Wie lange darf ein Unternehmen meine Daten speichern

Wusstest du, dass Unternehmen in Deutschland durchschnittlich über 500.000 personenbezogene Datensätze pro Jahr speichern? Das ist eine enorme Menge an sensitiven Informationen, die sorgsam verwaltet werden muss. Aber wie lange dürfen Unternehmen diese Daten eigentlich aufbewahren?

Die Datenschutzgrundverordnung (DSGVO) legt klare Regeln fest: Unternehmen dürfen Daten nur so lange speichern, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist. Sobald dieser Zweck entfällt, müssen die Daten unverzüglich gelöscht werden. Es gibt jedoch auch Ausnahmen, etwa wenn gesetzliche Aufbewahrungsfristen eingehalten werden müssen.

Betroffene Personen haben außerdem ein Recht auf Löschung ihrer Daten, das sogenannte „Recht auf Vergessenwerden“. Unternehmen müssen also ein durchdachtes Konzept zur Datenlöschung entwickeln, um allen rechtlichen Vorgaben gerecht zu werden. Nur so können sie sicherstellen, dass personenbezogene Informationen nicht länger als nötig gespeichert werden.

Was ist Datenspeicherung?

Datenspeicherung ist ein wichtiger Aspekt im Umgang mit personenbezogenen Informationen. Definition Datenspeicherung bezeichnet das Erfassen, Aufnehmen und Bewahren dieser Daten auf einem Datenträger, um sie für eine spätere Verarbeitung verfügbar zu machen. Erfassen von Daten umfasst dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – wie Name, Geburtsdatum, Adresse, Kontaktdaten oder sogar Gesundheitsdaten.

Erfassen, Aufnehmen und Bewahren von personenbezogenen Daten

Aufbewahren von Daten ist ein zentraler Bestandteil der Datenspeicherung. Daten werden zunächst erfasst und dann für eine bestimmte Zeit aufbewahrt, damit sie später weiterverarbeitet werden können. Dabei müssen verschiedene gesetzliche Regelungen, wie die Datenschutz-Grundverordnung (DSGVO), beachtet werden.

• Erfassung von Daten: Personenbezogene Informationen werden gesammelt und erfasst.
• Aufbewahrung der Daten: Die gesammelten Daten werden für eine bestimmte Zeit auf Datenträgern gespeichert.
• Weiterverarbeitung der Daten: Die gespeicherten Daten können nun für verschiedene Zwecke genutzt werden.

„Datenspeicherung ist ein wesentlicher Bestandteil des Umgangs mit personenbezogenen Informationen in Unternehmen und Organisationen.“

Warum und wie dürfen Unternehmen Daten speichern?

Gemäß der Datenschutz-Grundverordnung (DSGVO) benötigen Unternehmen eine rechtliche Grundlage, um personenbezogene Daten zu verarbeiten und zu speichern. Die Rechtsgrundlagen für die Speicherung von Daten können dabei beispielsweise die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder eine rechtliche Verpflichtung sein.

Darüber hinaus müssen Unternehmen die Voraussetzungen und Zweckbindung nach DSGVO beachten. Das bedeutet, dass die Speicherung für einen konkreten, legitimen Zweck erfolgen und nicht länger als nötig andauern darf. Zudem sind Unternehmen verpflichtet, die Betroffenen über die Datenverarbeitung zu informieren und ihre Rechte zu wahren.

• Laut Art. 5 Abs. 1 lit. e) DSGVO müssen Unternehmen personenbezogene Daten nur so lange speichern, wie sie benötigt werden.
• Gemäß Art. 17 DSGVO können Daten gelöscht werden, wenn sie nicht mehr benötigt werden oder die betroffene Person die Einwilligung widerruft.
• Unternehmen müssen diverse gesetzliche Aufbewahrungspflichten erfüllen, z.B. für Handelsbücher und Rechnungen.

