Wie lange darf ein Unternehmen personenbezogene Daten speichern?

Letztes Update:
14
.
02
.
2023
Lesezeit:
0
Min
Unternehmen sind befugt, Daten so lange zu speichern, wie es zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. Aber was sagt das Gesetz und gibt es Widersprüche bei der zulässigen Speicherdauer?
Wie lange darf ein Unternehmen personenbezogene Daten speichern?
Die wichtigsten Erkenntnisse
  • Speicherung personenbezogener Daten nur solange wie für den Zweck nötig.
  • Bewerberdaten: Speicherung bis 6 Monate nach Ablehnung.
  • Einwilligung nötig für längere Speicherung im Talentpool.
  • Löschpflichten gemäß Art. 17 DSGVO bei Zweckentfall oder Widerruf.
  • Löschkonzept zur Einhaltung aller Fristen und Minimierung von Haftungsrisiken.

Eine Frage, die im Zusammenhang mit Datenspeicherung häufig auftritt, ist der Widerspruch zwischen gesetzlich zulässiger Speicherdauer und der Forderung von Betroffenen nach der Löschung der Daten. Ein solcher Anspruch kann unter bestimmten Voraussetzungen tatsächlich bereits vor Ablauf der zulässigen Speicherdauer entstehen. Grundsätzlich aber sind Unternehmen befugt, Daten so lange zu speichern, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind.

Danach müssen die Daten gelöscht werden. Bezugspunkt für die Beurteilung der Erforderlichkeit ist im konkreten Fall der jeweils festgelegte Verwendungszweck. Die Speicherung der Daten muss also notwendig sein, um die jeweilige Aufgabe vollständig, rechtmäßig oder in angemessener Zeit erfüllen zu können.

Was fällt alles unter Datenspeicherung?

Speicherung bedeutet in diesem Zusammenhang das Erfassen, Aufnehmen und Aufbewahren von personenbezogenen Daten auf einem Datenträger zum Zweck der weiteren Verarbeitung. Kennzeichnend ist also vor allem die spätere Verfügbarkeit der Daten.

Zudem muss die speichernde Stelle für die Aufgabe tatsächlich zuständig sein. Für die Zuständigkeit kommt es dabei nicht auf die unternehmensinterne Geschäftsverteilung an, sondern darauf, ob ein Gesetz die betreffende Stelle zur Speicherung ermächtigt.

Datenschutzrechtlich auf der sicheren Seite

Innerbetrieblicher Datenschutz ist oftmals ein heikles Thema. Besonders die vielen unterschiedlichen Aufgaben und Arbeitsschritte sorgen häufig für Stolpersteine im Datenschutzmanagement. Wir unterstützen Sie gerne, um Ihr Datenschutzmanagement langfristig zu optimieren.

Datenspeicherung im Unternehmen am Beispiel von Bewerberdaten 

Am Beispiel des Themas Datenschutz bei Bewerbungen in einem Unternehmen lassen sich diese gesetzlichen Anforderungen und scheinbaren Widersprüche sehr gut veranschaulichen: Die DSGVO und das Bundesdatenschutzgesetz ermächtigen Unternehmen, personenbezogene Daten eines oder einer Beschäftigten zu erheben, zu verarbeiten und zu nutzen. Die Datenerhebung von Bewerberdaten ist bereits zulässig, wenn dadurch die Entscheidung über ein Beschäftigungsverhältnis ermöglicht wird. Somit ist die Datenspeicherung zum Zweck der Bearbeitung der Bewerbung rechtmäßig und erforderlich.

Wird ein:e Bewerber:in dagegen im Laufe des Verfahrens abgelehnt, so entfällt die Erforderlichkeit. Allerdings gewährt die Rechtsprechung dem Unternehmen einen Zeitraum von bis zu sechs Monaten nach Ablehnung des / der Bewerbers:in, um sicherzugehen, dass keine Rechtsstreitigkeiten entstehen. Die Daten dürfen also bis zu 6 Monate nach Versand der Absage aufbewahrt werden. Immer öfter verlangen abgelehnte Bewerber:innen unmittelbar nach der Absage die Löschung ihrer Daten. Allerdings müssen Unternehmen dieser Forderung nicht nachkommen, denn sie haben ein berechtigtes Interesse, die Daten aufzubewahren, um sich gegen etwaige Rechtsansprüche verteidigen zu können.

Sonderregelung Talentpool

Viele Unternehmen wollen Daten von Bewerber:innen gerne länger aufbewahren, weil vielleicht in absehbarer Zukunft eine weitere Position zu besetzen ist. Sie wollen die Bewerber:innen in einen sog. Talentpool aufnehmen, dort beträgt die Speicherdauer oftmals ein Jahr und länger. Für eine solche längerfristige Speicherung muss das Unternehmen eine Einwilligung – also die explizite, zweckgebundene und informierte Zustimmung – der Bewerber:in einholen.

In dieser Einwilligung ist genau fest zu legen, wie lange die Bewerbungsunterlagen im Talentpool aufbewahrt werden dürfen. Eine solche gängige Frist ist ein Jahr; das Unternehmen darf die Bewerbung dann also für ein Jahr aufbewahren. Wenn nun die betroffene Person schon nach neun Monaten die Löschung ihrer Daten verlangt, muss dies häufig zugleich als Widerruf der Einwilligung ausgelegt werden und das Unternehmen muss die Daten schon vor Ablauf des Jahres löschen.  

