Personenbezogene Daten sind Angaben über bestimmte oder eine bestimmbare Person. Telefonnummern, Kreditkarten- und Personalnummern, aber auch E-Mails oder ein Kfz-Kennzeichen sind Beispiele für personenbezogene Daten. Artikel 17 der Datenschutzgrundverordnung (DSGVO) regelt es eindeutig: Jeder Verantwortliche ist dazu verpflichtet, personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden. „Eine zeitlich unbefristete Bevorratung von personenbezogenen Daten ist unzulässig. Bei der Löschpflicht greifen aber in bestimmten Fällen Ausnahmetatbestände“, erklärt der erfahrene Datenschutzfachmann Dr. Jörn Voßbein und denkt dabei an die Regelungen in Art. 17 Abs. 3 DSGVO. Welche Ausnahmen sind möglich? Ein genauer Blick lohnt in jedem Fall und sorgt für datenschutzkonformes Verhalten.
Als Grundsatz gilt: Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet werden, wie sie für den jeweils definierten Zweck benötigt werden. Wenn der Zweck nicht (mehr) besteht, müssen sie gelöscht werden, sofern dieser Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Wenn ein Gesetz eine Aufbewahrungsfrist definiert, darf erst nach deren Ablauf gelöscht werden. Dies bedeutet, dass die meiste E-Mail-Korrespondenz oftmals zeitnah gelöscht werden kann und muss, es sei denn innerbetriebliche Erfordernisse oder gesetzliche Aufbewahrungspflichten (beispielsweise wenn E-Mails als Geschäftsbrief gelten) erfordern eine längere Aufbewahrung.
Gibt es Ausnahmen? Nach Art. 17 Abs. 3 DSGVO besteht eine Ausnahme von der Verpflichtung zur Löschung personenbezogener Daten, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Hierzu zählen sowohl gerichtliche wie auch außergerichtliche Verfahren. Daneben ist eine Löschung ausnahmsweise nicht erforderlich,
- wenn die Daten nicht in der IT gespeichert sind (z.B. Papierakten), die Löschung nur mit unverhältnismäßig hohem Aufwand möglich wäre und das Löschungsinteresse als gering anzusehen ist,
- wenn der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden oder
- wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.
Was ist in diesem Fall zu tun? Die Daten sind dann u. U. als „eingeschränkt für die Verarbeitung“ zu markieren. Wenn diese Einschränkung der Verarbeitung vorgenommen wurde, bedeutet dies, dass nur zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses die personenbezogenen Daten verarbeitet werden dürfen oder alternativ mit Einwilligung der Betroffenen.
Empfehlung: „Für alle Kategorien von personenbezogenen Daten sind Aufbewahrungsfristen festzulegen, auch wenn dies nicht immer trivial ist“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein. Denn sicher ist: Eine zeitlich unbefristete Aufbewahrung ist unter keinen Umständen erlaubt. UIMC rät deshalb allen Verantwortlichen im Umgang mit personenbezogenen Daten, Löschfristen zu definieren und Daten-Cluster zu bilden. Sind die Aufbewahrungsfristen dann abgelaufen, müssen die personenbezogenen Daten gelöscht werden. Auch einen Tipp hat Dr. Voßbein noch parat: „Die notwendigen Informationen können dem Verzeichnis von Verarbeitungstätigkeiten entnommen werden wenn es denn gepflegt ist.“