Datenspeicherung in Unternehmen: DSGVO-Dilemma

Datenschutzkonforme Konzepte zum Umgang mit personenbezogenen Daten haben sich seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zu einem wesentlichen Bestandteil der Datenspeicherung in Unternehmen entwickelt. Doch wie sieht die rechtliche Lage wirklich aus? Wie lange dürfen Unternehmen die Daten ihrer Kunden speichern und welche genau?

Unternehmen im Zwiespalt

Grundsätzlich gibt es in der DSGVO rechtlich klar verankerte Richtlinien zur Datenspeicherung in Unternehmen: Personenbezogene Informationen dürfen so lange in den analogen oder digitalen Verzeichnissen des Betriebs verbleiben, wie es die Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich macht. Zu Beginn muss das Unternehmen eine Erlaubnis für die Datenspeicherung bei seinem Inhaber einholen und besagte Aufgabe klar definieren. Häufig treten allerdings Widersprüche zwischen der gesetzlichen Zulassung der Speicherdauer und der Forderung von Betroffenen nach Löschung ihrer Daten auf. Bezugspunkt für die Beurteilung der Erforderlichkeit einer Datenspeicherung bleibt immer der angegebene Verwendungszweck, dessen Gewichtung jedoch von Fall zu Fall variiert.

 

Datenspeicherung im Unternehmen definiert

Doch was genau fällt unter den Begriff Datenspeicherung? Im Kontext eines Unternehmens beschreibt er das Erfassen, Aufnehmen und Bewahren personenbezogener Daten auf einem physischen oder digitalen Datenträger zum Zweck der weiteren Verarbeitung. Im Fokus steht hier also vor allem der spätere Gebrauch und damit die Verfügbarkeit der Daten. Zudem muss das Unternehmen, welches die Datenspeicherung durchführt, auch tatsächlich für die angegebene Aufgabe bevollmächtigt sein. Bei dieser Zuständigkeit kommt es nicht auf die unternehmensinterne Geschäftsverteilung an, sondern darauf, ob ein Gesetz – beispielsweise die DSGVO – die betreffende Stelle zur Speicherung ermächtigt. Die relevanten Anforderungen sollten Unternehmen vor der Datenspeicherung gewissenhaft prüfen.

Löschanfrage: Was tun Unternehmen?

Seit Inkrafttreten der DSGVO gelten außerdem verschärfte Löschpflichten. Um diese umzusetzen und einer Löschanfrage nicht unvorbereitet gegenüberzutreten, hilft es, ein Löschkonzept für die gesamte im Unternehmen vorhandene Datenspeicherung zu entwickeln. Dies erleichtert es Unternehmen, diverse Fristen einzuhalten und Haftungsrisiken für zu Unrecht länger aufbewahrte Daten zu vermeiden. Laut den Regularien zur Datenspeicherung aus der DSGVO sollte eine Löschung unverzüglich nach der Anfrage oder nach Ablauf des Aufbewahrungszweckes geschehen – Artikel 12 Absatz 3 gibt einen Monat als möglichen zeitlichen Rahmen an.

 

Falsche Datenspeicherung in Unternehmen birgt Gefahren

Unternehmen ohne klares Löschkonzept oder fehlender Ordnung in der Datenspeicherung stehen häufig vor großen Problemen, sollte eine sofortige Löschung erforderlich werden. Nichtumsetzung kann zu hohen Bußgeldern und Schadensersatzansprüchen führen. Übersichtliche Datenspeicherung und abteilungsübergreifende Einsichts- und Zugriffsmöglichkeiten erweisen sich deshalb als unverzichtbar. Unterstützung erhalten Unternehmen beispielsweise durch CRM-Systeme von cobra. Diese arbeiten zu 100 Prozent DSGVO-konform, bringen Ordnung in Informationen sowie Kontakte und helfen so bei der sicheren Datenspeicherung.

 

Datenspeicherung und -löschung: Je konkreter, desto besser

Technische Hilfsmittel kombiniert mit einem schlüssigen Löschkonzept sollten Unternehmen zudem noch durch klare Handlungsanweisungen ergänzen. Wann und von wem die relevanten Daten gelöscht werden, legt bestenfalls ein zuvor bestimmter Datenschutzbeauftragter fest – oder erledigt die Aufgabe gleich selbst. Auch die anschließende Dokumentation stellt sich als wichtiger Bestandteil der Datenspeicherung heraus, um der ebenfalls in der DSGVO verankerten Nachweispflicht nachkommen zu können. Unternehmen müssen Betroffene außerdem genau wie bei der Datenspeicherung ihrer Informationen auch über deren Löschung informieren.

cobra Blog