Anzeige
Anzeige
Ratgeber
Artikel merken

So vermeiden Unternehmen Stolperfallen bei der Umsetzung der DSGVO

Laut DSGVO müssen Unternehmen personenbezogene Daten löschen, wenn die Geschäftsbeziehung endet. Gesetze wie etwa das Steuerrecht verpflichten zu langen Aufbewahrungsfristen. Ein Widerspruch?

Von Henrik Hasenkamp
4 Min. Lesezeit
Anzeige
Anzeige

(Foto: RikoBest / shutterstock)

Die europaweit gültige Datenschutz-Grundverordnung (DSGVO) regelt seit 2018, wie Unternehmen mit personenbezogenen Daten umgehen sollen. Und stellt sie damit vor eine große Herausforderung: Zum einen müssen sie die DSGVO organisatorisch und technisch umsetzen. Zum anderen aber entstehen immer wieder Widersprüche zwischen den Anforderungen der DSGVO und anderen gesetzlichen Aufbewahrungspflichten für Daten. Welche Vorschrift gilt dann für welche Art von Daten?

Personenbezogene Daten – weit mehr als persönliche Angaben

Schon die Frage danach, was personenbezogene Daten genau sind, ist nicht einfach zu beantworten. So ist die Auffassung weit verbreitet, dass es sich hierbei um persönliche Angaben, wie Kundendaten und Ähnliches handelt. Doch die Definition für personenbezogene Daten ist deutlich weiter gefasst. So sind damit alle Daten gemeint, mit denen sich eine Verknüpfung zu einer bestimmten Person herstellen lässt. In der Praxis können das sehr viele sein: Von Vertragsvereinbarungen über Daten aus dem Nutzertracking, wie Kaufhistorien oder Surfverhalten, bis hin zu E-Mails kann alles als personenbezogen eingeordnet werden.

Anzeige
Anzeige

Dabei ist es übrigens unerheblich, ob in einem Unternehmen die Verknüpfung der Daten auch tatsächlich hergestellt wird. Schon wenn es theoretisch möglich ist, genügt das aus juristischer Sicht völlig. Genau das macht den Umgang mit solchen Daten in der Praxis kompliziert. Selbst wenn sich die Verknüpfung nur über eine dritte Partei, etwa einen Geschäftspartner, ergibt, fallen die Daten unter die DSGVO. Selbst eine Pseudonymisierung genügt nicht. Werden beispielsweise Klarnamen durch fortlaufende Nummern ersetzt, kann der Bezug zur Person hinter der Nummer immer noch hergestellt werden. Das führt dazu, dass selbst IP-Adressen in den Logfiles von Webservern als personenbezogen gelten. So hilft denn auch Verschlüsselung nicht aus der Klemme: Aus rechtlicher Sicht wird auch hier nur ein Pseudonym vergeben. Wer den Schlüssel kennt, kann die Daten einsehen und Rückschlüsse ziehen.

DSGVO versus Aufbewahrungspflichten?

Die DSGVO will personenbezogene Daten weitgehend schützen. So müssen personenbezogene Daten dann vollständig gelöscht werden, wenn der Zweck der Speicherung entfällt. Das lässt einiges an Interpretationsspielraum offen. Wurde ein Vertrag zwischen zwei Geschäftspartnern vereinbart, ist eine solche Basis gegeben – die Speicherung und Verarbeitung von personenbezogenen Daten ist notwendig und zulässig. Was aber passiert, wenn die Geschäftsbeziehung endet? Der eigentliche Grund für die Datenspeicherung entfällt. Laut DSGVO müssten die Daten gelöscht werden.

Anzeige
Anzeige

Allerdings stehen dem Aufbewahrungspflichten anderer Gesetze entgegen. Gesetzliche Vorgaben wie beispielsweise Handels- und Steuerrecht, das Energiewirtschaftsgesetz, das Kreditwesengesetz und nicht zuletzt das Arbeitsrecht definieren verpflichtende Aufbewahrungszeiträume für geschäftliche Unterlagen. Prominentes Beispiel: Das Steuerrecht schreibt die Aufbewahrung geschäftsrelevanter Daten bis zehn Jahre nach dem letzten Buchungsvorgang vor. Dazu gehören Verträge, Rechnungen, Angebote, Auftragsbestätigungen, Zahlungsbelege und sogar interne sowie externe E-Mails, die in irgendeiner Art für die Geschäftsbeziehung relevant sind. Auch die Gewährleistung ist ein Fall, in dem auch nach Vertragsende Daten nicht gelöscht werden müssen.

Anzeige
Anzeige

Zwar ist die DSGVO bewusst eher abstrakt formuliert, um so konkrete technische Vorgaben zu vermeiden. Für den beschriebenen Widerspruch aber liefert sie eine Lösung: Wenn die betroffenen Daten notwendig sind, um rechtliche Verpflichtungen zu erfüllen, dürfen sie archiviert werden. Automatisch werden die entsprechenden Gesetze dann zur gültigen Rechtsgrundlage dafür. Daneben akzeptieren die Datenschutzbehörden kaum andere Gründe. Fehlende organisatorische Strukturen zum Beispiel oder ein unverhältnismäßig hoher Aufwand für das Löschen der Daten zählen nicht.

Wie Unternehmen sich absichern können

Im praktischen Alltag von Unternehmen führt die DSGVO zu konkreten Konsequenzen. Endet eine Geschäftsbeziehung oder – um mit den Worten der DSGVO zu sprechen – entfällt der Zweck für die Speicherung personenbezogener Daten, muss geprüft werden, ob andere gesetzliche Vorgaben gegen eine Löschung sprechen. Wenn ja, werden die Daten zunächst archiviert und müssen beispielsweise am Ende der steuerrechtlichen Aufbewahrungsfrist gelöscht werden. Fast immer sind die Daten dann aber längst in Archive gewandert.

Anzeige
Anzeige

Unternehmen benötigen deshalb zweierlei: Zunächst ist eine Art Datenverarbeitungsverzeichnis sinnvoll, das alle Vorgänge erfasst und in die verschiedenen Aufbewahrungspflichten zuordnet. Hier ist verzeichnet, welche Daten im Unternehmen gespeichert und verarbeitet werden und welche davon personenbezogen sind. Ein Löschkonzept sollte das Verzeichnis ergänzen. Es definiert, wie genau welche Daten gelöscht werden sollen. Es entsteht ein hoher, organisatorischer und technischer Aufwand, der sich bei Prüfungen durch die Datenschutzbehörde jedoch bezahlt macht. Zudem brauchen Unternehmen technische Lösungen, die ihnen helfen, die richtigen Daten zum richtigen Zeitpunkt aus allen Systemen, inklusive Archiven und Backups, zu filtern.

Der Gesetzgeber sollte nachbessern

Besonders kompliziert wird es, wenn Dienstleister in die Infrastruktur involviert sind. Erst kürzlich kippte der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield-Abkommen. Hier waren Datenschutz-Grundsätze definiert, die US-Unternehmen gegenüber EU-Bürgern einzuhalten haben. Die Vereinbarungen waren notwendig geworden, weil bereits das zuvor gültige Safe-Harbor-Abkommen vom EuGH für ungültig erklärt worden war. Beide Gesetze boten demnach keine ausreichenden Garantien, um sie in Einklang mit der DSGVO zu bringen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige