Aufbewahrungsfristen aus Sicht der DSGVO
Die Aufbewahrungsfristen aus Sicht der Datenschutz-Grundverordnung (DSGVO) beziehen sich auf die Dauer, für die personenbezogene Daten aufbewahrt werden dürfen. Die DSGVO fordert, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie dies für den Zweck erforderlich ist, für den sie erhoben oder anderweitig verarbeitet wurden.
Einige Faktoren, die bei der Bestimmung von Aufbewahrungsfristen berücksichtigt werden sollten, sind:
- Der Zweck, für den die Daten erhoben oder verarbeitet wurden
- Die Art der personenbezogenen Daten
- Die gesetzlichen Anforderungen an die Aufbewahrung bestimmter Datenarten
- Die Notwendigkeit der Aufbewahrung für die Wahrung der berechtigten Interessen des Datenverantwortlichen oder Dritter
- Die Notwendigkeit, personenbezogene Daten für die Abwicklung von Verträgen aufzubewahren
Aufbewahrungsfristen DSGVO vs. Informationssicherheit
In der Regel gibt es einige Unterschiede bei der Umsetzung und Implementierung von Aufbewahrungsfristen in beiden Systemen. Während die DSGVO allgemeine Grundsätze für die Aufbewahrung von personenbezogenen Daten vorgibt, legt ein ISMS in der Regel spezifische Verfahren und Prozesse für die Aufbewahrung von Daten fest, um eine angemessene Datensicherheit zu gewährleisten.
Ein ISMS kann auch spezifische Anforderungen an die Aufbewahrungsfristen haben, die auf den Sicherheitsbedürfnissen des Unternehmens und den Anforderungen anderer relevanter Standards wie der ISO/IEC 27001 basieren.
Die Aufbewahrungsfristen im ISMS werden in der Regel von den Unternehmen auf Grundlage von verschiedenen Faktoren wie z.B. rechtliche Anforderungen, regulatorische Bestimmungen, Geschäftsbedürfnisse und Risikoanalyse bestimmt. Es ist wichtig zu betonen, dass die Aufbewahrungsfristen im ISMS über die DSGVO-Anforderungen hinausgehen können, um zusätzliche Schutzmaßnahmen für die Datensicherheit zu gewährleisten.
Es ist zu empfehlen, im Unternehmen eine Liste der Aufbewahrungsfristen zu führen, diese mit den regulatorischen und gesetzlichen Anforderungen aus dem ISMS und der DSGVO abzustimmen und in den Management Systemen zu dokumentieren.