Wie sollte man die Löschung gem. DSGVO umsetzen?

Nach der Datenschutzgrundverordnung (DSGVO) stehen betroffenen Personen, deren personenbezogene Daten verarbeitet werden, verschiedene Rechte gegen den Verantwortlichen im datenschutzrechtlichen Sinne zu.

Neben dem Recht auf Information (Art. 13, 14 DSGVO), Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO), steht Betroffenen das Recht auf Löschung (Art. 17 DSGVO) zu. Dieses Recht wird auch als «Recht auf Vergessenwerden» bezeichnet.

Anspruchsvoraussetzungen

Der Löschanspruch ist grundsätzlich gegen den Verantwortlichen geltend zu machen, d.h. gegen jene Stelle die über Zweck und Mittel der Datenverarbeitung entscheidet. Dies können neben Behörden und Unternehmen auch Privatpersonen sein.

Der Anspruch entsteht, sofern einer der Gründe des Art. 17 Abs. 1 lit. a-f DSGVO einschlägig ist, z.B. wenn die erhobenen Daten für den konkreten Verarbeitungszweck nicht mehr notwendig sind (lit. a) oder Betroffene ihre Einwilligung in die Datenverarbeitung widerrufen (lit. a).

Keinen Anspruch auf Löschung haben Betroffene allerdings, sofern spezialgesetzliche Aufbewahrungspflichten wie beispielsweise steuer- oder arbeitsrechtliche Aufbewahrungspflichten die fortdauerte Speicherung der Daten verlangen.

Umsetzung

Sofern überprüft wurde, ob die Voraussetzungen für eine Löschung vorliegen, müssen Verantwortliche dieses Begehren in die Tat umsetzen. Dazu müssen organisatorische als auch technische Maßnahmen im jeweiligen Unternehmens-, Behörden,- Geschäftsprozess implementiert und ergriffen werden.

Dazu hält der Gesetzgeber allerdings keine Handlungsanweisung bereit, denn Art. 17 Abs. 1 DSGVO regelt lediglich, dass der Verantwortliche «unverzüglich» zu löschen hat, sobald die Voraussetzungen des Löschanspruchs gegeben sind. Unverzüglich bedeutet nach allgemeinem juristischem Sprachgebrauch «ohne schuldhaftes Zögern», was zur Folge hat, dass es jeweils eine Frage des Einzelfalles ist, ob ein Löschanspruch «fristwahrend» umgesetzt wurde oder nicht.

In der Praxis kann dies je nach Verantwortlichem und dessen IT- und Organisationsstruktur variieren, wobei nachvollziehbar feststeht, dass an eine Privatperson, die aus privaten oder beruflichen Gründen rechtmäßig personenbezogene Daten verarbeitet, nicht die gleichen Maßstäbe angelegt werden, wie an ein Unternehmen mit eigener IT-Abteilung und strukturierter Organisation.

Allerdings ergibt sich aus Art. 12 Abs. 3 DSGVO, dass die Löschung innerhalb eines Monats durchgeführt und nach Art. 19 DSGVO wiederum innerhalb eines Monats die erfolgreiche Löschung dem Betroffenen mitgeteilt werden muss.

Neben der zeitlichen Komponente muss auch das eigentliche Löschen «ordnungsgemäß» erfolgen. Dazu muss zunächst festgestellt werden, dass unter «löschen» die Unkenntlichmachung zu verstehen ist.

Dies kann zum einen durch eine datenschutzkonforme Vernichtung (z.B. ISO-zertifiziert) oder aber durch eine ausreichende Anonymisierung erfolgen. Hinsichtlich der Vernichtung ist es nicht ausreichend, die entsprechenden Daten, Akten oder Datenträger einfach zu entsorgen oder verschlüsselt abzuspeichern. Unternehmen ist daher anzuraten entsprechende Löschkonzepte aufzustellen, nicht zuletzt, um solche potenziellen Massenanfragen für Löschansprüche effizient und effektiv umzusetzen. Denn eine weitergehende Speicherung, obwohl die Voraussetzungen für eine Löschung vorlagen und ggf. auch bereits geltend gemacht wurden, stellt eine unrechtmäßige Datenverarbeitung dar, die eine Beschwerde der betroffenen Person bei der zuständigen Datenschutzaufsichtsbehörde oder Kontroll- und Sanktionsmaßnahmen der selbigen zur Folge haben kann.

Ein gut aufgestelltes Löschkonzept, welches mit oder aus einem erstellten Datenverarbeitungsverzeichnis im Sinne des Art. 30 DSGVO erarbeitet werden kann, ist daher zwingend erforderlich um das Recht auf Löschung zu gewährleisten.

Neben dem eigentlichen Löschvorgang sieht die DSGVO vor, ebendiesen auch zu protokollieren. In einem solchen Löschprotokoll sollen allerdings wiederum keine personenbezogenen Daten verarbeitet werden, denn dies würde dem Recht auf Löschung nicht genüge tun. Allerdings sollte der Löschvorgang an sich ersichtlich und nachvollziehbar sein, da dieses Löschprotokoll auf Anfrage der Betroffenen oder der zuständigen Datenschutzaufsichtsbehörde gegebenenfalls vorzuzeigen ist.

Das Recht auf Löschung stellt Unternehmen vor technische und organisatorische Herausforderungen, doch gehört der professionelle Umgang mit den Betroffenenrechten zu den Kernelementen der DSGVO und sollte daher auch als Kernprozesse im Datenschutz eines Unternehmens oder einer verantwortlichen Stelle eingepflegt und gelebt werden.

Marc E. Evers

Rechtsanwalt

zert. DSB

zert. DS-Auditor