Wie lange dürfen Daten laut DSGVO gespeichert werden?

Wie lange dürfen Daten laut DSGVO gespeichert werden? Das Prinzip der Speicherbegrenzung

Die Datenschutz-Grundverordnung (DSGVO) gibt keine festen, allgemeingültigen Fristen für die Datenspeicherung vor. Stattdessen legt sie das Prinzip der Speicherbegrenzung fest (Art. 5 Abs. 1 lit. e DSGVO). Dieses besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie erhoben oder verarbeitet werden, erforderlich ist. Das bedeutet, sobald der Zweck der Datenverarbeitung entfällt, müssen die Daten gelöscht werden.

Die Herausforderung liegt darin, diesen Zeitraum konkret zu bestimmen. Es gibt keine einfache Formel oder Liste, die für alle Fälle gilt. Stattdessen ist eine individuelle Prüfung im Einzelfall notwendig. Folgende Faktoren spielen dabei eine Rolle:

• Zweck der Datenverarbeitung: Wofür wurden die Daten ursprünglich erhoben? Ein Bewerbungsschreiben darf beispielsweise nur so lange gespeichert werden, wie der Bewerbungsprozess dauert.
• Gesetzliche Aufbewahrungsfristen: Für bestimmte Daten gelten gesetzliche Aufbewahrungspflichten, die die DSGVO nicht außer Kraft setzt. Beispiele hierfür sind die zehnjährige Aufbewahrungspflicht für Buchungsbelege nach § 257 HGB oder die sechsjährige Aufbewahrungspflicht für Handelsbriefe nach § 257 Abs. 4 HGB. Diese Fristen stellen in der Regel die Mindestaufbewahrungsfrist dar. Eine längere Speicherung ist aber nur zulässig, wenn ein anderer DSGVO-konformer Zweck vorliegt.
• Vertragliche Vereinbarungen: In manchen Fällen können vertragliche Vereinbarungen die Speicherdauer beeinflussen. Beispielsweise kann ein Vertrag mit einem Kunden eine bestimmte Aufbewahrungsfrist für Kundendaten vorsehen.
• Berechtigte Interessen: In Ausnahmefällen kann eine längere Speicherung aufgrund berechtigter Interessen des Verantwortlichen zulässig sein. Dies muss jedoch sorgfältig abgewogen werden und die Interessen des Betroffenen dürfen nicht überwiegen. Ein Beispiel wäre die Speicherung von Daten für statistische Zwecke, sofern die Daten anonymisiert oder pseudonymisiert wurden.
• Einwilligung des Betroffenen: Mit der ausdrücklichen Einwilligung des Betroffenen kann die Speicherdauer verlängert werden. Die Einwilligung muss jedoch freiwillig, informiert und jederzeit widerrufbar sein.

Konsequenzen bei Verstößen:

Die Nichteinhaltung der DSGVO-Vorgaben zur Speicherbegrenzung kann zu empfindlichen Bußgeldern führen. Darüber hinaus drohen Abmahnungen und Schadensersatzklagen von Betroffenen.

Fazit:

Die Frage nach der zulässigen Speicherdauer von Daten lässt sich nicht pauschal beantworten. Unternehmen müssen die Speicherfristen für jeden Datensatz individuell und sorgfältig prüfen und dokumentieren. Ein Datenschutzkonzept mit klaren Löschroutinen ist unerlässlich, um die Vorgaben der DSGVO einzuhalten und rechtliche Risiken zu vermeiden. Im Zweifelsfall sollte fachkundiger Rat, z.B. durch einen Datenschutzbeauftragten oder einen Rechtsanwalt, eingeholt werden.