Verwendungszweck und Aufbewahrungsfrist – DSGVO

Jedes Unternehmen speichert bzw. verarbeitet personenbezogene Daten. Die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) machen klare Vorgaben, dass diese Daten nur mit einem validen Verwendungszweck verarbeitet werden dürfen. Zum Beispiel benötigt man explizit die Erlaubnis der betroffenen Person für den Newsletter-Versand oder die Daten werden zur Durchführung eines Vertragsverhältnisses benötigt (z.B. Kreditvertrag).

Nun unterliegen diese personenbezogenen Daten bestimmten Aufbewahrungsfristen, welche zum Tragen kommen, sobald der originäre Verwendungszweck wegfällt. Nachdem beispielsweise der o.g. Kredit getilgt wurde, ist der Kreditvertrag erfüllt, jedoch tritt an die Stelle des Verwendungszwecks „Vertragsverhältnis“ nun der Verwendungszweck „gesetzliche Aufbewahrungsfrist“.

Aufbewahrungsfrist

Die Aufbewahrungsfrist soll einerseits sicherstellen, dass Daten im Nachhinein noch einsehbar sind, falls beispielsweise das Finanzamt nachträglich noch Fragen hat oder -besonders bei Personenversicherungen relevant- ob es schon vor Jahren medizinische Anzeichen für eine bestimmte Krankheit gab. Andererseits stellen sie sicher, dass Daten nicht bis zum „Sankt-Nimmerleins-Tag“ in Datenbanken oder Dateisystemen schlummern und somit das Gebot der Datenminimierung (vgl. Art. 5 Abs. 1 DSGVO) in die Tat umgesetzt wird. Man spricht in diesem Zusammenhang auch vom „Recht auf Vergessenwerden“, einem der zentralen Betroffenenrechte aus dem Kapitel 3 DSGVO. Während einer Aufbewahrungsfrist dürfen die Daten übrigens nicht weiter verarbeitet werden.

Ob es sich um personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten, etc. handelt, ist dabei zunächst nicht relevant. Wichtig ist nur, dass die personenbezogenen Daten in Datenarten untergliedert und somit verschiedenen Aufbewahrungsfristen zugeordnet werden. Erst wenn dies geschehen ist, kann man sich Gedanken über die Umsetzung von Löschroutinen machen, typischerweise mit Hilfe eines Löschkonzepts nach DIN 66398.

Nehme Sie Kontakt auf.