Personenbezogene Daten nach DSGVO löschen oder gemäss gesetzlicher Aufbewahrungspflicht behalten? Bei all den Widersprüchen in der Gesetzgebung fällt diese Entscheidung manchmal schwer. Wir erörtern die Abgrenzung und zeigen, wie die DSGVO-Umsetzung gelingt.
DSGVO Umsetzung aufgrund Rechtsprechung erschwert
Die Datenschutzgrundverordnung (DSGVO) umzusetzen ist schwierig — nicht nur in klassischen Unternehmen. Webseitenbetreiber und Online-Anbieter stehen vor dem Problem, dass das geltende Recht meist zu pauschal formuliert ist. Konkrete Anwendungsbeispiele fehlen.
Dazu kommt: Die DSGVO widerspricht sich in einigen Punkten mit anderen Gesetzeswerken. Das deutlichste Beispiel ist der Konflikt zwischen der Löschpflicht für personenbezogene Daten und der gesetzlichen Aufbewahrungspflicht.
Löschpflicht laut DSGVO
Laut DSGVO musst du personenbezogene Daten löschen, sobald der Zweck der Speicherung entfällt — zum Beispiel, wenn eine Geschäftsbeziehung endet.
Aufbewahrungspflicht
Viele Gesetze schreiben gleichzeitig vor, geschäftsrelevante Daten aufzubewahren — dazu können auch personenbezogene Daten gehören. Je nach Gesetz gilt eine Aufbewahrungspflicht von bis zu 10 Jahren.
Was fällt überhaupt unter personenbezogene Daten?
Hier wird die DSGVO-Umsetzung noch komplizierter. Weit verbreitet ist der Irrglaube, dass personenbezogene Daten nur «persönliche» Angaben wie Name, Anschrift oder Geburtsdatum sind. Die DSGVO definiert sie weiter: Alles, was den Rückschluss auf eine bestimmte Person ermöglicht, fällt darunter.
Das umfasst nicht nur objektive Merkmale, sondern auch subjektive Datenrückschlüsse. Dazu zählen:
- Meinungen
- Sachliche Verhältnisse einer bestimmbaren Person (z.B. Kreditwürdigkeit)
- Rassische und ethnische Herkunft
- Politische, weltanschauliche oder religiöse Überzeugungen
Besonders Tracking-Methoden machen diesen Rückschluss möglich. Daten wie das Surf- bzw. Nutzerverhalten ermöglichen eindeutig die Zuordnung zu mindestens einer dieser Kategorien.
So gelingt die DSGVO Umsetzung
Die DSGVO enthält selbst eine Lösung für den Konflikt zwischen Lösch- und Aufbewahrungspflicht: Die Löschpflicht entfällt, wenn personenbezogene Daten zur Erfüllung rechtlicher Verpflichtungen erforderlich sind. Bist du also an eine Aufbewahrungspflicht — etwa nach Steuerrecht — gebunden, geht diese vor. Aber nur in diesem einen Punkt.
Damit DSGVO und weitere gesetzliche Anforderungen konkret zusammenpassen, braucht dein Unternehmen idealerweise drei Dinge:
- Verzeichnis für die Datenverarbeitung: Hier definierst und erfasst du alle Prozesse, die personenbezogene Daten beinhalten oder Rückschlüsse darauf erlauben. Du legst Regeln für Verarbeitung und Speicherung fest und hinterlegst die jeweils geltenden Aufbewahrungsfristen.
- Konzept zur Datenlöschung: Dieses Konzept verknüpfst du direkt mit dem Verarbeitungsverzeichnis. Es greift, sobald eine Aufbewahrungsfrist erreicht oder überschritten wird.
- Automatisierung: Um alle Daten zuverlässig zu filtern und zu sortieren, sollte das Zusammenspiel von Verzeichnis und Löschkonzept irgendwann automatisiert ablaufen. Dafür gibt es verschiedene technische Lösungen.