Sie wissen nicht, ob und wie lange Sie Personenbezogene Daten aufbewahren dürfen? Studierende möchten, dass ihre Daten gelöscht werden? Oft wird das Thema Löschen nicht ernst genug genommen. Personenbezogene Daten dürfen aber nur so lange gespeichert werden, wie es notwendig ist. Hier ist eine Übersicht, was Sie beim Löschen beachten müssen.
Verantwortlich im Sinne der DSGVO ist die jeweilige Hochschule. Allerdings muss das Löschen durch die jeweilige Organisationseinheit selbstständig wahrgenommen werden. Nur dort ist bekannt, welche Daten wo existieren und welche Daten entfernt werden können oder müssen. Bei Forschungsprojekten kann es zum Beispiel der Projektverantwortliche sein, der die Löschung durchführt und dokumentiert und bei den Organisationseinheiten ist die jeweilige Leitung für die Durchführung der Löschung zuständig. Natürlich kann diese Aufgabe innerhalb des Zuständigkeitsbereiches auch an weitere Hochschulmitarbeitende delegiert werden.
Daten müssen gelöscht werden, um das Recht auf informationelle Selbstbestimmung zu schützen. Dieses Recht besagt, dass jede Person selbst darüber bestimmen darf, wer ihre persönlichen Daten erhebt, speichert und nutzt. Es ist ein wichtiger Teil des Datenschutzes und sichert die Privatsphäre.
Das bedeutet für die Hochschulen, Personenbezogene Daten müssen gelöscht werden, wenn eine Person das verlangt, der Zweck erfüllt wurde oder es keinen weiteren Grund gibt, die Daten zu behalten. Das ergibt sich aus den datenschutzrechtlichen Grundsätzen der Datensparsamkeit und der Zweckbindung. Den Hochschulen obliegt somit eine aktive Pflicht zur Löschung.
Artikel 17 Abs. 1 a)-f) DSGVO nennt mehrere Gründe, warum Personenbezogene Daten gelöscht werden müssen.
Diese Gründe stellen sicher, dass Personenbezogene Daten nur so lange gespeichert werden, wie es wirklich notwendig ist, und schützen die Rechte der betroffenen Personen.
Beim Löschen können teilweise gesetzliche Vorgaben oder auch hochschulinterne Rechtsakte (Satzungen/Ordnungen) Bestimmungen zu Aufbewahrungspflichten beinhalten.
Studierendenverwaltung
Bewerbende, Immatrikulation, Studium (Studien- oder Prüfungsordnungen) und Speicherung nach Abschluss des Studiums.
Abgelehnte Bewerbende
Personenbezogene Daten Bewerbender, die abgelehnt wurden, sollten nach einem Zeitraum, wo möglicherweise mit Studienplatzklagen zu rechnen ist, gelöscht werden. Gerade hier liegt anders als bei den Studierenden, die einen Studienplatz erhalten haben, kein weiterer Zweck vor, die personenbezogenen Daten der abgelehnten Bewerbenden weiterer zu speichern. Auch der Grund, dass bei einer erneuten Bewerbung der Bewerbenden bereits erforderliche Personenbezogene Daten vorliegen, greift nicht, da nicht vorhersehbar ist, ob die Bewerbenden sich erneut bewerben.
Immatrikulation
Ab der Immatrikulation gelten häufig die Immatrikulationsordnungen, die auch Bestimmungen zu Aufbewahrungsfristen enthalten können. Auch hier dürfen nur die personenbezogenen Daten der immatrikulierten Studierenden gespeichert werden, die für die Immatrikulation erforderlich sind. Weitere Kategorien personenbezogener Daten zu speichern, über welche die Hochschule einfach grundsätzlich gern verfügen möchte, um so viele Informationen wie möglich über die immatrikulierten Studierenden zu haben, dürfen nicht erhoben und auch dementsprechend nicht gespeichert werden.
Studium/Prüfung
Zu einem späteren Zeitpunkt können in Studien- oder Prüfungsordnungen Bestimmungen zu Aufbewahrungsfirsten bestehen. Gerade hier kann es Bestimmungen zu der Aufbewahrungsfrist von Prüfungsarbeiten (z.B. Klausuren, Hausarbeiten) geben. Hier ist auch entscheidend, dass in der Praxis darauf geachtet werden sollte, dass vorgegebene Löschfristen nicht dadurch umgangen werden, dass Klausuren oder Hausarbeiten z.B. an Lehrstühlen länger aufbewahrt werden als dies vorgeben ist. Einen Überblick über die Vernichtung von Prüfungsarbeiten kann man nur haben, wenn die Hochschule auch genau weiß, wo sich diese Prüfungsarbeiten befinden.
