Eines der in der Praxis am wenigsten gelebten Datenschutzthemen aus Sicht der Eventbranche ist die Datenlöschung. Dabei müssen die meisten Daten spätestens drei Jahre nach dem Event unwiederbringlich gelöscht werden.
(Bild: Shutterstock / Stock_Good)
Offensichtlich ist es so, dass Daten nur sehr ungern gelöscht werden. Gerade aus Sicht des Marketings will man aufwendig gesammelte Informationen nicht wieder hergeben. Aber die Datenschutzgrundverordnung (DSGVO) zwingt uns dazu. Es gilt nämlich der Grundsatz der Datenminimierung.
Kontaktieren Sie Timo Schutt per Mail an info@schutt-waetke.de, wenn Sie rechtliche Unterstützung in Sachen Datenschutz benötigen.
Grundsatz der Datenminimierung
In Artikel 5 Absatz 1 Buchstabe c) der DSGVO heißt es: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Daraus ergeben sich drei Anforderungen: „dem Zweck angemessen“, „erheblich“ und „auf das notwendige Maß beschränkt“.
Das bedeutet zunächst, dass Sie Daten überhaupt nur dann erheben, also sich beschaffen dürfen (beispielsweise über ein Anmeldeformular für Ihr Event), wenn die dort abgefragten Daten wirklich für das konkrete Event benötigt werden und für diese Erhebung ein klarer, in der zugehörigen Datenschutzerklärung genannter, legitimerer Zweck besteht (also z.B. die Planung, Durchführung und gegebenenfalls Abrechnung des Events).
Mit „erheblich“ ist gemeint, dass die Daten tatsächlich aus objektiver Sicht für den genannten Zweck auch gebraucht werden, ihre Erhebung und Verarbeitung also tatsächlich nicht nur sinnvoll, sondern notwendig ist, um den Zweck der Datenverarbeitung erfüllen zu können. Sie sollten also etwa bei der Anmeldung nur solche Daten abfragen, die Sie tatsächlich aus nachvollziehbaren Gründen benötigen. Damit will die DSGVO verhindern, dass Daten nutzlos verarbeitet werden.
Und mit dem notwendigen Maß ist das letztlich nochmals verdeutlicht. Denn notwendig ist eben nur das, was ich unbedingt brauche, ohne dass ich also meinen Zweck (Durchführung des Events) nicht erfüllen könnte. Alles andere brauche ich schlicht nicht und darf es deshalb auch nicht erfragen. Es ist also nicht erlaubt, Daten „auf Vorrat“ zu speichern. Die Datenverarbeitung muss jeweils zu dem konkreten Zweck erforderlich sein.
Grundsatz der Speicherbegrenzung
Außerdem begrenzt der Grundsatz der Speicherbegrenzung die Dauer der Speicherung. Dazu schauen wir uns kurz einen Auszug aus Artikel 5 Absatz 1 Buchstabe e) der DSGVO an: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; (…) („Speicherbegrenzung“).
Der Regelfall ist: Ist die Veranstaltung beendet (und abgerechnet), dürfen Sie die Daten maximal für die Dauer der Verjährung aus dem Teilnehmervertrag behalten, was drei Jahre nach Ende der Veranstaltung der Fall ist (beginnend am Ende dieses Jahres, also am 31.12.). Ausnahme: Sie haben eine Einwilligung der Teilnehmenden. Dann dürfen Sie die Daten speichern, bis ein Widerruf der Einwilligung erfolgt.
Das gilt nebenbei dann nicht, wenn Sie gesetzlich verpflichtet sind, die Archivierung/Speicherung der Daten vorzunehmen, was beispielsweise bei allen Belegen aus dem Steuerrecht der Fall ist. Rechnungen sind also etwa zehn Jahre aufzubewahren, auch dann, wenn darin personenbezogene Daten zu finden sind. Über die Speicherdauer müssen Sie in den Datenschutzhinweisen übrigens informieren.
