Frage 1 des GDD Erfa-Kreises Würzburg:
Ist es falsch bzw. datenschutzrechtlich unrechtmäßig, wenn ich für eine Datenverarbeitung, die mir bereits das Gesetz in z.B. § 28 / 32 BDSG und Art. 6 I b) ff DS-GVO (beispielsweise die Verarbeitung von Mitarbeiterdaten in der Personalakte) gestattet, zusätzlich noch eine Einwilligung (mit Widerrufshinweis) einhole?
Antwort des BayLDA:
Es ist falsch, für eine zu Vertragszwecken erforderliche Verarbeitung personenbezogener Daten noch eine Einwilligung einzuholen, da einer solchen Einwilligung keine freie Entscheidung zugrunde liegen kann; die Daten sind ja für den Vertragszweck erforderlich.
Frage 2 des GDD Erfa-Kreises Würzburg:
Wie lange soll man Log-Daten zur Gewährleistung der Eingabekontrolle aufbewahren? Standardmäßig können Log-Daten für eigene Zwecke bis zu 7 Tage aufbewahrt werden. Gilt dies auch für den Zweck der Eingabekontrolle?
Antwort des BayLDA:
Die Eingabekontrolle gibt es unter der DS-GVO nicht mehr. Es stellt sich bei der Frage der Aufbewahrungsdauer immer die Frage, welche Art von personenbezogenen Daten aufgezeichnet wird und was der konkrete Zweck der Aufzeichnung ist. Soll z.B. in einem Arztinformationssystem nachvollziehbar gemacht werden, wer Daten eines Patienten eingegeben/geändert hat, könnte die Aufbewahrungsdauer dieser Log-Datensätze gleich lange wie die Dauer der Aufzeichnung der Patientendaten als solche (z.B. so lange eine Behandlung andauert) sein. Dies dürfte in den meisten Fällen deutlich länger als 7 Tage sein.
©Fotolia_13625500_vege.jpg