Die DSGVO verfolgt sieben Grundsätze die in Art. 5 Abs. 1 und Abs. 2 nachzulesen sind. Diese Grundsätze geben vor, welche Anforderungen bei der Vearbeitung von personenbezogenen Daten umgesetzt werden müssen. Der Grundsatz der Speicherbegrenzung besagt, dass die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das bedeutet, dass Daten nicht länger gespeichert werden dürfen, als es der Zweck vorsieht und eine Löschfrist definiert werden muss. Wurde das Ende der Speicherfrist erreicht, müssen die Daten gelöscht werden.
Die DSGVO besagt, dass jede Speicherung von personenbezogenen Daten nur so lange gestattet ist, wie es der Zweck vorsieht. Allerdings werden dabei keine konkreten Zeiträume für die Löschfristen vorgegeben. Aber nicht nur die DSGVO setzt Löschfristen voraus. Auch die Abgabeordnung und das Handelsgesetz haben Vorgaben. Diese sind meist konkret für unterschiedliche Fälle festgelegt und lassen sich in Publikationen der Handelskammern nachlesen. Das Löschen der Daten ist schon vor Erreichen der Löschfrist durchzuführen, wenn eine Einwilligung widerrufen wurde oder sich die Verarbeitung der personenbezogenen Daten als unrechtmäßig herausgestellt hat.
Als gelöscht gelten Daten nicht nur, wenn diese vernichtet wurden, sondern auch, wenn durch Anonymisierung der Daten der Bezug zu einer Person nicht mehr möglich ist. Dies muss allerdings mit großer Sorgfalt geschehen, denn eine Pseudonymisierung reicht nicht aus. Löschfristen müssen stets eingehalten werden, da sonst erhebliche Bußgelder drohen können. Bei der Entwicklung einer Anwendung muss von Anfang an die Möglichkeit berücksichtig werden, die Löschfristen einzuhalten. Auch beim Heranziehen von Dienstleitern muss überprüft werden, dass Löschfristen eingehalten werden. Um das Löschen zur entsprechenden Frist zu vollziehen ist die Entwicklung eines angemessenen Konzepts notwendig.
Unsere Datenschutzbeauftragten unterstützen Sie bei der Umsetzung datenschutzrechtlicher Vorschriften und sind Ihre kompetenten Ansprechpartner:innen bei allen Fragen rund um den Datenschutz & die DSGVO-Grundsätze.
Die DSGVO wurde am 14. April 2016 als Verordnung des Europäischen Parlaments und des Rates verabschiedet, trat daraufhin am 24. Mai 2016 in Kraft und soll der Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten dienen. Die DSGVO kommt seit dem 25. Mai 2018 zur Anwendung und soll so einerseits den Verbraucherschutz stärken und andererseits den innereuropäischen Verkehr personenbezogener Daten über die Landesgrenzen der Mitgliedsstaaten hinweg genauso ermöglich, wie der Verkehr solcher Daten innerhalb eines Mitgliedsstaats.
Da es sich bei der DSGVO um eine Europäische Verordnung handelt, gilt sie unmittelbar in allen Mitgliedsstaaten, d.h. die DSGVO muss nicht zuerst in nationales Recht umgesetzt werden. In der DSGVO sind aber Öffnungsklauseln enthalten, die den nationalen Gesetzgeber dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Der deutsche Gesetzgeber musste also, wie die anderen nationalen Gesetzgeber, neue nationale Gesetze erlassen, um die Vorschriften aus der DSGVO mit dem bestehenden deutschen Recht bestmöglich in Einklang bringen zu könenn. Das nationale Gesetz zum Datenschutz in Deutschland heißt Bundesdatenschutzgesetz-neu.