Gemäß Art. 4 DSGVO sind das alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Hierzu gehören u.a. folgende Daten:
- Name
- Adresse
- Geburtsdatum
- Foto
- Biometrische Daten/körperliche Daten (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck)
- Sozialversicherungsnummer
- IP-Adresse
- Kfz-Kennzeichen
- Standortdaten
- Zuordnung zu einer Kennnummer
- Ausweisnummer
- E-Mail-Adresse
- Bestelldaten
Das Schlüsselwort ist also „identifizierbar“. Darunter versteht man alles, was natürliche Personen identifizierbar macht.
Müssen die gespeicherten personenbezogenen Daten gelöscht werden?
Gemäß der DSGVO müssen personenbezogene Daten gelöscht werden, wenn sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr benötigt werden.
Es wird auch konkretisiert, dass die Speicherdauer nur auf das unbedingt erforderliche Mindestmaß beschränkt werden soll; also dass Daten nicht länger als nötig gespeichert werden.
Es gilt grundsätzlich das Verbot mit Erlaubnisvorbehalt für die Verarbeitungen von personenbezogenen Daten, worunter auch das Speichern/Aufbewahren fällt.
Insofern stellt sich die Frage, warum die Daten „wie lange für welchen Zweck“ aufbewahrt werden sollen.
Art. 17 Abs. 3 der DSGVO nennt Ausnahmen bei der Löschpflicht. So ist hier u.a. festgelegt, dass es keinen Löschanspruch gibt, wenn eine Aufbewahrung der Daten „zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedsstaaten, dem der Verantwortliche unterliegt, erforderlich ist.“
Dies sind also gesetzliche Vorschriften (Unternehmen müssen zum Beispiel handels- und steuerrechtliche Dokumente mindestens 10 Jahre aufbewahren) oder eigene berechtigte Interessen, die sorgfältig abgewogen werden müssen (gegen die Interessen der Betroffenen).
Ausnahmen gelten, wenn die Speicherung der Daten zur Erfüllung einer Verpflichtung dient.
Was sind "besondere" personenbezogene Daten?
Durch Art. 9 DSGVO wird eine "Verarbeitung besonderer Kategorien personenbezogener Daten" untersagt. Nur mit eindeutiger Einwilligung des Betroffenen oder einer speziellen Erfordernis ist die Verarbeitung dieser Daten gestattet.
Hierzu gehören u.a. folgende Daten:
- rassische und ethnische Herkunft
- politische Meinung
- religiöse und weltanschauliche Überzeugung
- Gewerkschaftszugehörigkeit
- genetische und biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben bzw. sexuelle Orientierung