Durch die Einhaltung dieser Rechtsgrundlagen und Voraussetzungen stellen Unternehmen sicher, dass die Datenspeicherung rechtmäßig und transparent erfolgt. Gleichzeitig müssen sie die Speicherung und Löschung von Daten gemäß DSGVO dokumentieren, um im Falle von Kontrollen durch Aufsichtsbehörden Rechenschaft ablegen zu können.

Wie lange darf ein Unternehmen meine Daten speichern?

Gemäß der DSGVO (Datenschutz-Grundverordnung) dürfen Unternehmen personenbezogene Daten nur so lange speichern, wie es für den ursprünglichen Zweck, für den sie erhoben wurden, erforderlich ist. Sobald dieser Zweck erfüllt ist, müssen die Daten gelöscht werden (Speicherbegrenzung und Datensparsamkeit).

Löschfristen und Ausnahmen

Es gibt jedoch Ausnahmen, bei denen eine längere Datenspeicherung zulässig sein kann. Zum Beispiel, wenn gesetzliche Aufbewahrungsfristen eingehalten werden müssen oder wenn eine Einwilligung zur Datenverarbeitung vorliegt. Unternehmen sollten ein Löschkonzept erstellen, um die Löschpflichten zu erfüllen und Haftungsrisiken zu minimieren.

1. Bewerberdaten dürfen bis zu 6 Monate nach Ablehnung gespeichert werden.
2. Für Talentpools ist eine Speicherdauer von bis zu einem Jahr üblich, erfordert aber eine explizite Einwilligung.
3. Kundendaten wie E-Mail-Adressen, Bestellungen oder IP-Adressen müssen gelöscht werden, sobald der Zweck der Speicherung entfällt.
4. Interessentendaten für Werbezwecke erfordern eine Einwilligung und müssen bei Widerruf oder Zweckfortfall gelöscht werden.

Unternehmen müssen sicherstellen, dass sie Daten nur so lange speichern, wie es für den ursprünglichen Zweck erforderlich ist. Ein Löschkonzept hilft dabei, die Löschpflichten nach der DSGVO einzuhalten und Bußgelder zu vermeiden.

„Unternehmen dürfen Daten so lange aufbewahren, wie sie sie zur Erfüllung der ihnen von der zuständigen Stelle übertragenen Aufgaben benötigen.“

Besondere Fälle der Datenspeicherung

Neben den allgemeinen Regeln zur Datenspeicherung gibt es einige besondere Fälle, die beachtet werden müssen. Dazu gehören die Speicherung von Bewerberdaten sowie die Speicherung von Kundendaten und Daten zu Marketingzwecken.

Bewerberdaten

Bewerberdaten dürfen bis zu 6 Monate nach Ablehnung eines Bewerbers aufbewahrt werden. Dies ermöglicht es, mögliche Rechtsansprüche zu klären und die Auswahlentscheidung später zu begründen. Nach Ablauf dieser Frist müssen die Daten gelöscht werden, es sei denn, der Bewerber hat in eine längere Speicherung eingewilligt.

Kundendaten und Marketingzwecke

Kundendaten dürfen für die Erfüllung des Vertragsverhältnisses gespeichert werden. Sobald der Vertragszweck entfällt, müssen die Daten gelöscht werden. Für Marketingzwecke ist oft eine gesonderte Einwilligung des Kunden erforderlich, die jederzeit widerrufen werden kann. Ohne diese Einwilligung dürfen die Daten nicht zu Marketingzwecken verwendet werden.

Insgesamt zeigt sich, dass es bei der Speicherung von Bewerberdaten, Kundendaten und Daten zu Marketingzwecken besondere Regeln und Fristen zu beachten gilt. Unternehmen müssen die Vorgaben der DSGVO sorgfältig einhalten, um Rechtsverletzungen zu vermeiden.

Löschkonzept und Umsetzung der Löschpflichten

Mit der Einführung der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 haben Unternehmen die Verpflichtung, die Speicherdauer personenbezogener Daten zu begrenzen und diese nach Ablauf der zulässigen Fristen zu löschen. Um diese Löschpflichten korrekt umzusetzen, ist die Erstellung eines umfassenden Löschkonzepts unerlässlich.

