Sicherheit

Müssen alle personenbezogenen Daten gelöscht werden?

25. Februar 2022 /
Personenbezogene Daten sind Angaben über bestimmte oder eine bestimmbare Person. Telefonnummern, Kreditkarten- und Personalnummern, aber auch E-Mails oder ein Kfz-Kennzeichen sind Beispiele für personenbezogene Daten. Artikel 17 der Datenschutzgrundverordnung (DSGVO) regelt es eindeutig: Jeder Verantwortliche ist dazu verpflichtet, personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden. „Eine zeitlich unbefristete Bevorratung von personenbezogenen Daten ist unzulässig. Bei der Löschpflicht greifen aber in bestimmten Fällen Ausnahmetatbestände“, erklärt der erfahrene Datenschutzfachmann Dr. Jörn Voßbein und denkt dabei an die Regelungen in Art. 17 Abs. 3 DSGVO. Welche Ausnahmen sind möglich? Ein genauer Blick lohnt in jedem Fall und sorgt für datenschutzkonformes Verhalten.

Als Grundsatz gilt: Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet werden, wie sie für den jeweils definierten Zweck benötigt werden. Wenn der Zweck nicht (mehr) besteht, müssen sie gelöscht werden, sofern dieser Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Wenn ein Gesetz eine Aufbewahrungsfrist definiert, darf erst nach deren Ablauf gelöscht werden. Dies bedeutet, dass die meiste E-Mail-Korrespondenz oftmals zeitnah gelöscht werden kann und muss, es sei denn innerbetriebliche Erfordernisse oder gesetzliche Aufbewahrungspflichten (beispielsweise wenn E-Mails als Geschäftsbrief gelten) erfordern eine längere Aufbewahrung.

Gibt es Ausnahmen? Nach Art. 17 Abs. 3 DSGVO besteht eine Ausnahme von der Verpflichtung zur Löschung personenbezogener Daten, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Hierzu zählen sowohl gerichtliche wie auch außergerichtliche Verfahren. Daneben ist eine Löschung ausnahmsweise nicht erforderlich,

  • wenn die Daten nicht in der IT gespeichert sind (z.B. Papierakten), die Löschung nur mit unverhältnismäßig hohem Aufwand möglich wäre und das Löschungsinteresse als gering anzusehen ist,
  • wenn der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden oder
  • wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.

Was ist in diesem Fall zu tun? Die Daten sind dann u. U. als „eingeschränkt für die Verarbeitung“ zu markieren. Wenn diese Einschränkung der Verarbeitung vorgenommen wurde, bedeutet dies, dass nur zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses die personenbezogenen Daten verarbeitet werden dürfen oder alternativ mit Einwilligung der Betroffenen.

Empfehlung: „Für alle Kategorien von personenbezogenen Daten sind Aufbewahrungsfristen festzulegen, auch wenn dies nicht immer trivial ist“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein. Denn sicher ist: Eine zeitlich unbefristete Aufbewahrung ist unter keinen Umständen erlaubt. UIMC rät deshalb allen Verantwortlichen im Umgang mit personenbezogenen Daten, Löschfristen zu definieren und Daten-Cluster zu bilden. Sind die Aufbewahrungsfristen dann abgelaufen, müssen die personenbezogenen Daten gelöscht werden. Auch einen Tipp hat Dr. Voßbein noch parat: „Die notwendigen Informationen können dem Verzeichnis von Verarbeitungstätigkeiten entnommen werden… wenn es denn gepflegt ist.“

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Weiterführende Links
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Das könnte dich ebenfalls interessieren

Keine Weihnachtsferien für Cyber-Sicherheit: Drei Wege, um Cyber-Angriffen vorzubeugen

1. Dezember 2022

Hochschule Stralsund: Expert*innen der IT-Branche erklären Sicherheitslücken und Chancen

9. Oktober 2023

Torsten Stolte wird neuer Geschäftsführer bei dormakaba Deutschland

20. Dezember 2023