Recht auf Datenlöschung - das müssen Sie unbedingt beachten

Der Löschanspruch

Der in der DSGVO verankerte Grundsatz der Datenminimierung statuiert, dass nur die für den jeweiligen Verarbeitungszweck notwendigen personenbezogenen Daten verarbeitet werden dürfen.

Der Löschanspruch entsteht, wenn das verantwortliche Unternehmen dazu verpflichtet ist, die personenbezogenen Daten der betroffenen Person zu löschen. Umfasst sind dann sowohl alle elektronischen Daten sowie jegliche Daten in Papierform (z.B. nach bestimmten Kategorien sortierte Akten). Löschen im Sinne der DSGVO bedeutet, dass die Daten unwiederbringlich unkenntlich gemacht werden müssen. Die DSGVO gibt dafür jedoch keine konkreten Maßnahmen vor. Ein einfaches „in den Papierkorb legen“ kann dabei regelmäßig nicht ausreichend sein, vielmehr sollten die Daten mithilfe spezieller Tools mehrmals überschrieben werden, um eine sichere Vernichtung zu gewährleisten. Dabei sind auch alle Back-ups und sonstigen Informationssysteme zu inkludieren – die Löschung muss wirklich restlos vorgenommen werden. Denn was bringt der ganze Löschaufwand, wenn die Daten durch ein Back-up wieder in das bestehende System Ihres Unternehmens eingespielt werden? Bei physischen Daten sollten die Akten unbedingt geschreddert werden.

Löschverfahren gemäß dem Stand der Technik sind z.B. Verfahren nach Standards wie ISO 27001 oder DIN 66399.

Wann muss ich nun genau löschen?

Der Löschanspruch gilt nicht nur für die Kundschaft eines Unternehmens, sondern gleichwohl auch für Angestellte und Dienstleistungsunternehmen. Er entsteht mitunter dann, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, oder wenn die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Das heißt, der Löschanspruch kann sowohl durch aktives Tun der betroffenen Person als auch durch Zweckfortfall der zu verarbeitenden personenbezogenen Daten entstehen. Zweiteres kann sich als problematisch erweisen, da die verantwortlichen Personen dazu verpflichtet sind, einen Überblick über die Rechtsgrundlagen und Verarbeitungszwecke zu behalten, den Wegfall der Erforderlichkeit der Speicherung proaktiv zu erkennen und dann auch die Löschung zu realisieren. Ein vollständiges Verzeichnis von Verarbeitungstätigkeiten schafft dabei einen guten Überblick. Nutzen Sie hierzu unseren DSGVO-Manager.

Wichtig: Dabei ist unbedingt zu beachten, dass der Löschanspruch nicht erst durch Aufforderung der betroffenen Person, sondern automatisch ohne weiteres Zutun entstehen kann.

Ausnahmen

Der Löschanspruch kann jedoch auch gem. Art.17 Abs.3 DSGVO ausgeschlossen sein. Beispielsweise können Daten zur Erfüllung einer rechtlichen Verpflichtung weiterhin erforderlich sein und einer unverzüglichen Löschung entgegenstehen. Zu den Rechtspflichten in diesem Sinne gehören vor allem handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Gemeint sind damit alle Daten, die Sie für eine ordnungsgemäße Buchführung benötigen (§ 257 Handelsgesetzbuch und § 147 Abgabenordnung). Dem Löscherfordernis kann auch ein bestehendes berechtigtes Interesses (z.B. für Beweissicherungszwecke) ihrerseits entgegenstehen. Informationen zur Rechtsgrundlage des berechtigten Interesses finden Sie hier.

Eine weitere Einschränkung des Löschrechts kann nach § 35 Abs. 1 BDSG bestehen, sofern eine nichtautomatisierte Verarbeitung von Daten vorliegt (z.B. eine Datensammlung in Papierform), die Löschung nur mit einem unverhältnismäßigen Aufwand verbunden und das Interesse der betroffenen Person an der Löschung eher als gering einzustufen ist.