Das Löschkonzept dient dazu, die Verantwortlichkeiten für die Datenlöschung innerhalb des Unternehmens klar zu regeln, Löschfristen zu definieren und konkrete Handlungsanweisungen festzulegen. Nur so können Haftungsrisiken durch zu lange Datenspeicherung vermieden und die Rechte der betroffenen Personen gewahrt werden.

Dabei müssen verschiedene Aspekte berücksichtigt werden:

• Identifikation aller gespeicherten personenbezogenen Daten und deren Klassifizierung
• Festlegung von Löschfristen auf Basis gesetzlicher Vorgaben und des Zwecks der Datenverarbeitung
• Erstellung von Löschprozessen für alle relevanten Systeme und Datenbestände
• Sicherstellung der vollständigen Löschung, auch in Backups und Archiven
• Dokumentation der Löschvorgänge für den Nachweis gegenüber Behörden

Die Umsetzung eines durchdachten Löschkonzepts ist nicht nur rechtlich erforderlich, sondern auch ein wichtiger Schritt, um das Vertrauen der Kunden und Mitarbeiter in den Datenschutz im Unternehmen zu stärken.

Unternehmen, die diese Vorgaben zur Datenlöschung nicht einhalten, riskieren empfindliche Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Daher ist es von entscheidender Bedeutung, ein effektives Löschkonzept zu implementieren und die Umsetzung der Löschpflichten sicherzustellen.

Verantwortlichkeiten und Dokumentation

Um die Einhaltung der Datenschutzvorschriften zu gewährleisten, müssen Unternehmen klare Zuständigkeiten für die Datenlöschung festlegen. Das Löschkonzept sollte regeln, wer in den verschiedenen Abteilungen und Systemen für die fristgerechte Löschung personenbezogener Daten verantwortlich ist. Darüber hinaus ist es wichtig, die Löschvorgänge sorgfältig zu dokumentieren – sowohl bei routinemäßigen Löschungen als auch auf Anfrage betroffener Personen.

Zuständigkeiten für die Datenlöschung

Die Verantwortlichkeiten für die Datenlöschung müssen innerhalb des Unternehmens klar geregelt sein. Jede Abteilung, die mit personenbezogenen Daten umgeht, sollte eigene Ansprechpartner haben, die für das fristgerechte Löschen der Daten zuständig sind. Außerdem sollte es eine übergeordnete Instanz geben, die den Gesamtprozess koordiniert und überwacht.

Dokumentation der Löschvorgänge

Neben der Festlegung von Zuständigkeiten ist es unerlässlich, die Löschvorgänge sorgfältig zu dokumentieren. Diese Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden, dass die gesetzlichen Löschpflichten erfüllt wurden. Sie sollte Informationen darüber enthalten, wann welche Daten in welchen Systemen gelöscht wurden – sowohl bei routinemäßigen Löschungen als auch auf Anfrage der betroffenen Personen.

Durch eine systematische und nachvollziehbare Dokumentation der Löschvorgänge können Unternehmen ihre Compliance mit den Datenschutzbestimmungen belegen und möglichen Sanktionen vorbeugen.

Sichere Datenspeicherung nach DSGVO

Um den Schutz personenbezogener Daten nach der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten, müssen Unternehmen nicht nur rechtliche Vorgaben einhalten, sondern auch technische und organisatorische Maßnahmen ergreifen. Sichere Datenspeicherung DSGVO ist dabei ein zentraler Aspekt, der dafür sorgen soll, dass sensible Informationen vor unbefugtem Zugriff, Verlust oder Schädigung geschützt sind.

Technische und organisatorische Maßnahmen

Technische Maßnahmen umfassen beispielsweise die Verschlüsselung von Daten, den Einsatz von Firewalls und Virenschutzprogrammen sowie die Implementierung von Zugriffskontrollen. Darüber hinaus sollten Unternehmen organisatorische Maßnahmen treffen, wie die Einführung von Löschkonzepten, Mitarbeiterschulungen und die Benennung von Datenschutzbeauftragten. So können Datenverluste, unbefugte Zugriffe und Manipulationen bestmöglich verhindert werden.

