Löschen oder Archivieren: BayLfD bietet Arbeitspapier
Ein effektives Datenschutzmanagement erfordert vom Verantwortlichensich nicht nur Gedanken um die Zulässigkeit der Datenerhebung zu mache. Der datenschurzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch den Vorgang des Löschens. Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist“. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.
In der Praxis kann sich die Frage stellen, ob der Verantwortliche durch die Archivierung von personenbezogenen Daten den Datenschutz umsetzen kann oder vielleicht sogar muss (Atchivierung als Löschungssurrogat).
Den damit zusammenhängenden Fragen widmet sich ein Arbeitspapier ( Löschung oder Archivierung? ), das der Bayerische Landesbeauftragte für den Datenschutz als Datenschutz-Aufsichtsbehörde für den bayerischen öffentlichen Sektor und die Generaldirektion der Staatlichen Archive Bayerns als zentrale staatliche Fachbehörde für alle Fragen des Archivwesens gemeinsam erarbeitet haben. Das Arbeitspapier skizziert die wesentlichen Aspekte der archivrechtlichen Aufbewahrungs- und der datenschutzrechtlichen Löschungsregelungen; es behandelt Gemeinsamkeiten, Unterschiede und grundlegende Wertungen, die im Schnittbereich beider Rechtsmaterien auftauchen.
Es charakterisiert die Archivierung als Löschungssurrogat und geht – unter Berücksichtigung der je eigenen Perspektive von Datenschutz- und Archivrecht – auf die Frage der Aufbewahrungsdauer ein. Der Aspekt der datenschutzrechtlichen Informationspflichten bei der Archivierung von Unterlagen bleibt ebenfalls nicht unbetrachtet. Damit stellt das Arbeitspapier auch einen guten Ratgeber für die Herausforderungen dar, denen sich Verantwortliche nicht nur aus dem öffentlichen Bereich im Rahmen der Digitalisierung konfrontiert sehen. Damit dürfte das Arbeitspapier auch für Verantwortliche aus dem privatrechtlichen Bereich hilfreiche Anregungen bieten, die die Verarbeitung personnebezogener Daten im Spannungsfeld von Datenschutz- und Archivrecht organisieieren müssen.
(Foto: momius -stock.adobe.com)
Das könnte Sie auch interessieren
-
Datenschutzkonformes Terminmanagement durch externe Dienstleister
Die Datenschutzkonferenz (DSK) hat in einem aktuellen Positionspapier klargestellt, unter welchen Voraussetzungen medizinische Praxen datenschutzkonform externe Dienstleister zur Terminvergabe einsetzen dürfen. Solche Anbieter verarbeiten im Regelfall personenbezogene Daten – teilweise auch Gesundheitsdaten – im Auftrag der Praxis. Dies ist laut DSK grundsätzlich zulässig, sofern die Beauftragung auf Grundlage eines wirksamen Vertrags zur Auftragsverarbeitung nach Art. 28
Mehr erfahren -
DSK veröffentlicht Orientierungshilfe für datenschutzkonformen KI‑Einsatz
Die Datenschutzkonferenz (DSK) hat im Mai 2025 die erste innerhalb der DSK abgestimmte Orientierungshilfe zum Einsatz künstlicher Intelligenz im Einklang mit der DS-GVO vorgestellt. Sie dient Verantwortlichen in Behörden und Unternehmen als Checkliste entlang der drei Phasen: Konzeption und Auswahl, Implementierung sowie Nutzung von KI-Systemen. Zentral ist dabei die Analyse von Risiken für Betroffenenrechte, insbesondere
Mehr erfahren -
TeleTrusT aktualisiert „Stand der Technik in der IT‑Sicherheit“
Der Bundesverband IT-Sicherheit e. V. (TeleTrusT) hat am 17. Juni 2025 eine vollständig aktualisierte Fassung seiner bewährten Orientierungshilfe „Stand der Technik in der IT-Sicherheit“ veröffentlicht. Die überarbeitete Ausgabe reflektiert aktuelle Entwicklungen in der Bedrohungslage, neue regulatorische Anforderungen sowie praktische Herausforderungen bei der Umsetzung technischer und organisatorischer Maßnahmen. Die Publikation versteht sich als praxisnahe Handreichung für Verantwortliche
Mehr erfahren
