Jede betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet personenbezogene Daten unverzüglich zu löschen.
Seitens Verantwortlichen ist zu gewährleisten, dass er personenbezogene Daten in seinen Systemen unwiderruflich löschen kann; dies ist auch bei beauftragten Subunternehmern zu gewährleisten.
Des Weiteren sind personenbezogene Daten, welche unrechtmäßig verarbeitet werden, zu löschen.
Grundsätzlich hat der Verantwortliche personenbezogene Daten zu löschen, d.h. unabhängig von einem Verlangen der betroffenen Person, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet werden, nicht mehr notwendig sind.
Liegt eine Einwilligung einer betroffenen Person für die Verarbeitung vor und diese macht von ihrem Recht auf Löschung Gebrauch, kommt dies einem Widerruf der Einwilligung gleich. Die personenbezogenen Daten sind zu löschen.
Macht eine betroffene Person von ihrem Löschrecht Gebrauch, gilt dies für alle personenbezogenen Daten, welche der Verantwortliche über sie verarbeitet. Es sei denn, die betroffene Person beschränkt das Löschersuchen nur auf bestimmte Daten.
Der Verantwortliche hat über das Löschersuchen alle Empfänger (z.B. Auftragsverarbeiter) zu informieren, denen er personenbezogene Daten der betroffenen Person übermittelt hat.
Vor einer Löschung der personenbezogenen Daten ist allerdings zu prüfen, ob es z.B. gesetzliche Vorgaben gibt, die den Verantwortlichen über das Löschersuchen hinaus zu einer (weiteren) Verarbeitung (z.B. Speicherung aufgrund gesetzlicher Aufbewahrungspflichten) verpflichten.
Ist die Rechtgrundlage für die Verarbeitung ein Vertrag, würde bei einer Löschung der Vertrag nicht mehr erfüllt werden können, was einer Vertragskündigung gleich kommt. Das bedeutet, dass ein personenbezogenes Datum für mehrere Verarbeitungen genutzt wird und folglich ein personenbezogenes Datum unterschiedliche Lösch- bzw. Aufbewahrungsfristen hat.
Dies ist regelmäßig der Fall z.B. im Rahmen der Abgabenordnung, Steuergesetze, etc. So sind unter anderem (Arbeits-, Kauf-)Verträge i.d.R. in Deutschland 10 Jahre aufzubewahren, in Österreich 7 Jahre, in der Schweiz 10 Jahre.
Ein korrektes Löschen setzt voraus, unabhängig davon, ob der Betroffene von seinem Löschrecht Gebrauch macht oder nicht (da Löschung eine gesetzliche Verpflichtung ist):
- Es muss dokumentiert bekannt sein, wo (z.B. in welchen Systemen),
- welche personenbezogenen Daten,
- zu welchem Zweck (Zweckbindung) und
- aufgrund welcher Rechtsgrundlage (Rechtmäßigkeit der Verarbeitung)
gespeichert werden sowie
- wer Zugriff auf diese Daten hat und
- wer diese Daten löschen darf.
- Protokollierung der Löschung/Vernichtung.
Über die Löschfristen (Speicherdauer) ist die betroffene Person im Rahmen der Informationspflichten zu informieren (z.B. Datenschutzhinweise auf der Webseite).
Der Verantwortliche hat ein Löschkonzept zu erstellen. Dieses dient der Beschreibung aller technisch-organisatorischen Maßnahmen, die zur Erfüllung der Datenschutzpflichten im Zusammenhang mit dem Löschen personenbezogener Daten beim Verantwortlichen erforderlich sind.
Das Löschkonzept regelt die Löschung von elektronischen Daten wie auch von Papierunterlagen, von automatisierten wie auch nicht-automatisierten Verarbeitungen und wie diese Löschung zu erfolgen hat. Dies regelt ebenfalls die Vorgehensweise (Prozessbeschreibung) bei Löschersuchen durch die betroffene Person.
Einem Löschersuchen ist unverzüglich nachzukommen, spätestens jedoch binnen einem Monat.
Das Löschersuchen – das Anschreiben der betroffenen Person, ggf. das Löschprotokoll und das Antwortschreiben – sollte drei Jahre im Rahmen der Rechenschaftspflicht aufbewahrt werden.
Vorgehen (grober Prozessablauf):
- Bestandsaufnahme (Erhebung der Datenkategorie, Verarbeitungsort, Speicherort);
die Informationen sollten u.a. im Verzeichnis der Verarbeitungen erhoben worden sein. - Löschfristen festlegen
(Speicherpflicht, Speicherrecht, Löschfrist); - Löschkonzept erstellen
Fachlich „Was“, Technisch „Wie“, Zuständigkeit „Wer“; - Löschkonzept umsetzen
Technische und organisatorische Maßnahmen; - Löschung durchführen und dokumentieren
automatische Löschung
manuelle Löschung.
Weiterführende Informationen:
Datenschutzkonferenz Kurzpapier Nr. 11: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_11.pdf
Datenlöschen in der Cloud: https://www.adorgasolutions.de/datenloeschen-in-der-cloud-was-wirklich-nach-dem-loeschen-passiert/
Daten finden und löschen: https://www.adorgasolutions.de/datenschutz-daten-finden-und-loeschen/
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Autorin: Regina Mühlich; 16. Februar 2021