Nach Art. 5 gilt der Grundsatz der Speicherbegrenzung. Das heißt, Unternehmen müssen sicherstellen und dokumentieren, dass sie Daten nur so lange verarbeiten, wie es für die vorher bestimmten Zwecke erforderlich ist.
Laut Art. 17 haben betroffene Personen ein Recht auf Löschung ihrer personenbezogenen Daten, wenn der Zweck der Datenerhebung erfüllt wurde, sie ihre Einwilligung in die Verarbeitung widerrufen oder eine gesetzliche Löschfrist greift.
nachweisen können, dass sie über Prozesse zum Löschen der Personendaten verfügen, und
diese Prozesse auch konsequent anwenden – sonst drohen horrende Strafen.
Ein Unternehmen erhebt DSGVO-konform personenbezogene Daten und verwendet diese für zwei Verarbeitungstätigkeiten. Verarbeitungstätigkeit A benötigt diese Daten für 3 Monate und Verarbeitungstätigkeit B für 12 Monate.
Nach den rechtlichen Vorgaben müssten die personenbezogenen Daten für Tätigkeit A also nach 3 Monaten gelöscht werden. Das geht aber nicht, weil sie für die Tätigkeit B noch weitere 9 Monate benötigt werden.
In dem Unternehmen müssen die Verantwortlichen sicherstellen, dass beide Fristen bekannt sind, die personenbezogenen Daten nach 3 Monaten für die Tätigkeit A gesperrt werden und die endgültige Löschung nach insgesamt 12 Monaten stattfindet.
Link kopieren