KVKK-Grundsatz: „Die Speicherung erfolgt für den mit dem Zweck verbundenen Zeitraum.“ Abgelaufene Daten sind zu vernichten.
Faktoren für die Aufbewahrungsdauer
- Vertragsdauer + Verjährungsfrist
- Steuerrecht (10 Jahre)
- Arbeitsrecht (5 Jahre)
- Gesundheit (20 Jahre – allgemein)
- Bankwesen (10 Jahre) Jahr)
- Social Media/Spiel: je nach Zweck
Vernichtungsmethoden
- Löschen: Entfernen aus Daten, auch aus Backups
- Vernichtung: Zerstörung physischer Medien (Papier, Festplatte)
- Anonymisierung: De-Identifizierung
Vernichtung Richtlinie
- Aufbewahrungsfrist für jede Datenkategorie
- Gründe für die Vernichtung
- Vernichtungsmethoden
- Vernichtungspersonal
- Periodische Kontrolle (alle 6 Monate)
Vernichtungsprotokolle
- Welche Daten
- Wann wurden sie vernichtet
- Mit welcher Methode
- Von wem
- Protokolle gespeichert für 3 Jahre
Verstoßszenarien
- Speicherung abgelaufener Daten
- Keine Vernichtungsrichtlinie
- Daten werden nicht aus Backups gelöscht
- Papierdokument weggeworfen (nicht zerstört)
KVKK-Vorstandsbeschluss
Der KVKK-Vorstand verhängt hohe Geldstrafen gegen Unternehmen, die gegen den Grundsatz der „Datenminimierung“ verstoßen beaufsichtigt direkt Unternehmen, die unnötigerweise alte Kundendaten speichern.
Praktische Empfehlungen
- Aufbewahrungsdauer anhand der Dateninventur festlegen
- Ein automatisches Vernichtungssystem einrichten
- Mitarbeiter in der Vernichtungsrichtlinie schulen
KVKK-Fachanwalt wird empfohlen.