Nach dem Prinzip der Speicherbegrenzung dürfen personenbezogene Daten nicht über den Speicherzweck hinaus gespeichert werden. Das bedeutet, dass jeder, dem Sie Ihre Daten anvertrauen, diese sofort löschen muss, wenn der Speicherzweck erreicht ist. Die Frage “Wie lange darf man Daten speichern?” kann man daher nicht pauschal beantworten.
Denn bevor der Betroffene einen Anspruch auf Löschung der Daten durchsetzen kann, muss man die Interessen des Verantwortlichen und den damit verbundenen Speicherzweck prüfen.
Unverzügliche Löschung?
Der Gesetzgeber hat in der Datenschutzgrundverordnung genau definiert, wann Daten gelöscht werden müssen.
Laut Artikel 17 Absatz 1 DS-GVO sind personenbezogene Daten vom Verantwortlichen unverzüglich zu löschen, sofern
- die Speicherung im Hinblick auf den Erhebungszweck nicht mehr notwendig ist oder
- der Betroffene seine Einwilligung widerrufen hat und keine anderweitige Rechtsgrundlage für die Verarbeitung mehr vorliegt oder
- der Betroffene Widerspruch gegen die Verarbeitung eingelegt hat und keine vorrangige Rechtsgrundlage für die Verarbeitung vorliegt oder
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder
- die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionrecht oder dem Recht der Mitgliedstaaten erforderlich ist oder
- personenbezogene Daten eines Kindes ohne Einwilligung der Eltern erhoben wurden.
Wann ist die Datenlöschung unverzüglich?
Das Wort unverzüglich, wird im juristischen Sinne als “ohne schuldhaftes Zögern” definiert. Solange den Verantwortlichen für die Datenspeicherung noch Aufbewahrungspflichten treffen oder er selbst ein Interesse an der Speicherung hat, darf er die Daten noch aufbewahren.
Beispiel: Was passiert mit der Personalakte nach der Kündigung?
Hier würde man zunächst denken, dass diese dann sofort gelöscht werden kann, da der Mitarbeiter ja nicht mehr im Unternehmen arbeiten. Doch Vorsicht: Der Arbeitgeber muss für steuerliche Zwecke die Personalunterlagen aufbewahren. Auch für den Fall, dass der Ex-Mitarbeiter nachträglich Ansprüche geltend macht, muss der Arbeitgeber ein Beweismittel in Händen halten. Da die Verjährung in der Regel erst nach drei Jahren eintritt, ist im Beispiel der Personalakte die Löschung frühestens nach drei Jahren “unverzüglich”. Zudem müssen noch steuerliche und sozialversicherungsrechtliche Aufbewahrungsfristen berücksichtigt werden.
Anders sieht es dagegen aus, wenn Daten des Mitarbeiters oder beispielsweise auch Fotos noch auf der Webseite des Arbeitgebers gezeigt werden. Hier geht man in der Regel davon aus, dass mit Beendigung des Arbeitsverhältnisses auf eine vorhergehende Einwilligung des Mitarbeiters widerrufen wurde. Ausnahme: Der Mitarbeiter stimmt weiterhin ausdrücklich zu. Lesen Sie hier mehr zum Thema Verwendung von Mitarbeiterfotos.
TIPP: Wenn die Daten nicht unverzüglich gelöscht werden, dann können Betroffene auch eine Unterlassungserklärung verlangen.
Hinweis auf Dauer der Speicherung
Der Verantwortliche muss in der Datenschutzerklärung auf die Dauer der Datenspeicherung hinweisen. Er muss den Betroffenen muss darüber aufklären, dass die personenbezogenen Daten gelöscht oder gesperrt werden, wenn der Speicherungszweck erreicht wurde.
Der Betroffene muss allerdings hinnehmen, dass die Speicherung aufgrund gesetzlicher Verpflichtungen erfolgen darf, jedenfalls bis zum Ablauf der Speicherpflichten. Wichtig: Die Speicherfristen richten sich in der Regel nach der Art der Daten. Das bedeutet, dass Sie als Verantwortlicher den Betroffenen jeweils über die Speicherdauer informieren müssen.
Rechtfertigung für Speicherung
Nicht nur gesetzliche Aufbewahrungspflichten können die Speicherung rechtfertigen. Der Betroffene kann sich nicht auf das Recht zur Löschung berufen, wenn die Datenverarbeitung erforderlich ist,
- um das Recht auf freie Meinungsäußerung und Information auszuüben; oder
- um durch die Datenverarbeitung eine rechtliche Verpflichtung nach dem Recht der Union oder der Mitgliedstaaten zu erfüllen oder eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, wahrzunehmen; oder
- weil Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gem. Art. 9 Absatz 2 lit. h und i sowie Art. 9 Absatz 3 DS-GVO vorliegen; oder
- weil im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Art. 89 Absatz 1 DS-GVO vorliegen, soweit voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt; oder
- um Rechtsansprüchen auszuüben bzw. diese zu verteidigen.
Vorgehen bei Löschungsbegehren
Sofern ein Nutzer sein Löschungs- oder Berichtigungsrecht ausübt und keiner der in der DS-GVO geregelten Gründe dem widerspricht, muss der Verantwortliche die Löschung veranlassen. Er ist ggf. auch dafür verantwortlich, Dritte, die mit der Datenverarbeitung befasst sind, zu informieren und zur Löschung zu veranlassen. Wenn der Betroffene Sie auffordert, müssen Sie ihm übrigens auch umfassend Auskunft über die bei Dritten gespeicherten Daten geben. Nutzen Sie dafür am besten einen Musterbrief zur Selbstauskunft.