Aufbewahrung von Daten und Dokumentieren nach Art. 30 DSGVO

Gibt es eine Daumenregel, wie lange ich personenbezogene Daten aufbewahren darf? Gibt es gängige Löschkonzepte?

RA Fabian Braches: Ja, die Daten dürfen so lange aufbewahrt werden, bis der Zweck zu dessen Erfüllung die Daten erhoben und verarbeitet werden erreicht ist, also die Daten zur Zweckerfüllung nicht mehr nötig sind. Sobald der konkret festgelegte Zweck erreicht ist, müssen die Daten gelöscht werden, es sei denn es besteht eine rechtliche Verpflichtung für die weitere Speicherung (z.B. gesetzliche Aufbewahrungspflichten wie für die Steuer). Ein Löschkonzept muss für die jeweilige Verarbeitung gesondert erstellt werden. Dies geschieht am besten im Rahmen der Erstellung von Verarbeitungsverzeichnissen.

Muss ich ein Verzeichnis der Datenverarbeitungstätigkeiten anlegen?

RA Cornelius Matutis: Ja. Jeder Unternehmer, der nicht nur gelegentlich personenbezogene Daten verarbeitet, muss für jede Verarbeitungstätigkeit ein verschriftlichtes Verzeichnis der Verarbeitungstätig anlegen.

Muss ich die Vielzahl der Daten oder nur die datenverarbeitenden Programme dokumentieren?

Art 30 DSGVO | Beispiel: Ein Designer verwendet das Layout-Programm Adobe InDesign in der Cloud-Version und hinterlegt dort eine Adressliste des Kunden für einen Serienversand.

RA Fabian Braches: Das Verzeichnis muss „nur“ für den jeweiligen Verarbeitungsvorgang (z.B. Adobe Cloud; CRM; E-Mail-Nutzung; Newsletter-Dienstleister) angelegt werden. In dem genannten Beispiel bedeutet dies, dass nur ein Verzeichnis für die Verarbeitung von Adresslisten des Kunden in Adobe-Cloud erstellt werden muss.

Welche Vorkehrungen muss ich gegen einen Datenverlust treffen?

RA Cornelius Matutis: Nur soweit es sich um personenbezogene Daten handelt, bin ich verpflichtet, Vorkehrungen durch eine regelmäßige und angemessene Datensicherung zu treffen. Wichtig ist auch, dass nicht nur Backups gemacht werden, sondern auch geprüft wird, ob diese wirklich zurückgespielt werden können. Je nach Risiko eines Datenverlustes für den Betroffenen steigt die Notwendigkeit der Häufigkeit der erforderlichen Datensicherungen. Da ein Designer meist nur die Daten seines Kunden für eine eigene Kommunikation und Abrechnung mit dem Kunden speichert, ist der erforderliche Level der Datensicherung sehr gering.

Was muss ich tun, wenn es doch mal zum Datenverlust kommt?

RA Fabian Braches:  Ein Datenverlust wird in der Regel auf einer Verletzung des Schutzes personenbezogener Daten beruhen. Datenschutzverletzungen sind dabei innerhalb von 72 Stunden nach Bekanntwerden der Verletzung der zuständigen Aufsichtsbehörde zu melden. Dies gilt nur dann nicht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ob die Ausnahme eingreift, muss immer ganz genau geprüft werden. Daher sollte unverzüglich eine Meldung an den Datenschutzbeauftragten oder den externen Berater für Datenschutz erfolgen.

Soweit die Verletzung des Datenschutzes voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat, muss der Betroffene unverzüglich in klarer und einfacher Sprache benachrichtigt werden. Die Benachrichtigung muss gem. Art. 34 Abs. 2, 33 Abs. 3 lit. b-d DSGVO zumindest enthalten:

  • Beschreibung der Art der Verletzung
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen der Verletzung für den Betroffenen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Es gibt auch Ausnahmen von der Benachrichtigung. Ob diese eingreifen, muss jedoch im Einzelfall geprüft werden. Die Ausnahmen ergeben sich aus Art. 34 Abs. 3 DSGVO.