Nutzerdaten sind seit langem ein wertvolles Gut für Unternehmen, und es wurden Datenschutzgesetze eingeführt, um den verantwortungsvollen Umgang mit ihnen zu regeln. Es versteht sich von selbst, dass Unternehmen bei der Sammlung von Daten die rechtlichen Anforderungen und die damit verbundenen bewährten Verfahren kennen müssen! Eine dieser Praktiken ist eine Richtlinie zur Datenaufbewahrung.
👀 Lasst uns eintauchen.
Zunächst einmal: Was ist Vorratsdatenspeicherung? Sie bezieht sich auf Daten, die für einen bestimmten Zeitraum, die so genannte Aufbewahrungsfrist, gespeichert und verwendet werden. Kurz gesagt, legt diese Frist fest, wie lange die Daten (z. B. eine E-Mail-Adresse, eine Krankenakte, eine Gehaltsabrechnung) aufbewahrt werden, bevor sie gelöscht werden müssen.
Die Richtlinie zur Datenaufbewahrung ist kein eigenständiges “Richtlinien”-Dokument wie die Datenschutzrichtlinie im Sinne der DSGVO. Es handelt sich eher um eine interne Bewertung, in der alle folgenden Informationen für jede Verarbeitungstätigkeit festgelegt werden:
Sie ist ein wichtiger Bestandteil des internen Datenschutzmanagements Ihres Unternehmens, ebenso wie die Überwachung und Beschreibung der Sicherheitsmaßnahmen, der Rechtsgrundlage für die Verarbeitung, der Datenübermittlung außerhalb der EU und der Parteien, mit denen Sie die Daten austauschen.
Ihr für die Datenverarbeitung Verantwortlicher muss eine Bewertung auf der Grundlage einer Reihe von Kriterien vornehmen, um die Aufbewahrungsfristen für die verarbeiteten Kategorien personenbezogener Daten festzulegen, und diese Informationen dann an die Nutzer weitergeben.
Im Allgemeinen können die Datenaufbewahrungsfristen sein:
💡 Abgesehen von der Durchführung einer internen Bewertung Ihrer Datenaufbewahrungspolitik, beachten Sie bitte auch, dass Sie gemäß GDPR Artikel 13 gesetzlich verpflichtet sind, Aufbewahrungsfristen für jede Ihrer Verarbeitungstätigkeiten offenzulegen!
👋 Klingt kompliziert? Das muss es nicht sein! In diesem Abschnitt sehen Sie, wie es geht
🇺🇸 Das kalifornische CPRA (CCPA amended), das im Januar 2023 in Kraft tritt, ist ein weiteres gutes Beispiel. Sie schreibt nun vor, dass die Aufbewahrungsfrist für jede Kategorie personenbezogener Daten, einschließlich sensibler personenbezogener Daten, in einer Mitteilung bei der Erhebung angegeben werden muss. Den Unternehmen wird daher empfohlen, die Aufbewahrung personenbezogener Daten auf den kürzesten Zeitraum und den Zweck zu beschränken, für den sie erhoben wurden.
Die folgenden Fragen könnten für Sie von Nutzen sein:
📌 Bis wann brauche ich die Daten wirklich für das Unternehmen, um das ursprüngliche Ziel zu erreichen?
📌 ABin ich gesetzlich verpflichtet, die Daten für einen bestimmten Zeitraum aufzubewahren?
📌 Sollte ich bestimmte Daten aufbewahren, um mich vor einem möglichen Problem zu schützen?
📌 Welche Daten müssen gespeichert werden? Für wie lange?
📌 Welche Regeln gelten für die Speicherung und Löschung von Daten?
Im Folgenden finden Sie einige wichtige Grundsätze, die Sie bei der Ausarbeitung Ihrer Richtlinie zur Datenaufbewahrung beachten sollten:
✅ Sie müssen einen genauen, legalen und legitimen Zweck verfolgen;
✅ Legen Sie eine genaue, zeitlich begrenzte Aufbewahrungsfrist fest;
✅ Die Daten müssen relevant und notwendig sein;
✅ Die Daten müssen für die kürzest mögliche Zeit gespeichert werden;
✅ Die Daten sind sicher und geschützt.
Hier erfahren Sie, wie Sie Ihre Nutzer über die Vorratsdatenspeicherung informieren können.
Die beste Praxis ist es, genaue Informationen über die Datenaufbewahrung in Ihre Datenschutzdokumente aufzunehmen, z. B. in Ihre Datenschutzrichtlinie.
Hier erfahren Sie, wie Sie dies mit iubenda tun können:
🚀 Verwenden Sie unseren Datenschutz- und Cookie-Richtlinien-Generator, um die Technologien hinzuzufügen, die Sie auf Ihrer Website verwenden (z. B. Facebook-Zugang);
🚀 Nutzen Sie unser Internes Datenschutzmanagement, um die Speicherdauer für jede Verarbeitungsaktivität festzulegen;
🚀 Erstellen Sie Ihre Datenschutzrichtlinie mit allen erforderlichen Standardangaben! (Siehe Beispiel unten)
