DSGVO-Auskunftsersuchen und Aufbewahrungspflichten – Was Unternehmen beachten müssen
Die DSGVO regelt umfassend den Umgang mit personenbezogenen Daten. Ein zentraler Aspekt ist das Recht von Betroffenen auf Auskunft gemäß Art. 15 DSGVO. Doch was passiert mit den erteilten Auskünften, und wie lange müssen diese aufbewahrt werden? Dieser Blogbeitrag beleuchtet die wichtigsten Anforderungen und gibt praktische Handlungsempfehlungen.
Aufbewahrungspflichten für erteilte Auskünfte
Ein Auskunftsersuchen nach Art. 15 DSGVO verpflichtet Unternehmen, den Betroffenen umfassende Informationen bereitzustellen. Doch es stellt sich die Frage, wie lange diese Dokumentation aufbewahrt werden sollte:
- Nachweispflichten: Die Datenschutzbehörden empfehlen eine Aufbewahrungsdauer von drei Jahren ab Beginn des folgenden Kalenderjahres, um den Nachweis über die ordnungsgemäße Bearbeitung eines Auskunftsersuchens erbringen zu können.
- Rechtsgrundlage: Zusätzlich kann sich die Aufbewahrungsfrist aus der allgemeinen Verjährungsfrist gemäß § 195 BGB (drei Jahre) ergeben.
- Verstöße vermeiden: Längere Aufbewahrungszeiträume als drei Jahre sind nur dann gerechtfertigt, wenn ein klarer Zweck – z. B. die Verteidigung gegen Rechtsansprüche – besteht. Eine übermäßig lange Speicherung kann gegen Art. 5 DSGVO verstoßen.
Praktische To-Dos für Unternehmen
Damit Unternehmen die Anforderungen der DSGVO erfüllen, sollten folgende Maßnahmen umgesetzt werden:
- Aufbewahrungsfristen definieren:
- Dokumentieren Sie die Aufbewahrungsdauer für erteilte Auskünfte in internen Richtlinien.
- Orientieren Sie sich dabei an der empfohlenen Dreijahresfrist.
- Zugriffsrechte beschränken:
- Speichern Sie Auskunftsersuchen und Antworten ausschließlich in einem geschützten Bereich, auf den nur berechtigte Personen Zugriff haben.
- Vermeiden Sie eine Speicherung in allgemeinen Kundensystemen, um unbefugten Zugriff zu verhindern.
- Verzeichnis von Verarbeitungstätigkeiten (VVT) anpassen:
- Stellen Sie sicher, dass die organisatorischen Verfahren im Zusammenhang mit Art. 15 DSGVO im VVT erfasst sind.
- Schulungen durchführen:
- Sensibilisieren Sie Mitarbeiter für den Umgang mit Auskunftsersuchen und die Einhaltung von Datenschutzgrundsätzen.
- Regeläßige Überprüfung:
- Überprüfen Sie regelmäßig, ob die definierten Prozesse eingehalten werden, und passen Sie diese bei Bedarf an.
Durch eine klare und DSGVO-konforme Handhabung von Auskunftsersuchen können Unternehmen nicht nur Bußgelder vermeiden, sondern auch das Vertrauen von Kunden und Mitarbeitern stärken.
Fragen Sie sich, ob Ihre Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO