Datenschutz und Aufbewahrungsfristen

Datenschutz und Aufbewahrungsfristen

Für so manchen Verantwortlichen entsteht eventuell eine Situation des Zwiespalts, wenn er versucht, den Grundsatz der Speicherbegrenzung und gleichzeitig eventuelle Aufbewahrungsfristen einzuhalten. Handelt es sich aber bei dem Datenschutz und Aufbewahrungsfristen um ein solch kompliziertes Thema? Steht die eine Pflicht der anderen entgegen?

Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO)

In Art. 5 Abs. 1 lit. e) DSGVO finden wir die Vorschrift, dass ein Verantwortlicher personenbezogene Daten nur so lange verarbeiten darf, wie es einen Zweck dafür gibt und die Verarbeitung notwendig ist. Ausgenommen sind Ausnahmen für Verarbeitungstätigkeiten, die im öffentlichen Interesse dienende Archiv-, wissenschaftliche und historische Forschungs- oder statistische Zwecke betreffen.

Gesetzlich vorgegebene Aufbewahrungsfristen

Oftmals erübrigt sich der eigentliche Grund, weshalb ein Verantwortlicher bestimmte personenbezogene Daten nicht mehr aktiv benötigt. So ist beispielsweise der Kuraufenthalt eines Patienten beendet. Ein Auszubildender verlässt eine Schule aufgrund von dem Ende der Ausbildung. Eine Ware ist dem Kunden übergeben worden. Somit benötigt ein Verantwortlicher weder die Gesundheits-, Leistungs- noch die Rechnungsdaten bzw. diese haben keinen expliziten Nutzen mehr für ihn, Was liegt also generell näher, als sie zu löschen bzw. zu vernichten?! Und hier kommen die gesetzlich vorgegebenen Aufbewahrungsfristen ins Spiel: Diese verpflichten einen Verantwortlichen dazu, bestimmte Daten für einen weiteren Zeitraum aufzubewahren.

Aufbewahrung/Speicherung = Verarbeitung personenbezogener Daten

In unserem Beitrag „Verarbeitung personenbezogener Daten gemäß der DSGVO“ gingen wir darauf ein, welche Tätigkeiten das Wort „Verarbeitung“ i. S. d. DSGVO umfasst. Kurz gefasst verarbeitet ein Verantwortlicher personenbezogene Daten also mit dem Zeitpunkt der Erhebung der personenbezogenen Daten bis zu dem Moment, wenn er sie gelöscht bzw. vernichtet hat. Wenn er nun personenbezogene Daten aufgrund bestimmter Aufbewahrungspflichten aufbewahren muss, verarbeitet er die Daten weiterhin. Die Verarbeitung endet also, sobald sie nicht mehr in seinem Handlungsbereich existieren. Übrigens: Nach der DSGVO ist er auch noch für die Verarbeitung verantwortlich, wenn er einen Dienstleister für die Vernichtung oder Löschung einsetzt (Auftragsverarbeitung gemäß Art. 4 Nr. 8 DSGVO).

Hierarchie der DSGVO zu Gesetzen

Die DSGVO gibt keinen Zeitraum vor, wie lange (personenbezogene) Daten aufzubewahren sind. Dies regeln andere Gesetze. Sie legt lediglich fest, dass ein Verantwortlicher personenbezogene Daten nicht über die Zweckerfüllung hinaus verarbeiten darf (Art. 5 Abs. 1 lit. b) DSGVO). In diesem Sinne existiert die DSGVO neben dem jeweiligen anderen relevanten Gesetz.

Notwendigkeit der Beachtung anderer Gesetze

Würde ein Verantwortlicher bei der Verarbeitung personenbezogener Daten den Fokus ausschließlich auf die DSGVO legen, liefe er Gefahr, gegen Gesetze, die beispielsweise bestimmte Aufbewahrungsfristen festlegen, zu verstoßen. Schließlich darf ein Verantwortlicher gemäß der DSGVO personenbezogene Daten nur so lange wie nötig verarbeiten, also bis der Zweck, für den er die Daten erhob, erfüllt ist. Folglich muss er also auch andere Gesetze und Verordnungen beachten, wenn er sein Datenschutz-Management-System erarbeitet.

Fazit

Einen Blick auf all die Komponenten eines soliden Datenschutz-Management-Systems zu haben und Gesetze, Verordnungen und Normen im Einklang mit der DSGVO umzusetzen, kann eine Herausforderung darstellen. Somit ist es idealerweise notwendig, dass ein Verantwortlicher auch zeitliche Ressourcen für die Recherche selbst einplant. Diese Zeit wird gewöhnlich der Datenschutzbeauftragte, -koordinator benötigen bzw. je nachdem, wer die Datenschutzdokumentation erstellt. Damit Sie sich als Verantwortlicher jedoch auf Ihre eigentlichen Tätigkeiten konzentrieren und auch Ihre Beschäftigten den Hauptaufgaben ohne Unterbrechung nachgehen können, übernehmen wir gern den Bereich Datenschutz für Sie. Wir haben die zeitlichen, materiellen und personellen Ressourcen, um Sie zum Datenschutz in Ihrer Einrichtung zu unterstützen und zu beraten.

Wir freuen uns auf Ihre Kontaktaufnahme und erstellen gern ein unverbindliches Angebot für Sie. Kontaktieren Sie uns hierzu.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.