Alte Datenbestände – quo vadis ?

Viele Unternehmen haben alte Datenbestände, die oft auch personenbezogene Daten beinhalten können. Die DSGVO schreibt vor, dass für jede Datenverarbeitung, auch für deren Langzeitspeicherung in Archiven eine Rechtsgrundlage vorhanden sein muss. Eine der stärksten Grundlagen ist sicherlich der gesetzliche Auftrag diese Daten speichern zu müssen, allerdings endet dieser üblicherweise nach einigen Jahren. Sich vielleicht nach Jahrzehnten auf ein „berechtigtes Interesse“ oder „Vertragserfüllung“ zu berufen, ist oft schwer.

Ein Beispiel eines Softwareunternehmens für Gewerbekunden soll dies verdeutlichen:

Diese Kunden haben Gewerbesoftware für Maschinen, die oft jahrelang, wenn nicht jahrzehntelang im Einsatz ist. Kunden erwarten oft sogar, dass Sie nach vielen Jahren, wenn sie z.B. ein neues Betriebssystem aufsetzen und den Lizenzkey für die Software „nicht mehr finden“, diesen wieder zugeschickt bekommen. Hier muss man klar sagen, dass hier die Rechtsgrundlage der Vertragserfüllung anwendbar ist, wenn es einen Wartungsvertrag gibt. Gibt es den aber nicht, so ist dieses Service nach der DSGVO eigentlich nicht gültig. Natürlich besteht ein berechtigtes Interesse, den Kunden zu behalten, da er ja vielleicht ein Update der Software kaufen könnte, allerdings mit einem Vertrag ist man da auf der sicheren Seite.

Unternehmen haben bislang Kundenakten jahrelang und jahrzehntelang aufgehoben und jetzt plötzlich sollte dies nicht mehr möglich sein? Die Antwort ist klar, es kommt darauf an und ob der Kunde dies akzeptiert – sprich eingewilligt hat, dass dies so sein soll, oder eben eine andere Rechtsgrundlage dafür vorhanden ist.

Diese sind:

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben
  • aus Gründen des öffentlichen Interesses
  • für im öffentlichen Interesse liegende Archivzwecke, Forschungszwecke oder statistische Zwecke
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Dazu zählen für Unternehmen z.B.

  • Garantieansprüche
  • Schadensersatzansprüche
  • Urheberrechtsansprüche

Alle notwendigen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen sind somit von einer Löschung DSGVO-sicher, allerdings alle anderen Daten sind unverzüglich zu löschen bzw. zu anonymisieren.

Der Erwägungsgrund 26 ist hier eindeutig: Diese Verordnung (DSGVO) betrifft somit nicht die Verarbeitung solcher anonymen Daten, auch für statistische oder für Forschungszwecke.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code