Redundante und verschlüsselte Datenspeicherung

Eine weitere wichtige Komponente der sicheren Datenspeicherung DSGVO ist die redundante und verschlüsselte Speicherung von Daten. Durch die Speicherung an mehreren, physisch getrennten Orten kann im Falle eines Datenverlusts oder -ausfalls auf Backup-Systeme zurückgegriffen werden. Die Verschlüsselung der Daten stellt zudem sicher, dass auch bei unbefugtem Zugriff die Informationen nicht ohne Weiteres ausgelesen werden können.

Durch den Einsatz dieser technischen und organisatorischen Maßnahmen stellen Unternehmen sicher, dass die gespeicherten personenbezogenen Daten in ihrem Verantwortungsbereich bestmöglich geschützt sind und die Vorgaben der DSGVO eingehalten werden.

Rechte der betroffenen Personen

Die Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte der Betroffenen in Bezug auf den Umgang mit ihren personenbezogenen Daten. Dazu gehören das Auskunftsrecht, das Widerrufsrecht und das Recht auf Löschung ihrer Daten.

Auskunftsrecht und Widerrufsrecht

Betroffene Personen haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu verlangen. Dies umfasst Informationen zu den Verarbeitungszwecken, den Kategorien personenbezogener Daten, den Empfängern und der geplanten Speicherdauer. Auch wenn personenbezogene Daten an Drittländer übermittelt werden, müssen die Betroffenen darüber informiert werden.

Darüber hinaus können Betroffene jederzeit ihre Einwilligung zur Datenverarbeitung widerrufen. Unternehmen müssen solche Anträge umgehend bearbeiten und die Daten löschen, sofern keine anderen Rechtsgrundlagen für die Verarbeitung bestehen.

Recht auf Löschung personenbezogener Daten

In bestimmten Fällen haben Betroffene auch ein Recht auf Löschung ihrer personenbezogenen Daten. Dies ist beispielsweise der Fall, wenn der Speicherungszweck entfallen ist oder sie ihre Einwilligung zur Datenverarbeitung widerrufen haben. Unternehmen müssen solche Löschanträge zeitnah bearbeiten und die Daten unverzüglich löschen.

Insgesamt stärkt die DSGVO die Rechte der Betroffenen und gibt ihnen mehr Kontrolle über ihre persönlichen Informationen. Unternehmen müssen diese Rechte respektieren und zügig auf entsprechende Anfragen reagieren.

Folgen bei Verstößen gegen Datenschutzvorschriften

Verstöße gegen die Vorgaben der DSGVO zur Datenspeicherung können für Unternehmen empfindliche Konsequenzen haben. So drohen bei Datenschutzverstößen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes. Darüber hinaus können Betroffene Schadensersatzansprüche geltend machen, wenn ihre Rechte verletzt wurden.

Mögliche Bußgelder und Schadensersatzansprüche

Um solch hohe Strafen und Schadenersatzzahlungen zu vermeiden, müssen Unternehmen die Regelungen zur Datenspeicherung und -löschung konsequent umsetzen. Laut Datenschutz-Grundverordnung können Verstöße gegen den Datenschutz mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Auch das Bundesdatenschutzgesetz sieht Bußgelder bis zu 300.000 Euro oder Freiheitsstrafen bis zu zwei Jahren vor.

Neben den Strafen können Unternehmen auch mit Schadensersatzansprüchen von Betroffenen konfrontiert werden, wenn deren Rechte verletzt wurden. Betroffene können beispielsweise eine Verletzung ihres Auskunfts-, Löschungs- oder Widerspruchsrechts geltend machen. Um solche Konsequenzen zu vermeiden, ist es für Unternehmen entscheidend, die Bußgelder DSGVO, Schadensersatzansprüche DSGVO und mögliche Folgen Datenschutzverstöße ernst zu nehmen und die Datenschutzvorschriften konsequent umzusetzen.

