Unternehmen dürfen Daten so lange aufbewahren, wie sie sie zur Erfüllung der ihnen von der zuständigen Stelle übertragenen Aufgaben benötigen. Doch was besagt das Gesetz, und gibt es Unstimmigkeiten bei der zulässigen Speicherdauer?
Die Diskrepanz zwischen der gesetzlich zulässigen Aufbewahrungsfrist und dem Antrag der betroffenen Personen auf Löschung der Daten ist eine häufige Frage im Zusammenhang mit der Datenspeicherung. Unter bestimmten Umständen kann ein solcher Anspruch vor Ablauf der Speicherfrist geltend gemacht werden. Andererseits dürfen Unternehmen Daten so lange aufbewahren, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind.
Die Informationen müssen dann entfernt werden. Der in jedem Fall angegebene Zweck dient als Bezugspunkt für die Bestimmung der Notwendigkeit in diesem Fall. Die Datenspeicherung muss demnach erforderlich sein, um die Tätigkeit vollständig, rechtmäßig und in einem vertretbaren Zeitrahmen durchzuführen.
Was bedeutet es, Daten zu speichern?
Das Sammeln, Erfassen und Speichern von personenbezogenen Daten auf einem Datenträger zum Zwecke der Weiterverarbeitung wird in diesem Zusammenhang als „Speicherung“ bezeichnet. Besonders kennzeichnend ist die spätere Verfügbarkeit der Daten.
Außerdem muss die speichernde Stelle für die Arbeit rechenschaftspflichtig sein. Die rechtliche Befugnis der zuständigen Stelle zur Speicherung von Daten und nicht die Geschäftsverteilung innerhalb des Unternehmens bestimmt die Verantwortung.
Talentpool für Sonderregelungen
Viele Unternehmen ziehen es vor, die Bewerberdaten für einen längeren Zeitraum aufzubewahren, für den Fall, dass in naher Zukunft eine andere Stelle frei wird. Sie beabsichtigen, die Bewerber in einen so genannten Talentpool aufzunehmen, der eine Speicherdauer von einem Jahr oder länger hat.
Die Körperschaft muss das Einverständnis des Antragstellers für eine solche längerfristige Speicherung einholen, d.h. die ausdrückliche, zweckgebundene und informierte Zustimmung des Antragstellers.
In dieser Genehmigung muss festgelegt werden, wie lange die Bewerbungsunterlagen im Talentpool aufbewahrt werden dürfen. Ein Jahr ist der übliche Zeitraum, und das Unternehmen darf die Bewerbung so lange speichern.
Wenn eine Person bereits nach neun Monaten die Löschung ihrer Daten verlangt, wird dies häufig als Widerruf der Einwilligung angesehen, und das Unternehmen ist verpflichtet, die Daten vor Ablauf des Jahres zu löschen.
Datenspeicherung gemäß DSGVO
Seit dem Inkrafttreten der DSGVO gibt es verschärfte Löschungspflichten. Es ist sinnvoll, ein Löschkonzept für alle im Unternehmen vorhandenen Daten zu entwickeln, um dies umzusetzen und auf Rückfragen wie die oben genannten vorbereitet zu sein, aber auch um nicht regelmäßig prüfen zu müssen, ob eine gesetzliche Pflicht zur Datenaufbewahrung besteht. Möglich wird dies durch ein solches Löschkonzept.
Die Daten dürfen danach nur so lange gespeichert werden, wie sie für den zuvor festgelegten, eindeutigen und gültigen Zweck erforderlich und angemessen sind. Ist der Zweck nicht mehr gegeben, muss der Verantwortliche den Datensatz löschen.
Löschungsverpflichtungen
Art. 17 DSGVO regelt die Löschpflichten im Allgemeinen. Verweigert oder widerruft beispielsweise eine betroffene Person eine zuvor erteilte Einwilligung zur Datenverarbeitung, müssen die Daten gelöscht werden. Für Unternehmen ergeben sich hieraus erhebliche Probleme, die bei Nichtbeachtung zu Bußgeldern und Schadensersatzforderungen führen können,
In der Praxis müssen alle Abteilungssysteme, in denen ein Unternehmen personenbezogene Daten verarbeitet und speichert, mit einem vergleichbaren abteilungsübergreifenden Löschkonzept ausgestattet sein.
Bei der Planung des Datenmanagements und der Festlegung von Löschfristen sollte frühzeitig ein Konzept erstellt werden, um von Anfang an den Überblick über alle Systeme zu behalten. Grundlage dafür sind die im Unternehmen zugänglichen Daten, Verfahren und Systeme, die bei der Datenverarbeitung eingesetzt werden.
Auch die Pflichten zur Datenlöschung sollten in einem solchen Modell explizit festgelegt werden. Für jedes System (z.B. das Bewerbermanagementsystem) muss ein Verantwortlicher benannt werden, der für die Datenlöschung zuständig ist.
Konkrete Anweisungen, wie, wann und von wem die benötigten Daten zu löschen sind, sollten in ein solches Konzept aufgenommen werden. Es empfiehlt sich auch, die Löschfristen zu beachten. Dies gilt sowohl für beantragte Datenlöschungen als auch für Routinelöschungen.
Beispiele für den Umgang mit der Datenspeicherung in der Praxis
Bei der Datenspeicherung geht es nicht nur um Anwendungsdaten, sondern um alle Daten, die mit einer Person verbunden sind oder mit ihr in Verbindung gebracht werden können, z. B. Kundendaten. Dies sind einige von ihnen:
Ein weiteres Beispiel sind Interessentendaten, die zu Werbezwecken verwendet werden. In der B2C-Welt ist dies in der Regel nur mit der Zustimmung der betreffenden Person zulässig. Wenn die Einwilligung keine zeitliche Begrenzung enthält, ist sie normalerweise unbegrenzt gültig (wie für den oben genannten Talentpool erforderlich). Interessierte Parteien sind zum Beispiel:
Solche Informationen dürfen nur für die in der Einwilligung genannten Werbezwecke verwendet werden. Die Daten müssen nicht erst gelöscht werden, da die Einwilligung nur dann erlischt, wenn sie länger als ein Jahr nicht verwendet wird, d. h. wenn mehr als ein Jahr lang keine Werbung erfolgt.
Die betroffene Person hingegen hat das Recht, ihre Einwilligung jederzeit zu widerrufen. In diesem Fall sollte die Werbung sofort eingestellt werden, da der Grund für die Speicherung nicht mehr gegeben ist, und die Daten müssen ebenfalls gelöscht werden. Das Gleiche gilt, wenn die Person, mit der Sie zu tun haben, die Löschung Ihrer Daten verlangt. Auch dann muss dem Löschungsbegehren sofort entsprochen werden und die Grundlage für die Werbezwecke entfallen.