Speicherbegrenzung bei der Datenverarbeitung

Geschrieben am: | Geschätzte Lesezeit: 4 Minuten

Die Speicherbegrenzung ist einer der Grundsätze der Datenschutz-Grundverordnung (Art. 5 Abs. 1 e) DSGVO). Speicherbegrenzung bedeutet, dass personenbezogene Daten derart zu speichern sind, dass eine Identifizierung von Betroffenen nur so lange möglich ist, wie für die Zweckerreichung erforderlich. Bei der konkreten Umsetzung im Unternehmen kommen dafür vor allem eine Löschung oder Anonymisierung infrage.

Gesetzliche Pflichten der Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung sieht vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie dies zur Erreichung des Zwecks notwendig ist. Dies konkretisiert zum einen den Grundsatz der Datenminimierung, dass immer so wenig personenbezogene Daten wie möglich verarbeitet werden sollen, zum anderen den Grundsatz der Zweckbindung, da der Maßstab der Speicherbegrenzung stets der festgelegte Zweck ist.

Die DSGVO verankert die Pflicht der Speicherbegrenzung an mehreren Stellen: Im Rahmen der Informationspflichten nach Art. 13 Abs. 2 a) DSGVO und Art. 14 Abs. 2 a) DSGVO oder des Auskunftsanspruchs Betroffener nach Art. 15 Abs. 1 d) DSGVO muss der Verantwortliche gegenüber dem Betroffenen Auskunft über die Dauer der Datenspeicherung oder zumindest die „Kriterien für die Festlegung dieser Dauer“ erteilen.

Weiterhin besteht das Recht des Betroffenen auf Löschung sowie eine allgemeine Löschpflicht unter den Voraussetzungen des Art. 17 DSGVO.

Im Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen sind gem. Art. 30 Abs.1 f) DSGVO soweit möglich vorgesehene Löschfristen aufzuführen.

Speicherfristen und Löschfristen

Sowohl im Rahmen der Informationspflichten als auch der Betroffenenrechte auf Auskunft und Löschung muss sich der Verantwortliche mit einer Speicherfrist oder zumindest mit deren Kriterien auseinandersetzen und diese festlegen. Als Alternative zu einer konkreten Löschfrist sieht Erwägungsgrund 39 DSGVO vor, dass der Verantwortliche regelmäßige Überprüfungen vornimmt. Eine kalendermäßige Festlegung ist somit nicht zwingend erforderlich. Es ist jedoch wichtig, dass die Umstände und Kriterien für die Speicherbegrenzung nach objektiven Maßstäben feststellbar sind. Hierdurch kann im Rahmen von Löschroutinen einzeln festgestellt werden ob eine Speicherung der Daten weiterhin zulässig oder eine Löschung erforderlich ist.

Eine bestimmte Löschfrist ist in den meisten Fällen feststellbar. Hierbei kann man sich insbesondere an gesetzlichen Aufbewahrungs-, Verjährungs- oder Klagefristen orientieren. Schwierigkeiten entstehen nur dann wenn es solche Fristen nicht gibt und man sich lediglich punktuell daran orientieren kann ob der Zweck bereits erreicht wurde (siehe unser Ratgeber für ein Löschkonzept).

Praktische Umsetzung der Speicherbegrenzung

Mit der Speicherbegrenzung ist nicht zwingend die Löschung personenbezogener Daten gemeint. Die Speicherbegrenzung sieht vor, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Es kommt somit auf die Möglichkeit der Identifizierung von Personen an.

Die Aufhebung der Identifizierung kann in erster Linie natürlich dadurch erfolgen, dass Daten gelöscht werden. Es ist für die Speicherbegrenzung jedoch auch möglich, dass personenbezogene Daten anonymisiert werden. Die Anonymisierung ermöglicht im Gegensatz zur Pseudonymisierung keine nachträgliche Identifizierung einzelner Personen, da die Daten nicht mehr durch Hinzuziehung weiterer Informationen zuordenbar sind.

Vorsicht ist hinsichtlich des Löschrechts nach Art. 17 DSGVO geboten: Hier wird ausdrücklich die Löschung von Daten gefordert. In diesem Fall ist eine Anonymisierung nicht ausreichend. Anonymisieren ist eine Inhaltsänderung lediglich durch Aufhebung des Personenbezugs. Löschung ist die gesamte Entfernung der personenbezogenen Daten.