„Verstöße gegen die Datenschutz-Grundverordnung können für Unternehmen empfindliche finanzielle Konsequenzen haben. Deshalb ist es wichtig, die Vorgaben zur Datenspeicherung und -löschung unbedingt einzuhalten.“

Fazit

Zusammenfassend lässt sich sagen, dass Unternehmen personenbezogene Daten nur so lange speichern dürfen, wie es für den ursprünglichen Zweck erforderlich ist. Um die Löschpflichten der DSGVO zu erfüllen, müssen sie ein abteilungsübergreifendes Löschkonzept entwickeln und die Verantwortlichkeiten sowie Löschfristen klar regeln. Nur so können sie Haftungsrisiken vermeiden und die Rechte der Betroffenen wahren.

Ein solches Löschkonzept sollte die gesetzlichen Vorgaben zur Aufbewahrungsdauer berücksichtigen, etwa sechs Jahre für steuerrechtliche Unterlagen oder bis zu 30 Jahre für Arbeitszeugnisse. Zudem müssen Unternehmen die Grundsätze der Datenschutzgrundverordnung einhalten, wie Rechtmäßigkeit, Datenminimierung und Transparenz. Nur so können sie den Schutz personenbezogener Daten sicherstellen und Abmahnungen oder Bußgelder vermeiden.

Ein strukturiertes Löschkonzept ist also essentiell, um die Aufbewahrungsfristen einzuhalten und gleichzeitig die Rechte der Betroffenen zu wahren. Nur dann können Unternehmen vertrauensvolle Kundenbeziehungen aufbauen und rechtssicher mit Kundendaten umgehen.

Quellenverweise

• https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/how-long-can-data-be-kept-and-it-necessary-update-it_de
• https://www.dsgvo.tools/aufbewahrungsfristen/
• https://keyed.de/blog/speicherung-personenbezogener-daten/
• https://www.datenschutz.org/datenspeicherung/
• https://easyrechtssicher.de/wie-lange-darf-man-vertrags-und-kundendaten-speichern/
• https://www.brandi.net/fileadmin/user_upload/Newsletter/pdf/archiv/Newsletter_0419.pdf
• https://www.datenschutzexperte.de/personenbezogene-daten/
• https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/wie-lange-darf-ein-unternehmen-daten-speichern/
• https://dg-datenschutz.de/wie_lange_kann_ein_unternehmen_daten_speichern/
• https://www.datenschutzexperte.de/aufbewahrungsfristen-dsgvo/
• https://www.wko.at/unternehmensfuehrung-finanzierung-foerderungen/datenschutz-grundverordnung-fragen-und-antworten
• https://kliemt.blog/2019/06/04/dsgvo-und-loeschfristen-vs-aufbewahrungspflichten/
• https://www.dataguard.de/blog/standardloeschfristen
• https://www.d-velop.de/blog/compliance/loeschfristen/
• https://www.datenschutzexperte.de/loeschkonzept-im-unternehmen/
• https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-can-personal-data-be-processed_de
• https://lawpilots.com/de/blog/datenschutz/datenschutz-und-kundendaten/
• https://novidata.de/themen/aufbewahrungsfristen-und-loeschfristen-dsgvo/
• https://www.datenschutz.org/vorratsdatenspeicherung/
• https://dsgvo-erste-hilfe.de/de/blog/Ein-Blick-auf-die-Speicherfristen-im-Datenschutz.php
• https://dsgvo-gesetz.de/art-15-dsgvo/
• https://www.isico-datenschutz.de/blog/anforderungen-betroffenenrechte-dsgvo
• https://www.datenschutz.org/verstoss/
• https://www.bussgeldkatalog.org/verstoss-gegen-datenschutz/
• https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/loeschung-personenbezogener-daten-bei-kuendigung/
• https://dsgvo-vorlagen.de/dsgvo-und-der-umgang-mit-kundendaten