Zurück zur Übersicht
10.01.2025

Aufbewahrung Betroffenenenanfragen

DSGVO-Auskunftsersuchen und Aufbewahrungspflichten – Was Unternehmen beachten müssen

Die DSGVO regelt umfassend den Umgang mit personenbezogenen Daten. Ein zentraler Aspekt ist das Recht von Betroffenen auf Auskunft gemäß Art. 15 DSGVO. Doch was passiert mit den erteilten Auskünften, und wie lange müssen diese aufbewahrt werden? Dieser Blogbeitrag beleuchtet die wichtigsten Anforderungen und gibt praktische Handlungsempfehlungen.

Aufbewahrungspflichten für erteilte Auskünfte

Ein Auskunftsersuchen nach Art. 15 DSGVO verpflichtet Unternehmen, den Betroffenen umfassende Informationen bereitzustellen. Doch es stellt sich die Frage, wie lange diese Dokumentation aufbewahrt werden sollte:

  1. Nachweispflichten: Die Datenschutzbehörden empfehlen eine Aufbewahrungsdauer von drei Jahren ab Beginn des folgenden Kalenderjahres, um den Nachweis über die ordnungsgemäße Bearbeitung eines Auskunftsersuchens erbringen zu können.
  2. Rechtsgrundlage: Zusätzlich kann sich die Aufbewahrungsfrist aus der allgemeinen Verjährungsfrist gemäß § 195 BGB (drei Jahre) ergeben.
  3. Verstöße vermeiden: Längere Aufbewahrungszeiträume als drei Jahre sind nur dann gerechtfertigt, wenn ein klarer Zweck – z. B. die Verteidigung gegen Rechtsansprüche – besteht. Eine übermäßig lange Speicherung kann gegen Art. 5 DSGVO verstoßen.

Praktische To-Dos für Unternehmen

Damit Unternehmen die Anforderungen der DSGVO erfüllen, sollten folgende Maßnahmen umgesetzt werden:

  1. Aufbewahrungsfristen definieren:
    • Dokumentieren Sie die Aufbewahrungsdauer für erteilte Auskünfte in internen Richtlinien.
    • Orientieren Sie sich dabei an der empfohlenen Dreijahresfrist.
  2. Zugriffsrechte beschränken:
    • Speichern Sie Auskunftsersuchen und Antworten ausschließlich in einem geschützten Bereich, auf den nur berechtigte Personen Zugriff haben.
    • Vermeiden Sie eine Speicherung in allgemeinen Kundensystemen, um unbefugten Zugriff zu verhindern.
  3. Verzeichnis von Verarbeitungstätigkeiten (VVT) anpassen:
    • Stellen Sie sicher, dass die organisatorischen Verfahren im Zusammenhang mit Art. 15 DSGVO im VVT erfasst sind.
  4. Schulungen durchführen:
    • Sensibilisieren Sie Mitarbeiter für den Umgang mit Auskunftsersuchen und die Einhaltung von Datenschutzgrundsätzen.
  5. Regeläßige Überprüfung:
    • Überprüfen Sie regelmäßig, ob die definierten Prozesse eingehalten werden, und passen Sie diese bei Bedarf an.

Durch eine klare und DSGVO-konforme Handhabung von Auskunftsersuchen können Unternehmen nicht nur Bußgelder vermeiden, sondern auch das Vertrauen von Kunden und Mitarbeitern stärken.

Fragen Sie sich, ob Ihre Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?

Unverbindlich mit einem Datenschutzbeauftragten sprechen.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen: