesse, die einen Rückschluss auf – oder direkt – personenbezogene Daten beinhalten. Sie geben Regeln für deren Verarbeitung als auch deren Speicherung vor. Hinterlegen Sie ebenso die jeweils geltenden Aufbewahrungsfristen.
- Konzept zur Datenlöschung: Dieses Konzept verknüpfen Sie direkt mit dem Verzeichnis zur Datenverarbeitung. Das Löschkonzept greift, sobald eine Aufbewahrungsfrist erreicht bzw. überschritten wird.
- Automatisierung: Um alle Daten zu filtern und zu sortieren, sollte irgendwann eine Automatisierung der Arbeit von Verzeichnis und Konzept her. Dafür gibt es verschiedene technische Lösungen auf dem Markt.
