Zweckbindung und damit verbundene Löschpflichten

Datenschutz

von Andreas Hellmann

Gemäß Art. 17 Abs. 1 lit. a DSGVO sind Verantwortliche verpflichtet personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben, oder auf sonstige Weise erhoben oder verarbeitet wurden, nicht mehr notwendig sind. Dies wird meistens auch direkt in den einschlägigen Gesetzen, welche die Rechtsgrundlage der Verarbeitung darstellen geregelt.

Mit folgenden Praxisbeispielen möchten wir Ihnen den Umgang mit dieser Vorschrift veranschaulichen.

  1. Erweitertes Führungszeugnis:
    Wir erhalten häufig die Anfrage, wie lange ein Arbeitgeber erweiterte Führungszeugnisse aufbewahren/speichern darf. Die Antwort ist: Gar nicht!

    Entsprechend § 72a Abs. 5 SGB VIII (Rechtsgrundlage für die Verarbeitung) dürfen nur dann Informationen zur Einsichtnahme (Datum des Führungszeugnisses und Person wurde wegen einer der aufgeführten Straftaten rechtkräftig verurteilt = Ja) gespeichert werden, wenn die Person wegen einer der aufgeführten Straftaten rechtskräftig verurteilt wurde.

    Fazit: Das Führungszeugnis selbst und detaillierte Angaben zur Straftat dürfen nicht gespeichert werden!
    Hinweis: Der Absatz legt auch fest, dass die Dokumentation der Einsichtnahme vor dem Zugriff Unbefugter zu schützen ist (siehe auch Art. 10 DSGVO).
  2. Personalausweis:
    Hierbei geht es um die Feststellung der Identität des Ausweisinhabers. Dies kann z.B. in folgenden Fällen erforderlich sein.

    a. Anfrage eines Betroffenen bei einem Verantwortlichen entsprechend Kapitel III der DSGVO (siehe auch Erwägungsgrund 64 DSGVO).

    b. Bei der Verfolgung von Straftaten (siehe auch § 127 Abs. 1 StPO).
    Wobei für Verantwortliche Unternehmen meistens ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO die Rechtsgrundlage zur Verarbeitung ist, da ihnen ein Schaden entstanden ist.

    c. Banken und Kreditdienstleister im Rahmen des Geldwäschegesetz.
    Dies stellt eine Ausnahme dar, da die Einrichtung gesetzliche verpflichtet ist eine Kopie des Personalausweises zu erstellen (§ 8 Abs. 2 GwG). Normalerweise (z.B. bei a. und b.) ist dies nur mit der Einwilligung des Ausweisinhabers zulässig (§ 20 Abs. 2 PAuswG)

    Fazit:Wenn die Identität festgestellt wurde, müssen die aus dem Ausweis gewonnenen Daten oder vom Ausweisinhaber zur Verfügung gestellte Kopien gelöscht werden, außer ein anderes Gesetzt schreibt eine Aufbewahrung vor.
  1. Aufbewahrungsfristen:
    Die bekanntesten Aufbewahrungsfristen sind § 257 Handelsgesetzbuch (HGB) und § 147 Abgabenordnung (AO) – allgemein gesprochen: Unterlagen der (Finanz-)Buchhaltung müssen 10 Jahre aufbewahrt werden.

Die größte Herausforderung der Verantwortlichen ist die Digitalisierung, bei der immer mehr Daten elektronisch, ohne inhaltliche Filtermöglichkeit (nach Jahren) gespeichert werden. Aber auch diese Daten müssen nach Ablauf der Aufbewahrungspflicht gelöscht werden, wenn es keinen legitimen Grund gibt sie weiter zu speichern.

Zurück