Wie lange darf ein Unternehmen personenbezogene Daten speichern?
- Speicherung personenbezogener Daten nur solange wie für den Zweck nötig.
- Bewerberdaten: Speicherung bis 6 Monate nach Ablehnung.
- Einwilligung nötig für längere Speicherung im Talentpool.
- Löschpflichten gemäß Art. 17 DSGVO bei Zweckentfall oder Widerruf.
- Löschkonzept zur Einhaltung aller Fristen und Minimierung von Haftungsrisiken.
- Item A
- Item B
- Item C
Eine Frage, die im Zusammenhang mit Datenspeicherung häufig auftritt, ist der Widerspruch zwischen gesetzlich zulässiger Speicherdauer und der Forderung von Betroffenen nach der Löschung der Daten. Ein solcher Anspruch kann unter bestimmten Voraussetzungen tatsächlich bereits vor Ablauf der zulässigen Speicherdauer entstehen. Grundsätzlich aber sind Unternehmen befugt, Daten so lange zu speichern, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind.
Danach müssen die Daten gelöscht werden. Bezugspunkt für die Beurteilung der Erforderlichkeit ist im konkreten Fall der jeweils festgelegte Verwendungszweck. Die Speicherung der Daten muss also notwendig sein, um die jeweilige Aufgabe vollständig, rechtmäßig oder in angemessener Zeit erfüllen zu können.
Was fällt alles unter Datenspeicherung?
Speicherung bedeutet in diesem Zusammenhang das Erfassen, Aufnehmen und Aufbewahren von personenbezogenen Daten auf einem Datenträger zum Zweck der weiteren Verarbeitung. Kennzeichnend ist also vor allem die spätere Verfügbarkeit der Daten.
Zudem muss die speichernde Stelle für die Aufgabe tatsächlich zuständig sein. Für die Zuständigkeit kommt es dabei nicht auf die unternehmensinterne Geschäftsverteilung an, sondern darauf, ob ein Gesetz die betreffende Stelle zur Speicherung ermächtigt.
Datenschutzrechtlich auf der sicheren Seite
Innerbetrieblicher Datenschutz ist oftmals ein heikles Thema. Besonders die vielen unterschiedlichen Aufgaben und Arbeitsschritte sorgen häufig für Stolpersteine im Datenschutzmanagement. Wir unterstützen Sie gerne, um Ihr Datenschutzmanagement langfristig zu optimieren.
Datenspeicherung im Unternehmen am Beispiel von Bewerberdaten
Am Beispiel des Themas Datenschutz bei Bewerbungen in einem Unternehmen lassen sich diese gesetzlichen Anforderungen und scheinbaren Widersprüche sehr gut veranschaulichen: Die DSGVO und das Bundesdatenschutzgesetz ermächtigen Unternehmen, personenbezogene Daten eines oder einer Beschäftigten zu erheben, zu verarbeiten und zu nutzen. Die Datenerhebung von Bewerberdaten ist bereits zulässig, wenn dadurch die Entscheidung über ein Beschäftigungsverhältnis ermöglicht wird. Somit ist die Datenspeicherung zum Zweck der Bearbeitung der Bewerbung rechtmäßig und erforderlich.
Wird ein:e Bewerber:in dagegen im Laufe des Verfahrens abgelehnt, so entfällt die Erforderlichkeit. Allerdings gewährt die Rechtsprechung dem Unternehmen einen Zeitraum von bis zu sechs Monaten nach Ablehnung des / der Bewerbers:in, um sicherzugehen, dass keine Rechtsstreitigkeiten entstehen. Die Daten dürfen also bis zu 6 Monate nach Versand der Absage aufbewahrt werden. Immer öfter verlangen abgelehnte Bewerber:innen unmittelbar nach der Absage die Löschung ihrer Daten. Allerdings müssen Unternehmen dieser Forderung nicht nachkommen, denn sie haben ein berechtigtes Interesse, die Daten aufzubewahren, um sich gegen etwaige Rechtsansprüche verteidigen zu können.
Sonderregelung Talentpool
Viele Unternehmen wollen Daten von Bewerber:innen gerne länger aufbewahren, weil vielleicht in absehbarer Zukunft eine weitere Position zu besetzen ist. Sie wollen die Bewerber:innen in einen sog. Talentpool aufnehmen, dort beträgt die Speicherdauer oftmals ein Jahr und länger. Für eine solche längerfristige Speicherung muss das Unternehmen eine Einwilligung – also die explizite, zweckgebundene und informierte Zustimmung – der Bewerber:in einholen.
In dieser Einwilligung ist genau fest zu legen, wie lange die Bewerbungsunterlagen im Talentpool aufbewahrt werden dürfen. Eine solche gängige Frist ist ein Jahr; das Unternehmen darf die Bewerbung dann also für ein Jahr aufbewahren. Wenn nun die betroffene Person schon nach neun Monaten die Löschung ihrer Daten verlangt, muss dies häufig zugleich als Widerruf der Einwilligung ausgelegt werden und das Unternehmen muss die Daten schon vor Ablauf des Jahres löschen.
