Wie lange müssen die Daten aufbewahrt werden (Löschfristen)?

Die Kontaktdaten sind von den genannten Verantwortlichen unter Einhaltung der datenschutzrechtlichen Bestimmungen zu erheben und für eine Frist von einem Monat aufzubewahren. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Sich aus anderen Rechtsvorschriften ergebende Datenaufbewahrungspflichten (z.B. im Hotelbereich nach dem Bundesmeldegesetz) bleiben unberührt. Das zuständige Gesundheitsamt kann, soweit dies zur Erfüllung seiner nach den Bestimmungen des Infektionsschutzgesetzes (IfSG) und der Corona-Bekämpfungsverordnung obliegenden Aufgaben erforderlich ist, Auskunft über die Kontaktdaten verlangen. Die Daten sind dann unverzüglich zu übermitteln. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. An das zuständige Gesundheitsamt übermittelte Daten sind von diesem unverzüglich irreversibel zu löschen, sobald die Daten für die Aufgabenerfüllung nicht mehr benötigt werden.

Es besteht also für viele Verantwortliche eine rechtliche Verpflichtung, personenbezogene Daten ihrer Kunden, Gäste oder Besucher zu erheben. Die Datenverarbeitung ist daher gem. Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 32 S. 1, 28 Abs. 1 Satz 1 und 2 IfSG und § 1 Abs. 81. CoBeLVO grundsätzlich zulässig.

  • Nach Ablauf eines Monats sind die erhobenen Kontaktdaten – taggenau -  zu löschen. Für den Löschvorgang gelten die allgemeinen datenschutzrechtlichen Anforderungen, d.h. das Speichermedium ist so zu vernichten, dass die Daten nicht mehr einer Person zugeordnet werden können.

Dies sollte bei Papierunterlagen so erfolgen, dass das Papier in einem Aktenvernichter geschreddert oder einem Dienstleister zur fachgerechten Entsorgung übergeben wird (Sicherheitsstufe P3 nach DIN 66399-2).

Bei einer elektronischen Speicherung sind die Daten nach Ablauf der Aufbewahrungsfrist so zu löschen, dass eine Wiederherstellung ausgeschlossen, zumindest jedoch wesentlich erschwert wird. Ein „Löschen“ durch bloßes Verschieben in den Papierkorb ist nicht ausreichend. Soweit die Daten in Buchungs-, Kundendaten- oder Kassensystemen erfasst werden, sollten entsprechende Löschfunktionen vorhanden sein; bei einer Erfassung in separaten Dateien muss die Löschung ggf. manuell erfolgen.

Sofern die Speicherung mehrerer Kundendatensätze in einer Datei oder Datenbank erfolgt, wären die Einzeldatensätze beim Erreichen des Löschzeitpunktes aus der Datei oder Datenbank mit den Bordmitteln des Dateiprogramms oder Datenbanksystems zu löschen. Nach Aufhebung der Speicherverpflichtung, ist die Datei selbst bzw. die zur entsprechenden Datenbank gehörenden Dateien, mit einem (wie oben beschriebenen) sicheren Verfahren zu löschen.

Der LfDI hat zur Information der Verantwortlichen in den Betrieben, die die Daten sammeln müssen, ein Merkblatt zusammengestellt.

HwK-Rechtsberatung

recht@hwk-koblenz.de

0261 398-205



HwK-Betriebsberatung

beratung@hwk-koblenz.de

0261 398-251