Datenspeicherung laut DSGVO

Seit dem Inkrafttreten der DSGVO gelten verschärfte Löschpflichten. Um diese umzusetzen und auf Anfragen wie oben beschrieben vorbereitet zu sein und nicht in jedem Fall prüfen zu müssen, ob eine gesetzliche Aufbewahrungspflicht vorliegt, macht es Sinn, ein Löschkonzept für alle im Unternehmen vorhandenen Daten zu entwickeln. Ein solches Löschkonzept vereinfacht es, diverse Fristen einzuhalten und Haftungsrisiken für zu Unrecht zu lange aufbewahrten Daten zu reduzieren. Bei der Erstellung sollte immer der zentrale Grundsatz der  Speicherbegrenzung und der Datenminimierung (gemäß Art. 5 DSGVO) berücksichtigt werden.

Danach ist die Datenspeicherung nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist. Entfällt der Zweck, muss der / die Verantwortliche den Datensatz entfernen. Der Zweckbindungsgrundsatz spielt also bei der Speicherung ebenfalls eine zentrale Rolle.

Löschpflichten

Löschpflichten sind allgemein in Art. 17 DSGVO geregelt. Beispielsweise müssen Daten gelöscht werden, wenn eine betroffene Person darauf besteht oder die davor gegebene Einwilligung zur Verarbeitung der Daten widerruft. Dies stellt Unternehmen oftmals vor große Herausforderungen und kann bei einer Nichtumsetzung zu Bußgeldern und Schadensersatzansprüchen führen. In vielen Gesetzen gibt es konkreten Vorgaben, wie lange Daten aufzubewahren sind, etwa im HGB (Handelsgesetzbuch) oder SGB (Sozialgesetzbuch). Diese sind als Aufbewahrungsfristen zu verstehen; nach Ablauf der Frist müssen die Daten gelöscht werden.

In der Praxis ist es daher notwendig, für alle Abteilungen Systeme, in denen ein Unternehmen personenbezogene Daten verarbeitet und speichert, ein entsprechendes Löschkonzept abteilungsübergreifend aufzubauen.

Bei der Planung des Datenmanagements und bei der Umsetzung der Löschfristen sollte frühzeitig ein Konzept erstellt werden, um von Anfang an in allen Systemen den Überblick zu behalten. Als Grundlage dienen hier die im Unternehmen vorhandene Daten, Prozesse und Systeme, die im Laufe der Datenverarbeitung eingesetzt werden.  Ein solches Konzept sollte zudem klar die Verantwortlichkeiten für die Datenschlöschung behinhalten. Für jedes System (z.B. für das Bewerber:innen-Management-System) muss ein:e Zuständige:r benannt werden, der / die für die Datenlöschung verantwortlich ist.

Ergänzt werden sollte ein solches Konzept von konkreten Handlungsanweisungen, wie, wann und von wem die entsprechenden Daten zu löschen sind. Die Löschfristen sollten zudem dokumentiert werden. Dies gilt gleichermaßen für die angefragten Löschungen als auch für die routinemäßig durchgeführten Datenschlöschungen.

Praxisbeispiele zum Umgang mit der Datenspeicherung

Nicht nur Bewerberinnen- und Bewerberdaten stehen im Fokus, wenn es um die Datenspeicherung geht, sondern alle Daten, welche sich auf eine Person beziehen oder beziehen lassen, auch beispielsweise Kundinnen- und Kundendaten. Zu diesen zählen:

  • E-Mail-Adresse
  • Name
  • Bestelldaten
  • Adresse
  • IP-Adresse
  • Log-Daten im Onlineshop
  • Etc.

Die Verarbeitung von Kund:innendaten ist zur Vertragserfüllung nötig, wie z.B. die Auslieferung der Ware. Auch hier gilt: entfällt der Zweck der Verarbeitung und Speicherung oder die gesetzliche Aufbewahrungspflicht, dürfen die Kund:innendaten nicht behalten werden.

Ein weiteres Beispiel sind Interessentinnen- und Interessentendaten, welche für werbliche Zwecke verwendet werden. Im Bereich B2C ist dies meist nur auf Grundlage einer Einwilligung der jeweiligen betroffenen Person erlaubt. Eine solche Einwilligung ist grundsätzlich unbegrenzt gültig, wenn sie nicht selbst einen Gültigkeitszeitraum vorgibt (wie etwa oben beim Talentpool notwendig). Interessent:innendaten sind z.B.

  • E-Mail-Adresse für Newsletterversand
  • Postanschrift bei Flyer- oder Prospektversand
  • Besondere Interessen (z.B. nur Kleider Größe xx, nur Damen- oder nur Herrenmode, Holzmöbel, e-Autos, etc.)
  • Name, Anrede bei persönlicher Ansprache in der Werbung.

Solche Daten dürfen nur für die in der Einwilligung klar angegeben werblichen Maßnahmen verwendet werden. Da die Einwilligung von sich aus nur erlischt, wenn sie länger als ein Jahr nicht genutzt wird – wenn also länger als ein Jahr keine werbliche Ansprach erfolgt – müssen die Daten grundsätzlich erst einmal nicht gelöscht werden.

Allerdings kann die betroffene Person die Einwilligung jederzeit widerrufen. Dann ist die werbliche Ansprache sofort einzustellen, da der Zweck für die Speicherung entfallen ist und die Daten müssen zudem gelöscht werden. Ebensoverhält es sich, wenn die betroffene Person direkt die Löschung Ihrer Daten verlangt. Auch dann muss dem Löschverlangen unmittelbar nachgekommen werden und auch die Grundlage für die werblichen Zwecke ist nicht mehr gegeben. Hier können Sie eine Vorlage für den Löschantrag an ein Unternehmen downloaden.
 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!