AdOrga Solutions GmbH - DSGVO

Jede be­trof­fe­ne Person hat das Recht, von dem Ver­ant­wort­li­chen zu ver­lan­gen, dass sie be­tref­fen­de per­so­nen­be­zo­ge­ne Daten un­ver­züg­lich ge­löscht werden, und der Ver­ant­wort­li­che ist ver­pflich­tet per­so­nen­be­zo­ge­ne Daten un­ver­züg­lich zu löschen.
Seitens Ver­ant­wort­li­chen ist zu ge­währ­leis­ten, dass er per­so­nen­be­zo­ge­ne Daten in seinen Sys­te­men un­wi­der­ruf­lich löschen kann; dies ist auch bei be­auf­trag­ten Sub­un­ter­neh­mern zu gewährleisten.

Des Wei­te­ren sind per­so­nen­be­zo­ge­ne Daten, welche un­recht­mä­ßig ver­ar­bei­tet werden, zu löschen.

Grund­sätz­lich hat der Ver­ant­wort­li­che per­so­nen­be­zo­ge­ne Daten zu löschen, d.h. un­ab­hän­gig von einem Ver­lan­gen der be­trof­fe­nen Person, wenn die per­so­nen­be­zo­ge­nen Daten für die Zwecke, für die sie erhoben oder auf sons­ti­ge Weise ver­ar­bei­tet werden, nicht mehr not­wen­dig sind.
Liegt eine Ein­wil­li­gung einer be­trof­fe­nen Person für die Ver­ar­bei­tung vor und diese macht von ihrem Recht auf Lö­schung Ge­brauch, kommt dies einem Wi­der­ruf der Ein­wil­li­gung gleich. Die per­so­nen­be­zo­ge­nen Daten sind zu löschen.
Macht eine be­trof­fe­ne Person von ihrem Lösch­recht Ge­brauch, gilt dies für alle per­so­nen­be­zo­ge­nen Daten, welche der Ver­ant­wort­li­che über sie ver­ar­bei­tet. Es sei denn, die be­trof­fe­ne Person be­schränkt das Lö­scher­su­chen nur auf be­stimm­te Daten.

Der Ver­ant­wort­li­che hat über das Lö­scher­su­chen alle Emp­fän­ger (z.B. Auf­trags­ver­ar­bei­ter) zu in­for­mie­ren, denen er per­so­nen­be­zo­ge­ne Daten der be­trof­fe­nen Person über­mit­telt hat.
Vor einer Lö­schung der per­so­nen­be­zo­ge­nen Daten ist al­ler­dings zu prüfen, ob es z.B. ge­setz­li­che Vor­ga­ben gibt, die den Ver­ant­wort­li­chen über das Lö­scher­su­chen hinaus zu einer (wei­te­ren) Ver­ar­bei­tung (z.B. Spei­che­rung auf­grund ge­setz­li­cher Auf­be­wah­rungs­pflich­ten) verpflichten.

Ist die Recht­grund­la­ge für die Ver­ar­bei­tung ein Vertrag, würde bei einer Lö­schung der Vertrag nicht mehr erfüllt werden können, was einer Ver­trags­kün­di­gung gleich kommt. Das be­deu­tet, dass ein per­so­nen­be­zo­ge­nes Datum für mehrere Ver­ar­bei­tun­gen genutzt wird und folg­lich ein per­so­nen­be­zo­ge­nes Datum un­ter­schied­li­che Lösch- bzw. Auf­be­wah­rungs­fris­ten hat.
Dies ist re­gel­mä­ßig der Fall z.B. im Rahmen der Ab­ga­ben­ord­nung, Steu­er­ge­set­ze, etc.  So sind unter anderem (Arbeits-, Kauf-)Verträge i.d.R. in Deutsch­land 10 Jahre auf­zu­be­wah­ren, in Ös­ter­reich 7 Jahre, in der Schweiz 10 Jahre.

