Wie muss ein korrektes Löschkonzept für eine Promoter-Datenbank aussehen? Teil 1
Im Rahmen der Datenschutzgrundverordnung gibt es zahlreiche Aspekte zu beachten. Ein wichtiger Grundsatz ist, dass die Speicherung und Verarbeitung der Daten nur zweckgebunden erfolgen darf (DSGVO Artikel 5 Abs.1 e):
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“
Daher nimmt die Datenschutzerklärung eine sehr zentrale Rolle ein, da es ausgesprochen wichtig ist, hier klar zu erläutern dass z. B. die Profildaten dauerhaft vorgehalten und gespeichert werden (d. h. nicht nur bis zu einem bestimmten Datum) und z. B. die Daten und Bilder auch an Kunden und Interessenten im Zwecke der Auftragsanbahnung weitergeleitet werden dürfen (siehe hierzu auch: Artikel zur Datenschutzerklärung). Andernfalls gilt die gesetzliche Verpflichtung, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.
Daneben nehmen die Rechte der Betroffenen eine zentrale Rolle in der DSGVO ein. Hierzu zählt auch das Recht auf Löschung, das auch als „Recht auf Vergessenwerden“ bezeichnet wird. Es gibt also viele Faktoren zu berücksichtigen bezüglich der Verarbeitung, Speicherung und Löschung von personenbezogenen Daten.
Wann müssen personenbezogene Daten gelöscht werden?
Nach Artikel 17 Absatz 1 der Datenschutzgrundverordnung sind personenbezogene Daten unverzüglich zu löschen, wenn
- die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
- die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
- die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
- die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist oder,
- die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben wurden.
Liegt nur eine dieser Voraussetzungen vor, kann der Betroffenene verlangen, dass die persönlichen Daten unverzüglich, d. h. ohne „schuldhaftes Zögern“, gelöscht werden. Im Anschluss an das Löschen darf keine Möglichkeit mehr bestehen, die Daten ohne unverhältnismäßigen Aufwand noch einmal zu verwerten.
Ausnahmen von der Löschungspflicht
Es gibt allerdings auch Ausnahmen von der Löschungspflicht. Nach Art. 17 Abs. 3 DSGVO gilt diese nicht, soweit die Verarbeitung der personenbezogenen Daten erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information
- zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben
- aus Gründen des öffentlichen Interesses
- für im öffentlichen Interesse liegende Archivzwecke, Forschungszwecke oder statistische Zwecke
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Für Unternehmen der relevanteste Fall ist, wenn der eigentlichen Löschungspflicht eine rechtliche Verpflichtung, z. B. eine gesetzliche Aufbewahrungsfrist, entgegensteht. Aufbewahrungsfristen können sich z. B. aus § 257 HGB oder 147 AO ergeben. Unternehmen müssen also im Rahmen der „Löschung personenbezogener Daten“ definieren, welche Daten wie lange aufzubewahren sind und wie dieses eindeutig festgelegt werden kann. Hier empfiehlt sich für jedes Unternehmen, ein Löschkonzept aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 b) DSGVO nachzukommen.
Exkurs: Aufbewahrungspflichen
Aufbewahrungspflichten dienen dazu, bestimmte Geschäftsvorlagen zu abgeschlossenen Geschäftsvorgängen für handelsrechtliche oder steuerliche Zwecke geordnet aufzubewahren, damit bei Bedarf z. B. im Rahmen einer Betriebsprüfung durch das Finanzamt, darauf zurückgegriffen werden kann. Sie dienen in dem Fall also dazu, dass die Nachvollziehbarkeit geschäftlicher Aktivitäten gewährleistet ist.
Aus steuerrechtlichen Gründen sind alle Unterlagen aufzubewahren, die zum Verständnis und zur Überprüfung der gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind. Hierzu zählen z. B. folgende Unterlagen:
- Bücher (bei Kaufleuten Handelsbücher) und Aufzeichnungen
- Jahresabschlüsse bestehend aus Bilanz sowie Gewinn- und Verlustrechnung
- die zum Verständnis dieser Unterlagen erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen
- empfangene Handels- und Geschäftsbriefe
- Wiedergaben der abgesandten Handels- und Geschäftsbriefe
- Buchungsbelege
- Unterlagen nach Art. 15 Abs. 1 und Art. 163 des Zollkodex
- Abrechnungsunterlagen für Lohn- und Gehalt
- sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
Problematisch ist in der Praxis die richtige Einordnung der Unterlagen. Nicht jeder Brief ist ein Geschäftsbrief, nicht jeder Beleg ein Buchungsbeleg. Für einen Großteil der Dokumente gilt eine gesetzliche Aufbewahrungspflicht von 6 oder 10 Jahren. Es gilt also insbesondere für die verschiedenen Daten die korrekte Zuordnung zur Aufbewahrungspflicht herzustellen. Die Aufbewahrungsfrist beginnt grundsätzlich mit dem Ende des Kalenderjahres, in welchem Änderungen oder Neuanlagen der Unterlagen erfolgt sind. Bei Mietverträgen oder auch Sozialversicherungsverträgen beginnt die Aufbewahrungsfrist erst nach dem Ablauf des Vertrags. Das Ende der Aufbewahrungsfrist liegt am Ende des Jahres, in dem die Frist abläuft.
Im zweiten Teil dieses Artikels möchten wir konkret auf das Löschkonzept eingehen und Aufbewahrungs- und Löschpflichten in der Promotionbranche erläutern.