Unterliegen die Daten von Verstorbenen der DSGVO?
Grundsätzlich nicht!
Grundsätzlich gilt, dass die Daten verstorbener Personen nicht von der DSGVO betroffen sind, wie in Erwägungsgrund 27 signalisiert wird: " Diese Verordnung gilt nicht für personenbezogene Daten verstorbener Personen. Die Mitgliedstaaten können Vorschriften über die Verarbeitung der personenbezogenen Daten verstorbener Personen vorsehen ".
Dies ist also einer der wenigen Punkte in der DSGVO, die von Land zu Land unterschiedlich sein können. In den meisten Ländern gilt die DSGVO nicht für die personenbezogenen Daten einer verstorbenen Person, aber wir empfehlen im Zweifelsfall, diesen Punkt mit dem nationalen Gesetz zu überprüfen. Einige Länder gewähren nämlich den Erben Rechte oder gehen davon aus, dass die Daten der betroffenen Person für einen bestimmten Zeitraum nach ihrem Tod der DSGVO unterliegen.
Müssen wir die Daten von verstorbenen Personen aus unseren Datenbanken löschen?
Nach der GDPR sind Unternehmen gesetzlich verpflichtet, ihre Daten auf dem neuesten Stand zu halten, was theoretisch bedeutet, dass Daten von verstorbenen Personen gelöscht werden müssten.
Dennoch gibt es Vorschriften, die die Aufbewahrung von Daten über den Tod hinaus vorschreiben. Zum Beispiel schreiben die Buchhaltungsgesetze vor, dass alle Käufe und Zahlungen während der gesetzlichen Aufbewahrungsfrist aufbewahrt werden müssen, auch wenn ein Kunde verstorben ist.
Achten Sie auf die Haltbarkeitsdauer!
Die DSGVO schreibt vor, dass Daten nicht länger aufbewahrt werden dürfen, als es entweder aufgrund eines Gesetzes oder einer Verordnung oder aufgrund des Zwecks der Datenverarbeitung erforderlich ist.
In der Realität stellen wir jedoch häufig fest, dass die Datenvernichtung am Ende der Lebensdauer eher theoretischer Natur ist und dass oftmals keine systematischen Mechanismen zur Datenvernichtung eingeführt werden.
Indem wir die Daten nicht vernichten, gehen wir ein Risiko ein
Da Cyberkriminalität ein weit verbreitetes Übel ist, kann der für die Verarbeitung Verantwortliche haftbar gemacht werden, wenn personenbezogene Daten, die sich beispielsweise auf verstorbene Personen beziehen und die er hätte vernichten müssen, gestohlen und verbreitet werden.
Fazit überwachen Sie Daten am Ende ihrer Lebensdauer
Als für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter sind Sie für die Verwaltung der Aufbewahrungsfristen von Daten und insbesondere von verstorbenen Personen verantwortlich.
Sind Sie sicher, dass Sie einen Mechanismus zur Vernichtung von Daten am Ende ihrer Lebensdauer vorgesehen haben?
Lust auf mehr?
Suchen Sie eine schlüsselfertige Lösung für Ihr DSGVO-Management?
Kontaktieren Sie uns, um mehr über unsere Lösung und ihre Anwendungen zu erfahren.
