Le cycle de vie des données à caractère personnel

Der Lebenszyklus personenbezogener Daten

Legal Watch Nr. 41 – November 2021

Der Lebenszyklus personenbezogener Daten. Unter den in der DSGVO vorgesehenen Verpflichtungen gibt es eine, die dem Verantwortlichen trotz ihrer scheinbar harmlosen Natur schnell Kopfzerbrechen bereiten kann: Es handelt sich um die Aufbewahrungsdauer personenbezogener Daten.

A priori erscheint es selbstverständlich, Daten nur so lange aufzubewahren, wie es für die verfolgten Zwecke erforderlich ist, wie in Artikel 5.1.e der DSGVO vorgesehen.

In der Praxis stellen sich viele Fragen: Sollen die Informationen dann gelöscht werden? Oder sollen sie zu Beweiszwecken aufbewahrt werden? Oder gemäß gesetzlichen Bestimmungen? Was ist, wenn dieselben Daten in zwei unterschiedlichen Kontexten benötigt werden?

Die Aufbewahrungsfrist ist einer der Aspekte, auf die die CNIL bei ihren Kontrollen besonderes Augenmerk legt, wie aus ihrer Überlegung vom 29. Oktober zu RATP-Dateien.

Wegen Verstoßes gegen die Grundsätze zu Zweckbindung, Aufbewahrungsfrist und Datensicherheit wurde das Unternehmen mit einer Geldbuße von 400.000 Euro belegt. 

Im Rahmen ihrer Personalverwaltung speicherte die RATP Daten über Agenten in der aktiven Datenbank einer Anwendung, die zu weithin zugänglich war, und zwar für einen Zeitraum, der den für die verfolgten Zwecke erforderlichen Zeitraum überschritt.  

Die CNIL stellte außerdem fest, dass die RATP die Personalbeurteilungsakten über drei Jahre lang nach dem Beförderungsausschuss, für den sie eingerichtet wurden, aufbewahrte, obwohl ihre Aufbewahrung nur 18 Monate nach der Durchführung dieser Ausschüsse erforderlich war.

In einem anderen Kontext hatte die CNIL bereits spitz Im November 2020 wurde die Dauer der Speicherung der Daten seiner Kunden durch das Unternehmen Carrefour festgelegt.

Sie hält eine Aufbewahrungsfrist von vier Jahren für überzogen und empfiehlt, die Daten „inaktiver“ Kunden (die keine Geschäftsbeziehungen mehr mit dem Unternehmen unterhalten) maximal drei Jahre lang aufzubewahren (siehe diesen Newsletter, Dezember 2020).

Die folgenden Schritte dienen dem Datenverantwortlichen als Orientierung bei der Bestimmung der Aufbewahrungsfristen:

  • Speicherung der Daten in einer aktiven Datenbank, auf die die Mitarbeiter der jeweiligen Abteilung, beispielsweise der Personalabteilung, zugreifen können, solange die Daten benötigt werden (z. B. für die Auszahlung von Gehältern).
  • Löschung oder Zwischenarchivierung von Daten zu Beweiszwecken oder für mögliche Rechtsstreitigkeiten, mit eingeschränktem und sichererem Zugriff, unter besonderer Berechtigung
  • Löschung oder dauerhafte Archivierung unter noch eingeschränkteren Zugriffsbedingungen.

In jeder Phase muss eine Sortierung durchgeführt werden und bestimmte Daten können gelöscht oder anonymisiert werden, wenn sie nicht nützlich oder gesetzlich nicht erforderlich sind.

Werden dieselben Daten für zwei verschiedene Zwecke verwendet, müssen für sie je nach Zweck unterschiedliche Aufbewahrungsfristen sowie entsprechende Zugriffs- und Löschregeln gelten.

Die CNIL bietet in einem Praxisleitfaden hat im Juli 2020 Empfehlungen veröffentlicht und listet in seinen Referenzdokumenten bestimmte gesetzlich vorgesehene Aufbewahrungsfristen auf.

Beispiele hierfür sind:

Im Rahmen der Personalabteilung Bewerberdaten für maximal zwei Jahre, Gehaltsabrechnungen für mindestens fünf Jahre (in Anwendung von Artikel L. 3243-4 des Arbeitsgesetzbuches)

Im kaufmännischen Bereich Abrechnungsdaten für die Dauer von zehn Jahren (Verpflichtung nach Handelsgesetzbuch)

Im Rahmen der Videoüberwachung Bilder für eine maximale Dauer von einem Monat (Artikel L. 252-3 des internen Sicherheitsgesetzes).

Es sollte hinzugefügt werden, dass eine rigorose Verwaltung der Datenverarbeitung, die Löschung unnötiger Daten und die Beschränkung des internen Datenzugriffs zur Sicherung der Datenbanken beitragen.

Diese Schritte werden angesichts externer Angriffe und der Gefahr von Datenlecks, die heute erhebliche Risiken darstellen, eine vorbeugende Rolle spielen.

Und auch

Frankreich:

Am 30. November veröffentlichte die CNIL eine neue Überlegung zu Maßnahmen zur Bekämpfung der Covid-19-Pandemie.

