Wie lange dürfen personenbezogene Daten aufgehoben werden?

Wie lange dürfen personenbezogene Daten aufgehoben werden? – Ein Überblick über die rechtlichen Grundlagen und praktischen Herausforderungen

Die Frage nach der zulässigen Aufbewahrungsdauer personenbezogener Daten ist eine der zentralen Herausforderungen des modernen Datenschutzes. Es gibt keine pauschale Antwort, denn die Speicherdauer bemisst sich stets an der Zweckbindung der Daten. Die Maxime lautet: Daten nur so lange speichern, wie es für den ursprünglich festgelegten Zweck unbedingt erforderlich ist. Eine darüber hinausgehende Aufbewahrung verstößt gegen die datenschutzrechtlichen Vorgaben und kann empfindliche Sanktionen nach sich ziehen.

Gesetzliche und vertragliche Grundlagen:

Die Aufbewahrungsfrist leitet sich aus verschiedenen Rechtsquellen ab:

• Primärrecht (DSGVO): Die Datenschutz-Grundverordnung (DSGVO) selbst benennt keine konkreten Aufbewahrungsfristen. Sie fordert jedoch die Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO). Daten dürfen nur für spezifische, explizit festgelegte und legitime Zwecke verarbeitet werden und dürfen nicht in einer mit diesen Zwecken nicht vereinbaren Weise weiterverarbeitet werden. Fällt der Zweck weg, entfällt auch die Berechtigung zur Aufbewahrung.

• Sekundärrecht (nationales Recht): Nationale Gesetze und Verordnungen können spezifische Aufbewahrungsfristen für bestimmte Datenkategorien festlegen. Beispiele hierfür sind die Aufbewahrungspflichten im Steuerrecht, im Handelsrecht (z.B. für Geschäftsbücher) oder im Sozialversicherungsrecht. Diese gesetzlichen Vorschriften müssen unbedingt beachtet werden.

• Vertraglich vereinbarte Fristen: In manchen Fällen können vertragliche Vereinbarungen die Aufbewahrungsfrist regeln, z.B. in Kundenverträgen oder Arbeitsverträgen. Diese Vereinbarungen dürfen jedoch die gesetzlichen Mindestfristen nicht unterschreiten und müssen mit den datenschutzrechtlichen Vorgaben vereinbar sein.

Praktische Herausforderungen bei der Bestimmung der Aufbewahrungsfrist:

Die Bestimmung der angemessenen Aufbewahrungsfrist stellt Unternehmen und Organisationen vor erhebliche Herausforderungen:

• Definierte Zwecke präzise dokumentieren: Um die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten, müssen die Zwecke der Datenverarbeitung präzise definiert und dokumentiert werden. Dies bildet die Grundlage für die Bestimmung der Aufbewahrungsfrist.

• Regelmäßige Überprüfung der Zweckbindung: Die Zweckbindung muss regelmäßig überprüft werden. Ändern sich die Zwecke der Datenverarbeitung, muss die Aufbewahrungsfrist entsprechend angepasst werden.

• Differenzierte Betrachtung der Datenkategorien: Nicht alle Datenkategorien unterliegen der gleichen Aufbewahrungsfrist. Die Speicherdauer hängt von der Art der Daten und dem jeweiligen Verarbeitungszweck ab.

• Einrichtung eines Datenhaltungskonzepts: Ein strukturiertes Datenhaltungskonzept ist unerlässlich. Dieses Konzept muss die verschiedenen Datenkategorien, die jeweiligen Aufbewahrungsfristen und die Prozesse zur Datenlöschung oder Anonymisierung definieren.

Fazit:

Die Aufbewahrung von personenbezogenen Daten ist nur so lange zulässig, wie es für den ursprünglich festgelegten Zweck unbedingt erforderlich ist. Eine präzise Dokumentation der Verarbeitungszwecke, die regelmäßige Überprüfung der Zweckbindung und ein strukturiertes Datenhaltungskonzept sind essentiell, um datenschutzkonform zu agieren und rechtliche Risiken zu minimieren. Im Zweifel sollte man sich rechtlich beraten lassen, um die korrekte Aufbewahrungsdauer für die jeweiligen Datenkategorien zu bestimmen.