Seite auswählen

Recht auf Vergessenwerden

Nach der Datenschutzgrundverordnung (DS-GVO) muss jeder Unternehmer, der personenbezogene Daten verarbeitet, ein Konzept (wie bsp. DIN 66398) haben, wie er solche Daten löscht. Aus Art. 17 DS-GVO ergibt sich das Recht auf Löschung und das Recht auf Vergessenwerden. Das dem zugrunde liegende Prinzip der Speicherminimierung ergibt sich aus Art. 5 DS-GVO. Darüber muss der Verantwortliche Rechenschaft ablegen können und den Dokumentationspflichten genügen. Andernfalls droht ein Bußgeld. Betroffene haben zudem das Recht auf Auskunft, ob deren Daten gelöscht wurden, wenn sie beispielsweise ihre Einwilligung widerrufen haben.

 Löschkonzept nach DIN 66398

Es bestehen verschiedene Modelle, wie man Daten datenschutzkonform löschen kann. Die bayerische Aufsichtsbehörde hat beispielsweise auf ihrer Homepage, Empfehlungen veröffentlicht. Mir scheint bislang das Löschkonzept nach der DIN 66398 praktikabel, da es mit relativ geringen Aufwand implementiert werden kann.

Beispielhafte Vorgehensweise:

  1. Es werden zuerst die verschiedenen Datenarten bestimmt. Beispielsweise Kundendaten, Mitarbeiterdaten oder gegebenenfalls besondere Daten nach Art. 9 DS-GVO.
  2. Danach ist festzustellen, welche Aufbewahrungsfristen gelten. Je nach Branche und Datenart ist das unterschiedlich. So müsste beispielsweise eine Telefonnummer nicht über zehn Jahre lang gespeichert sein.
  3. Dann wird aufgelistet, wo die entsprechenden Daten gespeichert bzw. abgelegt sind?
  4. Es wird geprüft, ob Daten mit Auftragsverarbeiter und deren Systeme ausgetauscht werden?
  5. Danach werden diese Daten in sogenannte Löschklassen sortiert. Es werden die Daten mit gleichen Fristen zu einer Löschklasse zusammengefasst. Da der nach Art. 9 DS-GVO sollten in eine separate Löschklasse gruppiert werden.
  6. Es werden sodann die Löschfristen notiert. Dies wird unter dem Stichpunkt Löschregeln zusammengefasst. Startzeitpunkt ist die Verarbeitung des personenbezogenen Datums und Endzeitpunkt ist die gesetzliche Aufbewahrungsfrist oder Widerruf der Einwilligung oder Ablauf der vertraglichen Verpflichtung. Das wäre eine sogenannte Umsetzungsregel.
  7. Diese ganzen Vorgänge muss dokumentiert werden.

Beispiel für eine Löschklasse:

 

Kategorie Reklamationsdaten Kunden, Forderungen Löschung Pseudonymisierung

Anonymisierung

Aufbewahrungsfristen 4 Jahre wegen Verjährung
Erhebung 31.01.2019
Ende 01.01.2023

 

Jedes Unternehmen hat seine eigenen Besonderheiten. Es kommt zudem darauf an, welche Softwaresysteme genutzt werden. So werden beispielsweise Daten unterschiedlich archiviert. Hierbei ist stets darauf zu achten, dass gelöschte Daten, nicht irgendwo in Sicherungskopien auftauchen. Letztlich ist auch ein Wiedervorlagesystem unumgänglich und ein Verfahren zur Dokumentation essentiell.  Bei manchen Daten wird es zudem nicht notwendig sein, diese zu löschen, sondern lediglich zu anonymisieren.

Da Datenschutzgrundverordnung (DS-GVO) ist noch sehr jung und es existiert daher keine umfangreiche Rechtsprechung. Insofern ist auch bei der Thematik der Löschung von Daten Vorsicht geboten. Vieles ist noch unsicher und dieses Thema sollte als dynamischer Prozess betrachtet werden. Für die Behörde wird es entscheidend darauf ankommen, dass der Unternehmer sich Überlegungen gemacht hat. Hat er ein Konzept und weist dieses Lücken auf, wird er im Zweifel mit einem milderen Bußgeld belegt werden, als der Unternehmer, der gar keines hat.

Bei Fragen rund um die Erstellung eines Löschkonzepts und über das Datenschutzrecht allgemein, können Sie mich jederzeit unter  069 59 77 80 28 telefonisch erreichen oder per Email kontaktieren.