Mit der anlaufenden Weihnachtszeit fangen nicht nur die Glocken an zu klingeln, sondern auch die Kassen des hamburgischen Beauftragten f\u00fcr Datenschutz und Informationsfreiheit (HmbBfDI). Ein Dienstleister wurde mit einem Bu\u00dfgeld von 900.000 Euro belegt, weil personenbezogene Daten jahrelang ohne Rechtsgrundlage gespeichert wurden.<\/p>\n
Eines der unbeliebtesten Themen bei vielen Unternehmen sind die fehlenden oder fehlerhaften Fristen zur L\u00f6schung von Daten. Der Fall zeigt nun jedoch, dass L\u00f6schfristen nicht nur dokumentiert, sondern auch praktisch umgesetzt werden m\u00fcssen.<\/p>\n
Die DSGVO normiert die Grunds\u00e4tze der Datenminimierung, Speicherbegrenzung sowie das \u201eRecht auf Vergessenwerden\u201c. Das f\u00fchrt dazu, dass Unternehmen personenbezogene Daten nur solange speichern d\u00fcrfen, wie dies unter Ber\u00fccksichtigung gesetzlicher Aufbewahrungsfristen oder sonstiger Nachweispflichten notwendig und zul\u00e4ssig ist.<\/p>\n
So soll sichergestellt werden, dass Informationen nicht unn\u00f6tig lange vorgehalten werden, wodurch das Risiko f\u00fcr Betroffene minimiert wird.<\/p>\n
Im aktuellen Fall hatte der betroffene Hamburger Dienstleister jedoch zahlreiche Datens\u00e4tze noch bis zu f\u00fcnf Jahre nach Ablauf der gesetzlichen Fristen aufbewahrt \u2013 ohne jegliche Rechtsgrundlage. Dies stellte einen klaren Versto\u00df gegen die DSGVO dar.<\/p>\n
W\u00e4hrend einer Vor-Ort-Pr\u00fcfung bei dem Unternehmen deckte der HmbBfDI gravierende Verst\u00f6\u00dfe auf: Eine sechsstellige Zahl personenbezogener Datens\u00e4tze wurde trotz abgelaufener Fristen weiterhin gespeichert. Obwohl die Daten nicht an Dritte weitergegeben wurden, war die jahrelange rechtswidrige Speicherung ein schwerwiegender Versto\u00df gegen die DSGVO.<\/p>\n
Die Konsequenz: Ein Bu\u00dfgeld in H\u00f6he von 900.000 Euro, welches das Unternehmen akzeptierte.<\/p>\n
Das hei\u00dft f\u00fcr Unternehmen, dass klare interne Regeln f\u00fcr das Aufbewahren und das L\u00f6schen oder auch Anonymisieren von Daten etabliert werden sollten.<\/p>\n
Unternehmen sind verpflichtet, Daten zu l\u00f6schen, sobald diese f\u00fcr die urspr\u00fcnglich festgelegten Verarbeitungszwecke nicht mehr ben\u00f6tigt werden. Diese Verpflichtung zur Datenl\u00f6schung gilt unabh\u00e4ngig davon, ob die Daten intern genutzt oder an Dritte weitergegeben wurden.<\/p>\n
Je nach Branche oder auch Unternehmensbereich k\u00f6nnen unterschiedliche L\u00f6schfristen gelten. W\u00e4hrend in einem Handelsunternehmen prim\u00e4r steuerliche oder auch arbeitsrechtliche Aufbewahrungsfristen gelten, sind Unternehmen aus dem Gesundheitssektor zus\u00e4tzlich mit strengen berufsrechtlichen Dokumentationspflichten und -fristen konfrontiert.<\/p>\n
Die gr\u00f6\u00dfte Herausforderung ist jedoch die Definition von L\u00f6schfristen f\u00fcr Dokumente oder Daten, f\u00fcr die es eben keine \u201egesetzlichen\u201c Fristen gibt (z. B. Dienstpl\u00e4ne, Urlaubsantr\u00e4ge, Einwilligungserkl\u00e4rungen, etc.). Insbesondere hier sind unternehmenseinheitliche Regelungen zu L\u00f6schfristen wichtig.<\/p>\n
Auch wenn der origin\u00e4re Zweck m\u00f6glicherweise bereits erf\u00fcllt ist, kann das Unternehmen durchaus ein berechtigtes Interesse an einer \u00fcbergangsweise l\u00e4ngeren Archivierung zur Abwehr m\u00f6glicher Haftungsanspr\u00fcche haben. H\u00e4ufig sind diese jedoch sp\u00e4testens nach 3 Jahren \u2013 zum Ende des Kalenderjahres in dem der Anspruch entstanden ist \u2013 verj\u00e4hrt (\u00a7195 BGB).\u00a0 Und dann muss auch gel\u00f6scht werden.<\/p>\n