Der Unterschied macht sich insbesondere im Rahmen der Frage der Rechtmäßigkeit bemerkbar. Hinsichtlich der Löschung besteht spätestens nach Fortfall des Zwecks nach Art. 17 Abs. 1 DSGVO eine Löschpflicht. Es bedarf keiner Rechtsgrundlage für die Löschung.

Bei der Anonymisierung handelt es sich hingegen um eine weitere Datenverarbeitung im Rahmen einer Zweckänderung, welche einer Rechtsgrundlage bedarf. Für eine Anonymisierung kann ein überwiegendes berechtigtes Interesse gem. Art. 6 Abs. 1 f) DSGVO angeführt werden. Bei besonderen personenbezogenen Daten gem. Art. 9 DSGVO gibt es jedoch kein Äquivalent zu Art. 6 Abs. 1 f) DSGVO. Eine Anonymisierung besonderer personenbezogener Daten kann in den meisten Fällen nur durch Einwilligung gem. Art. 9 Abs. 2 a) DSGVO gerechtfertigt werden. Im Rahmen einer Zweckänderung ist auch an eine weitere Informationspflicht nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 3 DSGVO zu denken.

Ausnahmen von der Speicherbegrenzung

Von der Pflicht zur Speicherbegrenzung sind nur solche Datenverarbeitungen ausgeschlossen, welche ausschließlich im öffentlichen Interesse, für Archivzwecke oder für wissenschaftliche und historische Forschungszwecke gem. Art. 89 Abs. 1 DSGVO erfolgen.

In diesen Fällen hat der Verantwortliche dafür zu sorgen, dass entsprechende technische und organisatorische Maßnahmen vorgesehen sind, welche die steigenden Risiken, die mit der längeren Datenspeicherung und -ansammlung einhergehen, im Zaum halten können.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Speicherbegrenzung, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

4 Kommentare

  1. Guido Profilbild
    Guido

    Sehr geehrte Frau Dex,

    vielen Dank für Ihren Beitrag. Ein Frage in diesem Zusammenhang:
    Die “objektive Löschpflicht” besteht, soweit ich das verstanden habe, unabhängig davon, ob ein Betroffener die Löschung per Löschaufforderung geltend gemacht hat, zB. bei Fortfall des Zwecks nach Art. 17 Abs. 1 DSGVO.
    Wenn im Zuge einer Auskunftsanfrage ein Unternehmen eine ungebührlich lange Speicherdauer mitteilt, sich aber weigert, die Rechtsgrundlage dafür mitzuteilen, obwohl begründeter Verdacht besteht, dass die Prinzipien von Zweckmäßigkeit, Speicherbegrenzung und Datenminimierung verletzt werden, besteht dann ein Recht des Betroffenen, sich mit einer Beschwerde an die Aufsichtsbehörde zu wenden? (ohne vorher eigens die Löschung der Daten verlangt zu haben, da für Betroffene ohne Auskunft der Rechtsgrundlage letztlich nicht ersichtlich ist, ab wann genau die objektive Löschpflicht gegeben ist.)

    Gibt es außer einer Beschwerde wegen Verletzung eines “subjektiven” Rechts (weil ein Unternehmen der Löschaufforderung nicht nachkommt), die Möglichkeit eine Verletzung nach “objektiver Löschpflicht” anzuzeigen?

    Denn immerhin würde es bedeuten, dass Unternehmen so lange Missbrauch treiben können, bis Betroffene darauf aufmerksam werden und die Löschung per Löschauftrag einfordern. Das wäre mE. aber eine Umgehung der “objektiven Löschpflicht”, die unabhängig von einer Löschaufforderung eines Betroffenen nach DSGVO gefordert sein dürfte.

    Für eine Antwort wäre ich Ihnen verbunden.

    Mit freundlichen Grüßen, Guido

    Antworten
    1. Annika Kekies Profilbild
      Annika Kekies

      Ja, das haben Sie richtig verstanden. Neben dem Recht des Betroffenen auf Löschung, besteht eine Pflicht zur Löschung zum Beispiel nach Art. 17 Abs. 1 lit. a) DSGVO, wenn die personenbezogenen Daten für den Zweck der Verarbeitung nicht mehr notwendig sind.