Es weist die Regierung darauf hin, dass mehr als 18 Monate nach Beginn der Epidemie Elemente erstellt werden müssen, die eine umfassende Bewertung der Wirksamkeit der implementierten Dateien und Systeme ermöglichen, darunter der Gesundheitspass, die Datei „Impfstoffe“ und die App „TousAntiCovid“.

Die Aufsichtsbehörde hat eine fünfte Kontrollphase eingeleitet, die insbesondere die Aufbewahrungsdauer, Löschung und/oder Anonymisierung der Daten betrifft.

Europa:

Die Aufsichtsbehörden der Europäischen Union haben eine gemeinsame Untersuchung zur Einhaltung der DSGVO durch die Second-Hand-Verkaufsplattform Vinted.

DER Europäischer Datenschutzbeauftragter (EDSB) kündigt eine Konferenz am 16. und 17. Juni zum Thema Datenschutz: „Wirksame Kontrollen in der digitalen Welt“, bei dem Redner zu den Themen künstliche Intelligenz, Wettbewerbsrecht sowie digitale Märkte und Dienste zusammenkommen.

Diese Konferenz wird im Kontext der Debatten über die Notwendigkeit einer Zentralisierung der Kontrollen zur Umsetzung der DSGVO auf europäischer Ebene organisiert.

Wir beziehen uns genauer auf die Bewertungen am 2. Dezember von der Vizepräsidentin der Europäischen Kommission, Vera Jourova, über die (In-)Effektivität von Kontrollen in Ländern wie Irland.

Am 21. Oktober verurteilten sieben UN-Sonderberichterstatter in einer Kommunikation die europäische Politik zur Bekämpfung des Terrorismus, die durch allzu vage Maßnahmen gegen die in europäischen und internationalen Instrumenten zum Schutz der Grundrechte verankerten Grundsätze der Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit verstoßen würde. 

DER Europäischer Datenschutzausschuss (EDSA)) angenommen am 18. November Richtlinien Festlegung des Geltungsbereichs der Vorschriften für internationale Datenübertragungen.

Darin wird unter anderem daran erinnert, dass diese Vorschriften für Übermittlungen zwischen Verantwortlichen (oder Unterauftragnehmern) gelten, wenn der Exporteur der DSGVO unterliegt und die Daten an den in einem Drittland ansässigen Importeur übermittelt oder zugänglich macht.

Diese Übermittlungsregeln gelten nicht, wenn die Daten von einer Einzelperson in Europa auf eigene Initiative übermittelt werden. Das Dokument steht bis Ende Januar zur öffentlichen Konsultation offen.

Der Ausschuss bekräftigte seine Bedenken auch in einer Pressemitteilung zu den Vorschlägen der Europäischen Kommission zu Daten-Governance, digitalen Diensten und digitalen Märkten sowie zur Regulierung künstlicher Intelligenz.

Sie weist auf einen unzureichenden Schutz der Grundrechte und eine fragmentierte Aufsicht hin und fordert ein Verbot des Einsatzes von KI im öffentlichen Raum, der Erstellung von Kinderprofilen und der gezielten Werbung auf der Grundlage der systematischen Verfolgung von Einzelpersonen.

Dies hallt der Anruf der neuen deutschen Regierungskoalition am 24. November für ein Verbot biometrischer Überwachung im öffentlichen Raum.

Die Europäische Kommission hat eine Vertragsverletzungsverfahren gegen Belgien aufgrund mangelnder Unabhängigkeit seiner Datenschutzbehörde.

Belgien hat zwei Monate Zeit, um zu reagieren, andernfalls droht ihm eine Klage vor dem Europäischen Gerichtshof.

Das Ministerkomitee des Europarats am 3. November angenommen Empfehlung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Profilerstellung.

Dieser neue Text aktualisiert die vorherige Empfehlung CM/Rec(2010)13 zum gleichen Thema.

Das Unternehmen Klare Sicht, Das auf die Erfassung biometrischer Daten spezialisierte Unternehmen steht im Visier der britischen Aufsichtsbehörde.  

Das ICO erwägt, das Unternehmen mit einer Geldstrafe von 17 Millionen Pfund zu belegen, weil es ohne Wissen der Briten Daten gesammelt hat.

Das ICO Untersuchung außerdem zu den Praktiken des Unternehmens Cignpost Diagnostics, das plant, die bei PCR-Tests seiner Kunden gewonnenen genetischen Informationen zum Screening auf das COVID-Virus zu vermarkten. 

Internationales:

DER Vereinigte Arabische Emirate am 28. November angenommen Bundesgesetz zum Datenschutz. Die für die Datenverarbeitung Verantwortlichen haben ab dem Datum der Veröffentlichung des Gesetzes im Amtsblatt 12 Monate Zeit, um die Einhaltung sicherzustellen.

Am 24. November verabschiedeten 193 Länder die Empfehlung UN zur Ethik der künstlichen Intelligenz, das das Verbot von Social Scoring und den Einsatz von KI zum Zwecke der globalen Überwachung vorsieht.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT