Wie lange dürfen personenbezogene Daten gespeichert werden?

12. Oktober 2017

Mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) in Deutschland am 25. Mai 2018 wird das gesamte Datenschutzrecht neu geregelt. Im Artikel geht es um die Neuregelung der DSGVO zur Frage der Speicherdauer, also wie lange personenbezogene Daten gespeichert und genutzt werden dürfen bzw. wann sie wieder gelöscht werden müssen.

Festlegung von Verarbeitungszweck und Speicherdauer

Die DSGVO sieht vor, dass personenbezogene Daten grundsätzlich nur für einen bestimmten Verarbeitungszweck gespeichert werden dürfen, und nur solange, wie es für den jeweiligen Zweck erforderlich ist (Art. 5 Abs. 1 lit. e) DSGVO). Der Verarbeitungszweck ist vom Verantwortlichen bei Beginn der Verarbeitung festzulegen. Es können auch mehrere Verarbeitungszwecke nebeneinander bestimmt werden.

Weiter soll der Verantwortliche eine entsprechende Speicherfrist und Fristen für eine Löschung oder für eine regelmäßige Überprüfung festlegen. Werden mehrere Verarbeitungszwecke bestimmt, sind für die einzelnen Verarbeitungszwecke jeweils gesonderte Fristen zu bestimmen.

Nach Erfüllung des ursprünglichen Speicherungszwecks ist unter bestimmten Voraussetzungen eine Zweckänderung denkbar (Art. 6 Abs. 4 DSGVO). Für den neuen, geänderten Zweck ist dann wiederum eine Speicherdauer zu bestimmen.

Abgesehen davon bestehen noch einige, eng gefasste Ausnahmen, die eine Weiternutzung nach Erfüllung des Speicherungszwecks unter bestimmten Voraussetzungen ermöglichen, bspw. für statistische Zwecke (Art. 89 DSGVO).

Beispiel Online-Handel

Für den Online-Handel kommen beispielsweise folgende Verarbeitungszwecke in Betracht:

Verarbeitungszweck ist zunächst die Abwicklung des Kaufvertrags mit dem Kunden. Für bestimmte Daten sind handels- und steuerrechtliche Aufbewahrungsfristen zu beachten. Des Weiteren besteht ein Bedarf zur Aufbewahrung von Vertragsdaten im Hinblick auf etwaige Gewährleistungsansprüche, also für die Dauer der einschlägigen Gewährleistungsfristen.

Darüber hinaus kann es zu Zwecken der Kundenbindung zulässig sein, Daten zum Kaufverhalten oder persönlichen Präferenzen des Kunden zu speichern. Entsprechendes gilt für das Zahlungsverhalten, etwa um zu beurteilen, ob dem Kunden ein Kauf auf Rechnung ermöglicht werden soll oder nicht.

Für diese Verarbeitungen muss im Einzelfall natürlich jeweils eine ausreichende Rechtsgrundlage gegeben sein.

Fazit

Die DSGVO fordert für personenbezogene Daten eine Festlegung von Speicherfristen. Die Speicherfristen sind von den jeweiligen Verarbeitungszwecken abhängig. Die Verarbeitungszwecke legt der Verantwortliche innerhalb der gesetzlichen Rahmenbedingungen fest. Es empfiehlt sich, rechtzeitig vor Inkrafttreten der DSGVO (25. Mai 2018) ein entsprechendes Löschkonzept zu erstellen. Gerne unterstützen wir Sie dabei.

Unsere Leistungen:

    • Prüfung und Beratung zur Speicherdauer in Ihrem Unternehmen/ Löschkonzept (120,- Euro zzgl. Mwst.) oder
    • Prüfung und Beratung zur Speicherdauer in Ihrem Unternehmen/ Löschkonzept und Erstellung der Datenschutzerklärung für Ihre Website (insgesamt 250,- Euro zzgl. Mwst.)

Jetzt unverbindliches Angebot anfordern!

Bezeichnen Sie kurz Ihren Geschäftsgegenstand. Sie erhalten umgehend ein Angebot.

Ihre E-Mail-Adresse:

Ihre Telefonnummer (optional):

Geschäftsgegenstand Ihres Unternehmens:

Autor: Rechtsanwalt Marc Dimolaidis

WEITERE ARTIKEL ZUM DATENSCHUTZRECHT: