Wie lange Daten aufbewahren DSGVO?

Wie lange dürfen Daten laut DSGVO gespeichert werden? – Ein Irrtum aufgeklärt

Die Frage, wie lange Daten gemäß DSGVO gespeichert werden dürfen, führt oft zu Missverständnissen. Viele gehen davon aus, dass die DSGVO konkrete Fristen vorschreibt, nach denen Daten gelöscht werden müssen. Das ist jedoch ein Irrtum. Die DSGVO selbst nennt keine festen Speicherfristen. Stattdessen legt sie den Grundsatz der Speicherbegrenzung fest (Art. 5 Abs. 1 lit. e DSGVO). Dieser besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist.

Das bedeutet, dass die Speicherdauer im Einzelfall zu bestimmen ist und von verschiedenen Faktoren abhängt. Entscheidend ist die Frage: Wofür wurden die Daten ursprünglich erhoben und werden sie für diesen Zweck noch benötigt?

Oftmals werden die fälschlicherweise als “DSGVO-Fristen” bezeichneten Zeiträume aus anderen Gesetzen abgeleitet, beispielsweise aus dem Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO). Diese Gesetze schreiben für bestimmte Dokumente Aufbewahrungsfristen vor. Diese Fristen sind jedoch nicht gleichbedeutend mit einer automatischen Löschpflicht nach Ablauf gemäß DSGVO.

Nach Ablauf der handels- oder steuerrechtlichen Aufbewahrungsfristen muss geprüft werden, ob eine weitere Verarbeitung der Daten nach der DSGVO rechtmäßig ist. Existiert keine andere Rechtsgrundlage mehr – wie beispielsweise die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen – müssen die Daten gelöscht werden.

Welche Faktoren beeinflussen die Speicherdauer?

• Zweck der Datenverarbeitung: Der ursprüngliche Zweck der Datenerhebung ist entscheidend. Ändert sich der Zweck, muss die Zulässigkeit der weiteren Speicherung neu bewertet werden.
• Art der Daten: Sensible Daten, wie Gesundheitsdaten, unterliegen strengeren Anforderungen und dürfen in der Regel kürzer gespeichert werden als weniger sensible Daten.
• Vertraglich vereinbarte Fristen: In Verträgen können Speicherfristen festgelegt werden, die jedoch im Einklang mit der DSGVO stehen müssen.
• Technische und organisatorische Maßnahmen: Die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten kann die zulässige Speicherdauer beeinflussen.
• Dokumentierte Löschkonzepte: Unternehmen sollten ein Löschkonzept erstellen und dokumentieren, das die Kriterien und Verfahren zur Löschung personenbezogener Daten festlegt.

Fazit:

Die DSGVO schreibt keine festen Speicherfristen vor. Stattdessen fordert sie eine datenschutzgerechte Speicherung, die sich am Zweck der Datenverarbeitung orientiert. Nach Ablauf etwaiger handels- oder steuerrechtlicher Fristen muss geprüft werden, ob eine weitere Speicherung nach der DSGVO rechtmäßig ist. Ein dokumentiertes Löschkonzept hilft Unternehmen, die Anforderungen der DSGVO zu erfüllen und Daten rechtskonform zu speichern und zu löschen.