Datenspeicherung laut DSGVO
Seit dem Inkrafttreten der DSGVO gelten verschärfte Löschpflichten. Um diese umzusetzen und auf Anfragen wie oben beschrieben vorbereitet zu sein und nicht in jedem Fall prüfen zu müssen, ob eine gesetzliche Aufbewahrungspflicht vorliegt, macht es Sinn, ein Löschkonzept für alle im Unternehmen vorhandenen Daten zu entwickeln. Ein solches Löschkonzept vereinfacht es, diverse Fristen einzuhalten und Haftungsrisiken für zu Unrecht zu lange aufbewahrten Daten zu reduzieren. Bei der Erstellung sollte immer der zentrale Grundsatz der Speicherbegrenzung und der Datenminimierung (gemäß Art. 5 DSGVO) berücksichtigt werden.
Danach ist die Datenspeicherung nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist. Entfällt der Zweck, muss der / die Verantwortliche den Datensatz entfernen. Der Zweckbindungsgrundsatz spielt also bei der Speicherung ebenfalls eine zentrale Rolle.
Löschpflichten
Löschpflichten sind allgemein in Art. 17 DSGVO geregelt. Beispielsweise müssen Daten gelöscht werden, wenn eine betroffene Person darauf besteht oder die davor gegebene Einwilligung zur Verarbeitung der Daten widerruft. Dies stellt Unternehmen oftmals vor große Herausforderungen und kann bei einer Nichtumsetzung zu Bußgeldern und Schadensersatzansprüchen führen. In vielen Gesetzen gibt es konkreten Vorgaben, wie lange Daten aufzubewahren sind, etwa im HGB (Handelsgesetzbuch) oder SGB (Sozialgesetzbuch). Diese sind als Aufbewahrungsfristen zu verstehen; nach Ablauf der Frist müssen die Daten gelöscht werden.
In der Praxis ist es daher notwendig, für alle Abteilungen Systeme, in denen ein Unternehmen personenbezogene Daten verarbeitet und speichert, ein entsprechendes Löschkonzept abteilungsübergreifend aufzubauen.
Bei der Planung des Datenmanagements und bei der Umsetzung der Löschfristen sollte frühzeitig ein Konzept erstellt werden, um von Anfang an in allen Systemen den Überblick zu behalten. Als Grundlage dienen hier die im Unternehmen vorhandene Daten, Prozesse und Systeme, die im Laufe der Datenverarbeitung eingesetzt werden. Ein solches Konzept sollte zudem klar die Verantwortlichkeiten für die Datenschlöschung behinhalten. Für jedes System (z.B. für das Bewerber:innen-Management-System) muss ein:e Zuständige:r benannt werden, der / die für die Datenlöschung verantwortlich ist.
Ergänzt werden sollte ein solches Konzept von konkreten Handlungsanweisungen, wie, wann und von wem die entsprechenden Daten zu löschen sind. Die Löschfristen sollten zudem dokumentiert werden. Dies gilt gleichermaßen für die angefragten Löschungen als auch für die routinemäßig durchgeführten Datenschlöschungen.
Praxisbeispiele zum Umgang mit der Datenspeicherung
Nicht nur Bewerberinnen- und Bewerberdaten stehen im Fokus, wenn es um die Datenspeicherung geht, sondern alle Daten, welche sich auf eine Person beziehen oder beziehen lassen, auch beispielsweise Kundinnen- und Kundendaten. Zu diesen zählen:
- E-Mail-Adresse
- Name
- Bestelldaten
- Adresse
- IP-Adresse
- Log-Daten im Onlineshop
- Etc.
Die Verarbeitung von Kund:innendaten ist zur Vertragserfüllung nötig, wie z.B. die Auslieferung der Ware. Auch hier gilt: entfällt der Zweck der Verarbeitung und Speicherung oder die gesetzliche Aufbewahrungspflicht, dürfen die Kund:innendaten nicht behalten werden.
Ein weiteres Beispiel sind Interessentinnen- und Interessentendaten, welche für werbliche Zwecke verwendet werden. Im Bereich B2C ist dies meist nur auf Grundlage einer Einwilligung der jeweiligen betroffenen Person erlaubt. Eine solche Einwilligung ist grundsätzlich unbegrenzt gültig, wenn sie nicht selbst einen Gültigkeitszeitraum vorgibt (wie etwa oben beim Talentpool notwendig). Interessent:innendaten sind z.B.
- E-Mail-Adresse für Newsletterversand
- Postanschrift bei Flyer- oder Prospektversand
- Besondere Interessen (z.B. nur Kleider Größe xx, nur Damen- oder nur Herrenmode, Holzmöbel, e-Autos, etc.)
- Name, Anrede bei persönlicher Ansprache in der Werbung.
Solche Daten dürfen nur für die in der Einwilligung klar angegeben werblichen Maßnahmen verwendet werden. Da die Einwilligung von sich aus nur erlischt, wenn sie länger als ein Jahr nicht genutzt wird – wenn also länger als ein Jahr keine werbliche Ansprach erfolgt – müssen die Daten grundsätzlich erst einmal nicht gelöscht werden.
Allerdings kann die betroffene Person die Einwilligung jederzeit widerrufen. Dann ist die werbliche Ansprache sofort einzustellen, da der Zweck für die Speicherung entfallen ist und die Daten müssen zudem gelöscht werden. Ebensoverhält es sich, wenn die betroffene Person direkt die Löschung Ihrer Daten verlangt. Auch dann muss dem Löschverlangen unmittelbar nachgekommen werden und auch die Grundlage für die werblichen Zwecke ist nicht mehr gegeben. Hier können Sie eine Vorlage für den Löschantrag an ein Unternehmen downloaden.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.