Nach Abschluss des Studiums
Häufig gibt es hierzu Bestimmungen in Aktenordnungen, wie lange Personenbezogene Daten von exmatrikulierten Studierenden aufbewahrt werden dürfen. Dabei gibt es jedoch an den Hochschulen zumeist nur Bestimmungen über die Aufbewahrung einer gesamten Studierendenakten. In dem Zusammenhang steht jedoch im Raum, ob es erforderlich ist, dass die verschiedenen Kategorien personenbezogener Daten in einer Studienakte alle gleich lang aufbewahrt werden. Es ist zu empfehlen, dass die Hochschulen hier Vorgaben machen, welche Inhalte der Studierendenakten wie lang aufbewahrt werden müssen. Als Beispiel hierfür dient der Aspekt, inwiefern z.B. sämtliche Prüfungsdaten so lange aufbewahrt werden müssen wie die Prüfungsdaten des Abschlusszeugnisses.
Personalverwaltung
Beschäftigtendaten sollten grundsätzlich nach Beendigung eines Beschäftigungsverhältnisses gem. § 10 Absatz 6 Satz 3 HmbDSG gelöscht werden. Eine Ausnahme besteht jedoch, wenn der Löschung Rechtsvorschriften entgegenstehen, wie beispielsweise die sogenannten Aufbewahrungspflichten. Im Bereich des Personalwesens sind grundsätzlich die Aufbewahrungspflichten des § 257 Handelsgesetzbuch und des § 147 Abgabenordnung zu berücksichtigen.
Folgende Tabelle greift noch das Thema Löschen in erster Linie bezogen auf einzelne Bestandteile einer Personalakte bzw. Bewerbung auf:
Betreff | Löschungsfrist | Rechtsgrundlagen |
Bewerbungsunterlagen | s. 2-Monatsfrist in § 15 Abs. 4 AGG zzgl. „Sicherheitszuschlag“ von 3 Monaten | |
Personalakten | Personalakten sind nach ihrem Abschluss von der personalaktenführenden Behörde fünf Jahre aufzubewahren. | § 91 Abs. 1 HmbBG
|
Unterlagen über Beihilfen, Unterstützungen, Erkrankungen, Umzugs- und Reisekosten | Unterlagen über Beihilfen, Unterstützungen, Erkrankungen, Umzugs- und Reisekosten sind fünf Jahre aufzubewahren. | § 91 Abs. 2 HmbBG
|
Unterlagen über Erholungsurlaub | Unterlagen über Erholungsurlaub sind drei Jahre aufzubewahren. | § 91 Abs. 2 HmbBG
|
Versorgungs- und Altersgeldakten | Versorgungs- und Altersgeldakten sind fünf Jahre aufzubewahren. | § 91 Abs. 3 HmbBG |
Hochschulen müssen sicherstellen, dass sie Daten nur so lange aufbewahren, wie es für die Erfüllung des jeweiligen Zwecks erforderlich ist. Eine Löschregel kann dabei helfen. Sie beschreibt, wann und wie die zu löschenden Daten zu löschen sind.
Das Einführen und Umsetzen von Löschregeln stellt aus unterschiedlichen Gründen eine gesetzliche Verpflichtung dar:
Rechtliche Grundlagen
Risikobewertung
Zweckbindung und Erforderlichkeit
Löschfristen definieren
Automatisierte Löschprozesse: Wo möglich, sollten automatisierte Systeme implementiert werden, die Daten nach Ablauf der festgelegten Fristen automatisch löschen.