Wann sind die Daten zu löschen?
Kurz gesagt: Personenbezogene Daten sind immer dann zu löschen, wenn der Zweck ihrer Verarbeitung weggefallen ist. Das ist aber im Einzelfall nicht immer leicht zu erkennen. Letztlich hängt es von der Rechtsgrundlage ab, aufgrund welcher Sie die Daten haben.
Beispiele: Haben Sie die Daten aufgrund einer Einwilligung der betroffenen Person erhalten, dann müssen die Daten grundsätzlich dann gelöscht werden, wenn die Person Ihnen gegenüber die Einwilligung widerruft.
Verarbeiten Sie die Daten zur Erfüllung eines mit der betroffenen Person geschlossenen Vertrages, sind die Daten grundsätzlich nach Beendigung des Vertrages und Ablauf der gesetzlichen Verjährungsfrist (i.d.R. drei Jahre mit Beginn zum 31.12. des betreffenden Jahres) zu löschen.
Erfolgt die Datenverarbeitung aufgrund eines überwiegenden berechtigten Interesses Ihrerseits, dann ist die Datenverarbeitung unzulässig und die Daten sind zu löschen, sobald Ihr Interesse nicht mehr besteht oder im Verhältnis zum Interesse der betroffenen Person nicht mehr überwiegt, was beispielsweise bei der Datenverarbeitung zu Werbezwecken anzunehmen ist, wenn die betroffene Person trotz mehrfacher Versuche bzw. über eine gewisse Zeitdauer (i.d.R. maximal zwei bis drei Jahre) nicht auf Ihre Werbung reagiert hat oder die betroffene Person sogar Ihnen gegenüber klargestellt hat, dass Sie keine Werbung haben möchte (Werbewiderspruch).
Wie sind die Daten zu löschen?
Kurz gesagt: Die Daten müssen im Falle einer Löschpflicht unwiederbringlich gelöscht werden, also so, dass sie auch mit technischen Mitteln nicht wiederhergestellt werden können. Sonst liegt keine ausreichende Löschung vor. Ob eine vollständige Anonymisierung einer Löschung gleichkommt, wird diskutiert. Es spricht aber aus Sicht des Autors vieles dafür, dass Sie auch so vorgehen können.
Denken Sie bitte daran: Auch die Sicherungen (Back-ups) müssen entsprechend bearbeitet werden, da Sie sonst ja keine vollständige Löschung durchgeführt haben.
Gelöschte Daten dürfen auch nicht mit technischen Mitteln wiederhergestellt werden können.
Zusammenfassung
Daten dürfen nicht auf alle Ewigkeit gespeichert werden. Jedes personenbezogene Datum hat quasi ein Ablaufdatum integriert. Dieses Ablaufdatum gilt es zu ermitteln und festzuhalten, i.d.R. in einem Löschkonzept des Datenverarbeiters, wo bestenfalls auch die Verantwortlichkeiten und der Ablauf der Löschung als Richtlinie für die Beschäftigten festzuhalten sind. Wann konkret zu löschen ist, hängt von verschiedenen Umständen, insbesondere der Rechtsgrundlage für die Datenverarbeitung ab.
In der Abwägung, das Risiko einzugehen oder sich hier professionell aufzustellen, sollte das Ziel DSGVO-konform zu handeln eindeutig dominieren. Die Kosten für eine vernünftige Datenschutz-Compliance sind zwar nicht gering, aber der Schaden bei einem Verstoß ist dafür umso höher. Dazu kommt dann auch der Imageverlust nach außen, wenn Datenschutzverstöße bekannt werden.
Wenn Sie bislang nicht datenschutzkonform sind: Es ist nie zu spät, damit anzufangen und hier die erforderliche Rechtssicherheit herzustellen. Und schließlich gibt es auch externe Berater:innen und Expert:innen, die Ihnen hier tatkräftig zur Seite stehen und sich um Ihren Datenschutz kümmern können.