Aus Sicht der DSGVO sind personenbezogene Daten so rasch wie möglich zu löschen. Denn grundsätzlich gilt: Wenn es sich um einer Person direkt zuordenbare Daten handelt, dürfen diese Daten nur so lange gespeichert werden, wie es die gesetzlichen Aufbewahrungspflichten vorsehen. Wenn also keine gesetzlichen Aufbewahrungspflichten bestehen, müssen die Daten nach der Erfüllung des Geschäftszwecks – etwa in den Tagen nach der Veranstaltung – umgehend gelöscht werden.
Kostenlose Veranstaltungen
Dies ist vor allem bei kostenlosen Veranstaltungen der Fall, da es kein Rechnungsbegehren geben kann und es hier auch kaum zu einem Gewährleistungsfall etc. kommen wird. Der Gesetzgeber setzt zwar für die Löschung keine fixen Fristen an, erwartet aber in jedem Fall ein zeitnahes Handeln. In der Praxis hat sich aber gezeigt, dass Unternehmen viele Gründe finden, um Daten nicht sofort löschen zu müssen.
Kostenpflichtige Veranstaltungen
Hingegen gilt bei kostenpflichtigen Veranstaltungen die Aufbewahrungspflicht hinsichtlich der wirtschaftlichen Transaktionen, wie z. B. die Rechnungen zum Verkauf der Tickets bzw. Einhebung der Teilnehmergebühren. Die Daten, die für die Erstellung der Buchhaltung benötigt werden und in weiterer Folge für das Finanzamt im Rahmen einer Prüfung relevant sein könnten, dürfen daher nicht gelöscht werden.
Achten Sie auf das Prinzip der Datensparsamkeit
Auch eine gesetzliche Aufbewahrungspflicht rechtfertigt nicht die Speicherung vollständiger Datensätze, sondern bezieht sich unter Umständen nur auf ausgewählte Informationen. Alle nicht von der Aufbewahrungspflicht umfassten Daten sind daher entweder zu löschen oder können optional in anonymisierter Form (dies entspricht laut DSGVO einem Löschen) gespeichert werden. Die Erstellung eines Datenkonzepts kann dabei helfen um festzulegen, ob bestimmte Daten für Sie nicht auch in anonymisierter Form aussagekräftig genug sind. Denn sobald ein Rückschluss von den Daten auf eine Person nicht mehr möglich ist, können Sie die Daten etwa für statistische Zwecke ohne Einschränkungen verwerten.
Wichtig
Die Löschverpflichtung gilt nicht nur für einen Verantwortlichen als Veranstalter, sondern auch für alle Auftragsverarbeiter. Der Verantwortliche muss sich nach DSGVO darum kümmern, dass auch bei allen Auftragsverarbeitern die Daten gelöscht werden. Nehmen Sie daher die Löschpflicht in Ihre Auftragsverarbeitervereinbarung auf, damit Sie diese mit Auftragsverarbeitern verbindlich vereinbaren.
Tipp
Über Ihre Datenschutzerklärung können Sie aber eine andere Vorgehensweise festlegen und sich beispielsweise auch für eine längere Speicherung der Daten die Zustimmung der Teilnehmer geben lassen. Beachten Sie auch hier das Koppelungsverbot: Die Zustimmung zu über die reine Vertragserfüllung hinausgehenden Punkten muss immer rein freiwillig erfolgen. Grundsätzlich darf eine solche Zustimmung nicht davon abhängig gemacht werden, ob der Teilnehmer die Hauptleistung – in unserem Fall die Teilnahme an der Veranstaltung – erhält.
