12. Oktober 2017

Mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) in Deutschland am 25. Mai 2018 wird das gesamte Datenschutzrecht neu geregelt. Im Artikel geht es um die Neuregelung der DSGVO zur Frage der Speicherdauer, also wie lange personenbezogene Daten gespeichert und genutzt werden dürfen bzw. wann sie wieder gelöscht werden müssen.

Festlegung von Verarbeitungszweck und Speicherdauer

Die DSGVO sieht vor, dass personenbezogene Daten grundsätzlich nur für einen bestimmten Verarbeitungszweck gespeichert werden dürfen, und nur solange, wie es für den jeweiligen Zweck erforderlich ist (Art. 5 Abs. 1 lit. e) DSGVO). Der Verarbeitungszweck ist vom Verantwortlichen bei Beginn der Verarbeitung festzulegen. Es können auch mehrere Verarbeitungszwecke nebeneinander bestimmt werden.

Weiter soll der Verantwortliche eine entsprechende Speicherfrist und Fristen für eine Löschung oder für eine regelmäßige Überprüfung festlegen. Werden mehrere Verarbeitungszwecke bestimmt, sind für die einzelnen Verarbeitungszwecke jeweils gesonderte Fristen zu bestimmen.

Nach Erfüllung des ursprünglichen Speicherungszwecks ist unter bestimmten Voraussetzungen eine Zweckänderung denkbar (Art. 6 Abs. 4 DSGVO). Für den neuen, geänderten Zweck ist dann wiederum eine Speicherdauer zu bestimmen.

Abgesehen davon bestehen noch einige, eng gefasste Ausnahmen, die eine Weiternutzung nach Erfüllung des Speicherungszwecks unter bestimmten Voraussetzungen ermöglichen, bspw. für statistische Zwecke (Art. 89 DSGVO).

Beispiel Online-Handel

Für den Online-Handel kommen beispielsweise folgende Verarbeitungszwecke in Betracht:

Verarbeitungszweck ist zunächst die Abwicklung des Kaufvertrags mit dem Kunden. Für bestimmte Daten sind handels- und steuerrechtliche Aufbewahrungsfristen zu beachten. Des Weiteren besteht ein Bedarf zur Aufbewahrung von Vertragsdaten im Hinblick auf etwaige Gewährleistungsansprüche, also für die Dauer der einschlägigen Gewährleistungsfristen.

Darüber hinaus kann es zu Zwecken der Kundenbindung zulässig sein, Daten zum Kaufverhalten oder persönlichen Präferenzen des Kunden zu speichern. Entsprechendes gilt für das Zahlungsverhalten, etwa um zu beurteilen, ob dem Kunden ein Kauf auf Rechnung ermöglicht werden soll oder nicht.

Für diese Verarbeitungen muss im Einzelfall natürlich jeweils eine ausreichende Rechtsgrundlage gegeben sein.

Fazit

Die DSGVO fordert für personenbezogene Daten eine Festlegung von Speicherfristen. Die Speicherfristen sind von den jeweiligen Verarbeitungszwecken abhängig. Die Verarbeitungszwecke legt der Verantwortliche innerhalb der gesetzlichen Rahmenbedingungen fest. Es empfiehlt sich, ein entsprechendes Löschkonzept zu erstellen.

Autor: Rechtsanwalt Marc Dimolaidis

WEITERE ARTIKEL ZUM DATENSCHUTZRECHT:

• EU-Datengrundschutzverordnung - wesentliche Neuerungen
• LG Düsseldorf: Einbindung des Facebook "Like" Buttons ist unzulaessig
• Datenschutzerklaerung: erhöhtes Risiko bei Fehlern