Ein kor­rek­tes Löschen setzt voraus, un­ab­hän­gig davon, ob der Be­trof­fe­ne von seinem Lösch­recht Ge­brauch macht oder nicht (da Lö­schung eine ge­setz­li­che Ver­pflich­tung ist):

  • Es muss do­ku­men­tiert bekannt sein, wo (z.B. in welchen Systemen),
  • welche per­so­nen­be­zo­ge­nen Daten,
  • zu welchem Zweck (Zweck­bin­dung) und
  • auf­grund welcher Rechts­grund­la­ge (Recht­mä­ßig­keit der Verarbeitung)

ge­spei­chert werden sowie

  • wer Zugriff auf diese Daten hat und
  • wer diese Daten löschen darf.
  • Pro­to­kol­lie­rung der Löschung/Vernichtung.

Über die Lösch­fris­ten (Spei­cher­dau­er) ist die be­trof­fe­ne Person im Rahmen der In­for­ma­ti­ons­pflich­ten zu in­for­mie­ren (z.B. Da­ten­schutz­hin­wei­se auf der Webseite).
Der Ver­ant­wort­li­che hat ein Lösch­kon­zept zu er­stel­len. Dieses dient der Be­schrei­bung aller tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men, die zur Er­fül­lung der Da­ten­schutz­pflich­ten im Zu­sam­men­hang mit dem Löschen per­so­nen­be­zo­ge­ner Daten beim Ver­ant­wort­li­chen er­for­der­lich sind.

Das Lösch­kon­zept regelt die Lö­schung von elek­tro­ni­schen Daten wie auch von Pa­pier­un­ter­la­gen, von au­to­ma­ti­sier­ten wie auch nicht-au­­to­­ma­­ti­­sier­­ten Ver­ar­bei­tun­gen und wie diese Lö­schung zu er­fol­gen hat. Dies regelt eben­falls die Vor­ge­hens­wei­se (Pro­zess­be­schrei­bung) bei Lö­scher­su­chen durch die be­trof­fe­ne Person.

Einem Lö­scher­su­chen ist un­ver­züg­lich nach­zu­kom­men, spä­tes­tens jedoch binnen einem Monat.

Das Lö­scher­su­chen – das An­schrei­ben der be­trof­fe­nen Person, ggf. das Lösch­pro­to­koll und das Ant­wort­schrei­ben – sollte drei Jahre im Rahmen der Re­chen­schafts­pflicht auf­be­wahrt werden.

Vor­ge­hen (grober Prozessablauf):

  • Be­stands­auf­nah­me (Er­he­bung der Da­ten­ka­te­go­rie, Ver­ar­bei­tungs­ort, Speicherort);
    die In­for­ma­tio­nen sollten u.a. im Ver­zeich­nis der Ver­ar­bei­tun­gen erhoben worden sein.
  • Lösch­fris­ten festlegen
    (Spei­cher­pflicht, Spei­cher­recht, Löschfrist);
  • Lösch­kon­zept erstellen
    Fach­lich „Was“, Tech­nisch „Wie“, Zu­stän­dig­keit „Wer“;
  • Lösch­kon­zept umsetzen
    Tech­ni­sche und or­ga­ni­sa­to­ri­sche Maßnahmen;
  • Lö­schung durch­füh­ren und dokumentieren
    au­to­ma­ti­sche Löschung
    ma­nu­el­le Löschung.

Wei­ter­füh­ren­de Informationen:
Da­ten­schutz­kon­fe­renz Kurz­pa­pier Nr. 11:  https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_11.pdf
Da­ten­lö­schen in der Cloud: https://www.adorgasolutions.de/datenloeschen-in-der-cloud-was-wirklich-nach-dem-loeschen-passiert/ 
Daten finden und löschen: https://www.adorgasolutions.de/datenschutz-daten-finden-und-loeschen/

 

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Autorin: Regina Mühlich; 16. Februar 2021

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!