Ich gehe davon aus, dass Antwortschreiben an Betroffene - sprich, alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34 - der Dokumentations- und Nachweispflicht unterliegen (accountability).
Dabei stellt sich nun die Frage nach der jeweiligen Dauer der Aufbewahrungspflicht:
Art. 15 DSGVO Auskunftsrecht der betroffenen Person
Art. 16 DSGVO Recht auf Berichtigung
Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“)
Art. 18 Recht auf Einschränkung der Verarbeitung
Art. 19Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Art. 20 Recht auf Datenübertragbarkeit
Art. 21 Widerspruchsrecht
Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Über eine Einschätzung der diesbezüglichen Aufbewahrungsfristen würde ich mich sehr freuen.
Ein weiterer Grund hat eine identische Verjährungsfrist: § 31 OWiG.
Nachdem der Verstoß gegen Datenschutzvorschriften normalerweise eine Ordnungswidrigkeit wäre, müsste man 3 Jahre nachweisen, dass man sich bei der Bearbeitung von Betroffenenanträgen vorschriftskonform verhalten hat. Sonst droht Ordnungsstrafe (Bußgeld).
Ab und zu äußern sich Aufsichtsbehörden, dass man Daten (den Antrag und die Beantwortung) nicht länger aufbewahren soll als die Bearbeitung dauert. Aber lass sich mal jemand beschweren oder klagen, und hab dann im Gegensatz zur betroffenen Person keinen Nachweis, dass überhaupt ein Antrag eingegangen ist; geschweige denn dass er korrekt beantwortet wurde.
Die Kommunikation kann wegen der Vertraulichkeit beim DSB deponiert und nach 3 Jahren gelöscht werden.
D., der dazu allerdings nicht empfielt, gelöschte Daten vorher zu kopieren, um nachzuweisen, was genau gelöscht wurde. Nein, wirklich nicht. (Der schon Leute gesehen hat, die Unterlagen vor dem Faxversand kopierten, damit Unikate dann nicht weg sind.)
Besten Dank für den Hinweis auf Verjährungsfrist: § 31 OWiG
Allerdings habe ich Bedenken, ob dies auf alle oben genannten Punkte anwendbar ist?
Zum Beispiel:
Art. 15 DSGVO Auskunftsrecht der betroffenen Person → 1 Jahr
Der Nachweis der erteilten Auskunft kann zur Abwehr gegen exzessive, kurzfristig wiederholte Auskunftsersuchen eingesetzt werden.
Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“)
Nach meiner Vermutung müsste, sobald der Löschantrag umgesetzt ist, auch der personenbezogene Schriftwechsel gelöscht werden, also sofort .
Wohingegen eine “Einwilligung in elektronische Werbung” gemäß Art. 7a UWG für 5 Jahre zu Nachweiszwecken aufbewahrt werden müsste.
PS
Als Ort für die Archivierung der nachweispflichtigen Dokumentation (“Rechenschaftspflicht”) gemäß Art. 5 (2), DSGVO sehe ich nicht die Stelle des Datenschutzbeauftragten, sondern den Verantwortlichen, ggf. also eine Fachabteilung.
Über weitere Hinweise oder Diskussion würde ich mich sehr freuen.