Dokumentation und Nachweis
Schulung und Sensibilisierung
Kontinuierliche Überprüfung
Mit Löschen ist nicht zwingend das Vernichten eines Datensatzes gemeint. Vielmehr ist damit gemeint, dass Personenbezogene Daten durch einen Prozess derart verändert werden, dass sie anschließend nicht mehr vorhanden oder unkenntlich sind. Demzufolge kann eine Löschung auch im Wege einer Anonymisierung erfolgen, sofern der Verantwortliche diese nicht mehr rückgängig machen kann. Wichtig ist, dass am Ende der Personenbezug nicht mehr vorhanden ist. Die Löschmethoden orientieren sich nach der Art der Daten:
Akten- und Papierdokumente:
Für die Entsorgung von Akten und Papieren gibt es unterschiedliche Anforderungen unterschiedliche Qualitäten. Eine sichere Entsorgung ist das Schreddern. Vielleicht haben einige einen kleinen Schredder in ihrem Büro. Ansonsten haben viele Hochschule an festen Standpunkten sog. Sicherheitsbehälter von externen Dienstleistern, die für die Hochschulen die datenschutzkonforme Vernichtung übernehmen.
Digitale Daten und Hardware:
Durch die Anwendung dieser Maßnahmen stellt die Hochschule sicher, dass sowohl physische als auch digitale Daten datenschutzkonform und unwiderruflich gelöscht werden.
Jede Organisationseinheit sollte für sich verbindliche Prozesse in Form von Löschregeln festlegen.
Auch bei der Löschung spielen die Grundsätze über die Verarbeitung personenbezogener Daten eine Rolle. Nachstehend zeigen wir, wo:
Bei der Erstellung einer Datenschutzinformation gemäß Art. 13 DSGVO muss bei jeder Verarbeitung auch die Löschfrist für Personenbezogene Daten angegeben werden. Dies bedeutet, dass die Hochschule transparent darlegen muss, wie lange die erhobenen Daten bei der jeweiligen Datenverarbeitung gespeichert werden und wann sie gelöscht werden.
Beispiel aus dem Hochschulbereich: Wenn eine Hochschule Personenbezogene Daten von Bewerber:innen für Studiengänge erhebt, sollte in der Datenschutzinformation angegeben werden, dass die Daten der abgelehnten Bewerber:innen sechs Monate nach Abschluss des Auswahlverfahrens gelöscht werden, es sei denn, es gibt eine Einwilligung für eine längere Speicherung, beispielsweise für zukünftige Auswahlverfahren.
Die Löschfrist spielt im Verarbeitungsverzeichnis gemäß Art. 30 DSGVO eine zentrale Rolle, da sie ein wesentlicher Bestandteil der Dokumentation und Verwaltung der Verarbeitungstätigkeiten ist. Im Verarbeitungsverzeichnis müssen Hochschulen unter anderem angeben, wie lange Personenbezogene Daten gespeichert werden und wann diese gelöscht werden.
Rolle der Löschfrist im Verarbeitungsverzeichnis:
Vorteile für die Hochschule:
Insgesamt ermöglicht die Integration von Löschfristen im Verarbeitungsverzeichnis der Hochschule, den Datenschutz effektiver zu managen, gesetzliche Anforderungen zu erfüllen und ihre operativen Abläufe zu optimieren.
Manchmal möchten Personen (zum Beispiel Studierende oder Mitarbeitende), dass ihre Daten gelöscht werden. Das passiert oft, wenn die Person vorab ihr Auskunftsrecht geltend gemacht hat. Wenn die Personen nämlich wissen, was über sie verarbeitet wird, erfolgt im Anschluss häufig der Wunsch, bestimmte Daten auch zu löschen.
Die einzelnen Hochschulen haben hier jedoch Vorgaben dazu, wie mit einem solchen Löschbegehren umgegangen werden soll. Zunächst muss in diesem Zusammenhang beachtet werden, dass den Betroffenen innerhalb eines Monats geantwortet werden muss. Häufig erfolgt die Koordination eines Löschbegehrens (also auch die Frage, wo überall an der Hochschule Personenbezogene Daten der Betroffenen vorhanden sind) über die Datenschutzkoordination. Deshalb sollte den Betroffenen grundsätzlich nicht selbstständig geantwortet werden, sondern Rücksprache mit der Datenschutzkoordination gehalten werden.
Sollten Personenbezogene Daten nicht gelöscht werden, oder kommt eine Hochschule ihrer Löschverpflichtung bei einzelnen Prozessen nicht nach, so können die Hochschulen durch die Datenschutzaufsichtsbehörde mit einer Maßnahme nach Art. 58 DSGVO, zum Beispiel einer Verwarnung oder einer Löschanordnung, konfrontiert werden.