      In Art. 77 Abs. 1 DSGVO ist das Beschwerderecht geregelt. Dieses dient zur Anzeige von Verstößen gegen die DSGVO. Ein Verstoß ist auch dann gegeben, wenn die Pflicht zur Löschung nicht eingehalten wird. Allerdings bedarf es für die Beschwerde bei der Aufsichtsbehörde einer gewissen Betroffenheit des Beschwerdeführers. Der Beschwerdeführer muss einerseits darlegen, dass personenbezogene Daten verarbeitet wurden und andererseits, dass er der Ansicht ist, dass ein Verstoß gegen die DSGVO vorliegt. Ähnlich der Klagebefugnis reicht es für die Beschwerde aber aus, wenn der behauptete Verstoß nicht völlig abwegig ist. Das bedeutet, dass eine Beschwerde auch erhoben werden kann, wenn der Beschwerdeführer nicht zuvor eine Löschung der personenbezogenen Daten beim Verantwortlichen gefordert hat. Bzgl. einer Beratung im Einzelfall sollten Sie sich an einen Rechtsanwalt wenden, der den genauen Sachverhalt in Ihrem speziellen Fall aufklärt und dementsprechend über Ihre Rechtsbehelfe berät.

      Im Übrigen wird die Pflicht zur Löschung unabhängig von eingehenden Beschwerden bei der Aufsichtsbehörde allgemein durch die Aufsichtsbehörden gem. Art. 57 Abs. 1 lit. a) DSGVO überwacht und durchgesetzt.

      Mit freundlichen Grüßen
      Annika Kekies

      Antworten
  2. Dimitri Profilbild
    Dimitri

    Meiner Meinung nach, widersprechen Sie sich in diesem Satz: “Vorsicht ist hinsichtlich des Löschrechts nach Art. 17 DSGVO geboten: Hier wird ausdrücklich die Löschung von Daten gefordert. In diesem Fall ist eine Anonymisierung nicht ausreichend.”

    Denn, wenn ich einen Datensatz anonymisiere, dann darf ich laut der Definition für Anonymisierung und der DSGVO keine Möglichkeit mehr haben, Rückschlüsse auf eine bestimmte Person herzustellen. Das heißt also, ich muss auch Logeinträge etc. entsprechend verändern bzw. löschen, denn sonst handelt es sich hier wiederum um eine Pseudonymisierung. Wenn ich wiederum keinen Bezug mehr zu personenbezogen Daten habe (in einem Datensatz), dann, wie Sie in Ihrem anderen Artikel bereits schreiben, unterliegt dieser Datensatz nicht mehr der DSGVO und somit muss er meiner Meinung nach nicht mehr nach Art. 17 DSGVO gelöscht werden. Denn es darf ja keine Rückschlüsse mehr existieren.

    Antworten
    1. Melodie Dex Profilbild
      Melodie Dex

      Ihre Argumentation ist vertretbar. Die österreichische Aufsichtsbehörde teilt ebenfalls Ihre Ansicht. Durch Anonymisierung wird insbesondere der Schutz von Personen, der durch eine Löschung erfolgen soll, ebenfalls erreicht. Die deutschen Aufsichtsbehörden haben sich dieser Aussage jedoch noch nicht angeschlossen.

      Bitte beachten Sie, dass es sich bei der Anonymisierung von Daten um eine Datenverarbeitung handelt die ebenfalls einer Rechtsgrundlage bedarf. Bei normalen personenbezogenen Daten ist dies meist mit einem überwiegenden berechtigten Interesse wohl gut zu begründen. Bei besonderen personenbezogenen Daten ist jedoch das Finden einer Rechtsgrundlage deutlich schwieriger.

      Soweit man Daten lediglich anonymisieren möchte muss nach weiterhin gewährleisten, dass es sich um eine echte Anonymisierung und nicht nur um eine Pseudonymisierung handelt. Eine echte Anonymisierung liegt vor, wenn nicht nur der Verantwortliche sondern auch kein Dritter ohne unverhältnismäßigen Aufwand der Personenbezug herstellen kann.

      Mit freundlichen Grüßen
      Melodie Dex

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.