Warum müssen Daten gelöscht werden?
Spätestens seit den Doppelbeschlüssen des Bundesverfassungsgerichts vom 6. November 2019 (Az. 1 BvR 16/13 und 1 BvR 276/17) ist das Recht auf Vergessenwerden und die damit einhergehenden datenschutzrechtlichen Löschungsverpflichtungen in aller Munde.
Gerade bei sensiblen personenbezogenen Daten haben die europäischen sowie deutschen Gerichte festgestellt, dass diese Angaben nicht dauerhaft zur Verfügung stehen sollen und die Möglichkeit des Vergessens mit der Zeitlichkeit der Freiheit einhergeht.
Deshalb werden vor allem durch Art. 17 DSGVO und § 35 BDSG umfassende Löschungsrechte der betroffenen Personen etabliert. Unternehmen, welche die erhobenen Daten nicht in Überstimmung mit dem Datenschutzrecht löschen, können sich Schadensersatzansprüchen, empfindlichen Bußgeldern sowie nicht monetären Sanktionen nach den Art. 82-84 DSGVO ausgesetzt sehen.
Umsetzung von Löschungsverpflichtungen.
Eine datenschutzkonforme Umsetzung dieser Löschungsverpflichtungen erfordert eine umfassende Compliance, die nicht erst dann einsetzen sollte, wenn ein behördliches Löschungsersuchen vorliegt, sondern bereits ab dem Beginn der Datenerhebung mitgedacht wird.
Dies erfordert beispielsweise im Rahmen der Entwicklung der eingesetzten Soft- sowie Hardware zur Datenerhebung bereits die Berücksichtigung des Datenschutzes („Privacy by Design“). Ebenso sind bei den Voreinstellungen datenschutzfreundliche Varianten auszuwählen („Privacy by Default“).
Um das Recht auf Vergessen entsprechend der behördlichen und gerichtlichen Vorgaben umzusetzen, müssen die Datenschutzverantwortlichen ein Verzeichnis über die Verarbeitungsaktivitäten erstellen, das unter anderem Auskunft über die verarbeiteten Daten, den Zweck der Verarbeitung, die Ablageorte sowie die gesetzlichen Aufbewahrungsfristen gibt. Nur so kann ein konkretes Löschungsersuchen im Nachhinein wirksam umgesetzt werden. Außerdem müssen umfassende datenschutzkonforme Löschungskonzepte aufgestellt werden. Mangels konkreter Gesetzesvorgaben für solche Pläne zur Löschung werden diese in der Praxis häufig anhand der DIN 66398 erstellt, die aber in jedem Fall individuell auf das jeweilige Unternehmen angepasst werden sollten.
Schließlich ist bei einem eingehenden Löschungsbegehren unverzüglich zu reagieren, weshalb es sich empfiehlt, einen internen Leitfaden zu erstellen, wie in einer solchen Situation konkret vorzugehen ist. Allerdings sind Löschungsanforderungen kritisch zu prüfen und die widerstreitenden Interessen umfassend abzuwägen. Ebenso können spezialgesetzliche Aufbewahrungspflichten, zum Beispiel nach § 257 HGB oder § 147 AO, dazu führen, dass einem Löschungsersuchen im Einzelfall nicht entsprochen werden kann.
Beratungsvorteil bei SR.
Datenschutzrechtliche Themen gehen oft einher mit vertrags- und gesellschaftsrechtlichen Fragen. Neben unserem Kernteam im öffentlichen Recht, das langjährig und erfolgreich datenschutzrechtliche Verfahren betreut, sind wir bei SR. in der Lage, die angrenzenden Rechtsgebiete im Blick zu behalten und somit eine umfassende Beratung zu gewährleisten.
Dieser Blogbeitrag wurde von Christoph Just im Zusammenarbeit mit Dr. Felix Neumann erstellt.