Die Speicherung personenbezogener Daten ist ein häufig diskutiertes Thema im Zusammenhang mit dem Datenschutz. Es entsteht oft ein Konflikt zwischen der gesetzlich zulässigen Speicherdauer und dem Wunsch der betroffenen Personen nach Löschung der Daten. Unter bestimmten Voraussetzungen kann dieser Anspruch tatsächlich bereits vor Ablauf der zulässigen Speicherdauer entstehen. Grundsätzlich sind Unternehmen jedoch berechtigt, Daten so lange zu speichern, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist.
Was fällt alles unter Datenspeicherung?
Unter Datenspeicherung versteht man das Erfassen, Aufnehmen und Aufbewahren von personenbezogenen Daten auf einem Datenträger zum Zweck der weiteren Verarbeitung. Dabei ist vor allem die spätere Verfügbarkeit der Daten kennzeichnend. Die speichernde Stelle muss zudem für die Aufgabe zuständig sein und eine entsprechende gesetzliche Ermächtigung haben.
Datenspeicherung im Unternehmen am Beispiel von Bewerberdaten
Ein Beispiel für die Datenspeicherung in einem Unternehmen sind Bewerberdaten. Die DSGVO und das Bundesdatenschutzgesetz erlauben Unternehmen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Bewerbern. Die Datenerhebung ist bereits zulässig, wenn sie dazu dient, über eine mögliche Anstellung zu entscheiden. Die Speicherung der Daten zum Zweck der Bewerbungsabwicklung ist somit rechtmäßig und erforderlich.
Wenn ein Bewerber im Laufe des Verfahrens abgelehnt wird, entfällt die Erforderlichkeit. Allerdings gesteht die Rechtsprechung dem Unternehmen einen Zeitraum von bis zu sechs Monaten nach der Ablehnung des Bewerbers zu, um mögliche Rechtsstreitigkeiten zu vermeiden. Die Daten dürfen somit bis zu 6 Monate nach Versand der Absage aufbewahrt werden. Abgelehnte Bewerber verlangen jedoch häufig unmittelbar nach der Absage die Löschung ihrer Daten. Die Unternehmen müssen dieser Forderung jedoch nicht nachkommen, da sie ein berechtigtes Interesse haben, die Daten zur Verteidigung gegen mögliche Rechtsansprüche aufzubewahren.
Sonderregelung Talentpool
Viele Unternehmen möchten Bewerberdaten länger aufbewahren, um möglicherweise in absehbarer Zukunft weitere Positionen besetzen zu können. Sie wollen die Bewerber in einen sogenannten “Talentpool” aufnehmen, in dem die Daten oft ein Jahr oder länger gespeichert werden. Für eine solche längerfristige Speicherung muss das Unternehmen eine explizite, zweckgebundene und informierte Zustimmung des Bewerbers einholen.
In dieser Einwilligung ist genau festgelegt, wie lange die Bewerbungsunterlagen im Talentpool aufbewahrt werden dürfen. Eine gängige Frist beträgt ein Jahr, in diesem Zeitraum dürfen die Daten aufbewahrt werden. Wenn die betroffene Person jedoch bereits nach neun Monaten die Löschung ihrer Daten verlangt, muss dies oft als Widerruf der Einwilligung interpretiert werden und das Unternehmen muss die Daten vor Ablauf des Jahres löschen.
Datenspeicherung laut DSGVO
Seit dem Inkrafttreten der DSGVO gelten strengere Löschpflichten. Um diesen gerecht zu werden und Anfragen wie oben beschrieben vorzubereiten, empfiehlt es sich, ein Löschkonzept für alle im Unternehmen vorhandenen Daten zu entwickeln. Ein solches Löschkonzept erleichtert die Einhaltung verschiedener Fristen und reduziert Haftungsrisiken für zu lange aufbewahrte Daten. Bei der Erstellung sollte immer der Grundsatz der Speicherbegrenzung und Datenminimierung (gemäß Art. 5 DSGVO) berücksichtigt werden.
Die Datenspeicherung ist nur so lange zulässig, wie es für den festgelegten, eindeutigen und legitimen Zweck erforderlich und angemessen ist. Sobald der Zweck entfällt, muss der Verantwortliche die Daten entfernen. Der Grundsatz der Zweckbindung spielt also ebenfalls eine zentrale Rolle bei der Speicherung von Daten.
Löschpflichten
Die Löschpflichten sind in Artikel 17 der DSGVO geregelt. Daten müssen beispielsweise gelöscht werden, wenn die betroffene Person dies verlangt oder ihre Einwilligung zur Verarbeitung widerruft. Die Nichtumsetzung der Löschpflicht kann zu Bußgeldern und Schadensersatzansprüchen führen. In vielen Gesetzen gibt es konkrete Vorgaben für Aufbewahrungsfristen, z.B. im Handelsgesetzbuch (HGB) oder im Sozialgesetzbuch (SGB). Nach Ablauf dieser Fristen müssen die Daten gelöscht werden.
Es ist daher notwendig, für alle Abteilungen eines Unternehmens, in denen personenbezogene Daten verarbeitet und gespeichert werden, ein entsprechendes Löschkonzept zu entwickeln. Dieses Konzept sollte die vorhandenen Daten, Prozesse und Systeme des Unternehmens berücksichtigen und die Verantwortlichkeiten für die Datenlöschung klar definieren. Es sollte auch konkrete Handlungsanweisungen enthalten, wann und von wem die Daten zu löschen sind.
Praxisbeispiele zum Umgang mit der Datenspeicherung
Nicht nur Bewerberdaten stehen im Fokus der Datenspeicherung, sondern auch Kundendaten und Interessentendaten. Die Verarbeitung von Kundendaten ist für die Vertragserfüllung notwendig, z.B. für die Auslieferung von Waren. Auch hier gilt: Sobald der Zweck der Verarbeitung und Speicherung oder die gesetzliche Aufbewahrungspflicht entfallen, dürfen die Kundendaten nicht mehr aufbewahrt werden.
Bei Interessentendaten, die zu werblichen Zwecken verwendet werden, ist meist eine Einwilligung der betroffenen Person erforderlich. Eine solche Einwilligung ist in der Regel zeitlich unbefristet, es sei denn, es wird in der Einwilligung selbst ein Gültigkeitszeitraum festgelegt. Interessentendaten können beispielsweise E-Mail-Adressen für den Newsletterversand oder Postanschriften für den Versand von Flyern umfassen. Die Verwendung solcher Daten ist nur für die in der Einwilligung klar angegebenen werblichen Maßnahmen erlaubt. Die betroffene Person kann die Einwilligung jederzeit widerrufen, und in diesem Fall müssen die Daten gelöscht werden.
Es ist ratsam, frühzeitig ein Konzept für das Datenmanagement und die Einhaltung von Löschfristen zu erstellen, um den Überblick zu behalten. Das Konzept sollte auf den vorhandenen Daten, Prozessen und Systemen des Unternehmens basieren und die Verantwortlichkeiten für die Löschung der Daten klar festlegen. Es sollten auch konkrete Handlungsanweisungen und Dokumentationen für angefragte und routinemäßige Datenschlöschungen erstellt werden.
Autorin: Kathrin Strauß Artikel veröffentlicht am: 02.11.2020
