Die Speicherbegrenzung ist einer der Grundsätze der Datenschutz-Grundverordnung (Art. 5 Abs. 1 e) DSGVO). Speicherbegrenzung bedeutet, dass personenbezogene Daten derart zu speichern sind, dass eine Identifizierung von Betroffenen nur so lange möglich ist, wie für die Zweckerreichung erforderlich. Bei der konkreten Umsetzung im Unternehmen kommen dafür vor allem eine Löschung oder Anonymisierung infrage.
Gesetzliche Pflichten der Speicherbegrenzung
Der Grundsatz der Speicherbegrenzung sieht vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie dies zur Erreichung des Zwecks notwendig ist. Dies konkretisiert zum einen den Grundsatz der Datenminimierung, dass immer so wenig personenbezogene Daten wie möglich verarbeitet werden sollen, zum anderen den Grundsatz der Zweckbindung, da der Maßstab der Speicherbegrenzung stets der festgelegte Zweck ist.
Die DSGVO verankert die Pflicht der Speicherbegrenzung an mehreren Stellen: Im Rahmen der Informationspflichten nach Art. 13 Abs. 2 a) DSGVO und Art. 14 Abs. 2 a) DSGVO oder des Auskunftsanspruchs Betroffener nach Art. 15 Abs. 1 d) DSGVO muss der Verantwortliche gegenüber dem Betroffenen Auskunft über die Dauer der Datenspeicherung oder zumindest die „Kriterien für die Festlegung dieser Dauer“ erteilen.
Weiterhin besteht das Recht des Betroffenen auf Löschung sowie eine allgemeine Löschpflicht unter den Voraussetzungen des Art. 17 DSGVO.
Im Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen sind gem. Art. 30 Abs.1 f) DSGVO soweit möglich vorgesehene Löschfristen aufzuführen.
Speicherfristen und Löschfristen
Sowohl im Rahmen der Informationspflichten als auch der Betroffenenrechte auf Auskunft und Löschung muss sich der Verantwortliche mit einer Speicherfrist oder zumindest mit deren Kriterien auseinandersetzen und diese festlegen. Als Alternative zu einer konkreten Löschfrist sieht Erwägungsgrund 39 DSGVO vor, dass der Verantwortliche regelmäßige Überprüfungen vornimmt. Eine kalendermäßige Festlegung ist somit nicht zwingend erforderlich. Es ist jedoch wichtig, dass die Umstände und Kriterien für die Speicherbegrenzung nach objektiven Maßstäben feststellbar sind. Hierdurch kann im Rahmen von Löschroutinen einzeln festgestellt werden ob eine Speicherung der Daten weiterhin zulässig oder eine Löschung erforderlich ist.
Eine bestimmte Löschfrist ist in den meisten Fällen feststellbar. Hierbei kann man sich insbesondere an gesetzlichen Aufbewahrungs-, Verjährungs- oder Klagefristen orientieren. Schwierigkeiten entstehen nur dann wenn es solche Fristen nicht gibt und man sich lediglich punktuell daran orientieren kann ob der Zweck bereits erreicht wurde (siehe unser Ratgeber für ein Löschkonzept).
Praktische Umsetzung der Speicherbegrenzung
Mit der Speicherbegrenzung ist nicht zwingend die Löschung personenbezogener Daten gemeint. Die Speicherbegrenzung sieht vor, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Es kommt somit auf die Möglichkeit der Identifizierung von Personen an.
Die Aufhebung der Identifizierung kann in erster Linie natürlich dadurch erfolgen, dass Daten gelöscht werden. Es ist für die Speicherbegrenzung jedoch auch möglich, dass personenbezogene Daten anonymisiert werden. Die Anonymisierung ermöglicht im Gegensatz zur Pseudonymisierung keine nachträgliche Identifizierung einzelner Personen, da die Daten nicht mehr durch Hinzuziehung weiterer Informationen zuordenbar sind.
Vorsicht ist hinsichtlich des Löschrechts nach Art. 17 DSGVO geboten: Hier wird ausdrücklich die Löschung von Daten gefordert. In diesem Fall ist eine Anonymisierung nicht ausreichend. Anonymisieren ist eine Inhaltsänderung lediglich durch Aufhebung des Personenbezugs. Löschung ist die gesamte Entfernung der personenbezogenen Daten.
Der Unterschied macht sich insbesondere im Rahmen der Frage der Rechtmäßigkeit bemerkbar. Hinsichtlich der Löschung besteht spätestens nach Fortfall des Zwecks nach Art. 17 Abs. 1 DSGVO eine Löschpflicht. Es bedarf keiner Rechtsgrundlage für die Löschung.
Bei der Anonymisierung handelt es sich hingegen um eine weitere Datenverarbeitung im Rahmen einer Zweckänderung, welche einer Rechtsgrundlage bedarf. Für eine Anonymisierung kann ein überwiegendes berechtigtes Interesse gem. Art. 6 Abs. 1 f) DSGVO angeführt werden. Bei besonderen personenbezogenen Daten gem. Art. 9 DSGVO gibt es jedoch kein Äquivalent zu Art. 6 Abs. 1 f) DSGVO. Eine Anonymisierung besonderer personenbezogener Daten kann in den meisten Fällen nur durch Einwilligung gem. Art. 9 Abs. 2 a) DSGVO gerechtfertigt werden. Im Rahmen einer Zweckänderung ist auch an eine weitere Informationspflicht nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 3 DSGVO zu denken.
Ausnahmen von der Speicherbegrenzung
Von der Pflicht zur Speicherbegrenzung sind nur solche Datenverarbeitungen ausgeschlossen, welche ausschließlich im öffentlichen Interesse, für Archivzwecke oder für wissenschaftliche und historische Forschungszwecke gem. Art. 89 Abs. 1 DSGVO erfolgen.
In diesen Fällen hat der Verantwortliche dafür zu sorgen, dass entsprechende technische und organisatorische Maßnahmen vorgesehen sind, welche die steigenden Risiken, die mit der längeren Datenspeicherung und -ansammlung einhergehen, im Zaum halten können.
Verstöße gegen Grundsätze sind keine Kavaliersdelikte
Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Speicherbegrenzung, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!