Unternehmen sollten daher von Beginn an klar definieren, welche Daten in welcher Form und f\u00fcr welchen Zeitraum gespeichert werden m\u00fcssen. Diese internen Regelungen sollten dokumentiert und festgelegt sein (beispielsweise in einem L\u00f6schkonzept). Um zu verhindern, dass Daten unn\u00f6tig lange aufbewahrt werden und es dadurch zu Verst\u00f6\u00dfen kommt, sollten in den L\u00f6schkonzepten auch klare Zust\u00e4ndigkeiten und Prozesse f\u00fcr die tats\u00e4chlich durchzuf\u00fchrende L\u00f6schung aufgenommen werden.<\/p>\n
Im Datenschutz und in der Datensicherheit ist es wichtig, Daten vollumf\u00e4nglich und dauerhaft zu l\u00f6schen, so dass diese nicht mehr verwendet werden k\u00f6nnen. Daten d\u00fcrfen nach dem L\u00f6schen nicht wiederhergestellt und in keiner Weise mehr verarbeitet werden k\u00f6nnen \u2013 sie m\u00fcssen also dauerhaft und technisch unwiderruflich gel\u00f6scht werden. Auch Sicherungskopien sind zu l\u00f6schen.<\/p>\n
Alte Akten und Papierdokumente entsorgen Sie bestenfalls mit Hilfe eines professionellen Aktenvernichters; keinesfalls sollten diese \u00fcber den Papierm\u00fcll entsorgt werden.<\/p>\n
Da personenbezogene Daten typischerweise im ganzen Unternehmen verteilt sind, ist das L\u00f6schkonzept ein Projekt, das der Unterst\u00fctzung der ganzen Firma bedarf.<\/p>\n
Der Hamburger Fall zeigt, wie ernst die Datenschutzbeh\u00f6rden Verst\u00f6\u00dfe gegen L\u00f6schpflichten nehmen. Unternehmen sollten nicht darauf hoffen, dass unzureichende L\u00f6schpraktiken unbemerkt bleiben. Wir empfehlen Ihnen daher die Etablierung eines durchdachten L\u00f6schkonzeptes, um den gesetzlichen Anforderungen gerecht zu werden.\u00a0 Die Einhaltung der L\u00f6schpflichten sch\u00fctzt nicht nur vor Sanktionen, sondern auch vor Imagesch\u00e4den und finanziellen Einbu\u00dfen, die im Zuge eines Datenschutzvorfalls entstehen k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Mit der anlaufenden Weihnachtszeit fangen nicht nur die Glocken an zu klingeln, sondern auch die Kassen des hamburgischen Beauftragten f\u00fcr Datenschutz und Informationsfreiheit (HmbBfDI). Ein Dienstleister wurde mit einem Bu\u00dfgeld von 900.000 Euro belegt, weil personenbezogene Daten jahrelang ohne Rechtsgrundlage gespeichert wurden. Eines der unbeliebtesten Themen bei vielen Unternehmen sind die fehlenden oder fehlerhaften Fristen […]<\/p>\n","protected":false},"author":11,"featured_media":3283,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-3282","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3282","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=3282"}],"version-history":[{"count":1,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3282\/revisions"}],"predecessor-version":[{"id":3284,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3282\/revisions\/3284"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/3283"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=3282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=3282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=3282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}