Speichern und Löschen von Daten nach DSGVO
Personenbezogene Daten sind spätestens mit der DSGVO grundsätzlich nur solange zu verarbeiten, wie dies zur Erfüllung des Zweckes, zu dem sie erhoben wurden, notwendig ist!
Eine Person, die Ihre Email Adresse in einen Newsletter einträgt, darf auch nur (noch) diesen Newsletter erhalten. Genauer gesagt bedeutet dies, daß die Personenbezogene Daten beispielsweise aus einem Kontaktformular zur Eventanmeldung, auch nach dem Event wieder zu löschen sind und nicht dauerhaft zu speichern sind.
Lesen Sie hier:
Daten-Aufbewahrung für Online-Shops
Wer Produkte verkauft, also einen Online-Shop betreibt, sollte die Daten in jedem Fall für 24 Monate aufheben. Somit können immer noch Gewährleistungsansprüche durch den Kunden geltend gemacht werden. Natürlich sind auch die steuerrechtlichen Aufbewahrungspflichten zu beachten. Selbst wenn ein Kunde die Löschung aller Daten verlangt, gehen diese gesetzlichen Fristen Vor. Ohne Wenn und Aber !!!
Daten komplett löschen
Wenn ein Webseitenbetreiber die Daten nicht mehr braucht oder benötigt, sind diese komplett zu löschen. Der Löschvorgang ist am Besten nachweislich zu protokollieren.
Die genaue Planung im Vorfeld ist wichtig. Beispielsweise in welchem Land der Server steht und ob die Kundenkartei in sicherer Aufbewahrung ist.
Hierbei sollten unbedingt AV Verträge mit Hostern und Cloudspeichern abgeschlossen werden. Denn nur so kann die Frage geklärt werden, wer hat Zugriff auf die Daten. Natürlich muss dies eigenverantwortlich dokumentiert werden, um für die Sicherheit der Daten nachhaltig und nachweislich zu sorgen.
Mitarbeiter und der Umgang mit Daten
Falls dies im Rahmen von DSGVO Überprüfungen kontrolliert wird, hat der Webseitenbetreiber alle Informationen vorzulegen. Wenn Mitarbeiter zur Vertragserfüllung bestimmte Informationen benötigen, und somit auch Zugriff auf diese Daten bekommen, müssen gewisse Verhaltensregeln im Umgang mit personenbezogenen Daten festgelegt sein. Eine Verschwiegenheitsvereinbarung sollte mit den Mitarbeitern getroffen und unterzeichnet werden. Auch sollten Schulungen zur Sensibilisierung im Umgang mit personenbezogenen Daten unbedingt abgehalten werden.
Datenschutzbeauftragter
Wenn in einem Unternehmen mehr wie 9 Menschen personenbezogene Daten verarbeiten, dann ist zwingend ein Datenschutzbeauftragter zu ernennen. Dies kann ein interner Mitarbeiter oder auch ein externer Dienstleister sein.
Übrigens jeder Mitarbeiter zählt. Also jeder der personenbezogene Daten erfasst. Überall im kompletten Unternehmen. Also nicht nur im Shop oder Frontoffice, sondern auch in der Lohnbuchhaltung, Lager etc.
[…] Personenbezogene Daten die im Rahmen von Backups gesichert werden, also vorrangig der Datenwiederherstellung bei Datenverlust dienen, müssen je nach Sicherungsgeneration regelmäßig gelöscht werden. Hierfür sind individuelle Löschfristen festzulegen. Auch Archivdaten unterliegen der Löschverpflichtung und sind abhängig von der Datenkategorie (z.B. Buchhaltungsdaten) unter Berücksichtigung der gesetzlichen Regelfristen rechtzeitig zu löschen. Die Einhaltung der Löschfristen ist ab Mai 2018 nachweispflichtig. […]