Das Zusammenspiel von Lösch- und Aufbewahrungspflichten und berechtigten Interessen bereitet Ihnen Kopfschmerzen? Ein Löschkonzept verschafft dabei Klarheit und Abhilfe. Weiterführende Informationen dazu finden Sie im folgenden Beitrag.

Das Löschen durch Anonymisieren

Es stellt sich die Frage, ob das Anonymisieren von Daten eine weitere Möglichkeit darstellt, dem Löschanspruch nachzukommen. Werden Daten anonymisiert, so kann kein Personenbezug mehr hergestellt werden, woraus folgt, dass auch die DSGVO keine Anwendung mehr findet. Das BfDI hat in einem Positionspapier klargestellt, dass die Datenlöschung durch Anonymisierung erfüllt werden kann. Vorsicht bedarf es bei der Anonymisierung außerdem insofern, als dass auch das Anonymisieren an sich als eine Verarbeitung im Sinne der DSGVO gilt und daher einer Rechtsgrundlage bedarf. Hierzu kommt insbesondere die Datenlöschung „aufgrund der Erfüllung einer rechtlichen Verpflichtung“ in Betracht (Art. 6 Abs. 1 S. 1 lit. c i.V.m. Art. 17 Abs. 1 DSGVO). Wie sich die Anonymisierung von der Pseudonymisierung unterscheidet, wird in unserer Podcast-Folge näher beleuchtet.

Der Umgang mit Löschanfragen

1. Was will  die antragstellende Person?

In einem ersten Schritt ist bei der eingegangen Mitteilung zu klären, um welche Art von Mitteilung es sich handelt. Handelt es sich um eine allgemeine Beschwerde oder ist der Anfrage doch ein datenschutzrechtlicher Informationsgehalt zu entnehmen? Der betroffenen Person steht es zudem frei, in welcher Form sie einen Löschantrag stellt. Daher ist es für Ihr Unternehmen besonders wichtig, dass Ihre Angestellten oder Serviceabteilung für mögliche telefonische bzw. schriftliche Betroffenenrechteanfragen ausreichend sensibilisiert und geschult ist.

2. Antragstellende Person = betroffene Person?

Nach dem Eingang des Löschersuchens gilt es in einem ersten Schritt, die betroffene Person zu identifizieren und die ihr zugehörigen Daten im Bestand zu lokalisieren.

Wichtig: Sie müssen stets die Identität der anfragenden Person verifizieren, denn die Datenauskunft bzw. das Erfüllen eines Löschbegehrens darf nicht an unbefugte Dritte erfolgen.

Sie als Online-Händler oder Online-Händlerin haben dabei alle vertretbaren Mittel zur Identitätsprüfung in Erwägung zu ziehen. Wenn Sie Zweifel an der Identität der antragstellenden Person haben, ist dieser auf die fehlende Identifizierbarkeit hinzuweisen. Die betroffene Person hat sodann weitere Informationen nachzureichen, wie etwa die postalische Adresse bzw. Rechnungsadresse bei einem elektronischen Auskunftsantrag.

Ist die betroffene Person letztendlich nicht eindeutig identifizierbar, kann keine Löschung bzw. Auskunft über die zu löschenden Daten erteilt werden. Die betroffene Person ist auch hierüber, sofern eine Kontaktmöglichkeit besteht, zu informieren.

3. Löschung der Daten möglich?

Daraufhin muss die Frage gestellt werden, ob die Daten gelöscht werden müssen oder nicht. Dabei kommt es darauf an, ob für die Datenverarbeitung noch eine Rechtsgrundlage besteht – sollte dies nicht der Fall sein, so ist die antragstellende Person darüber entsprechend zu informieren.

4. Welche Fristen gelten?

Die Beantwortung der Anfrage (Bestätigung der Löschung bzw. die begründete Ablehnung der Löschung) sollte unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der datenschutzrechtlichen Anfrage, erfolgen. Eine Fristverlängerung um weitere zwei Monate ist aufgrund der Komplexität und Anzahl von datenschutzrechtlichen Anträgen möglich (z.B. erhöhtes Aufkommen komplexer Anfragen innerhalb des Weihnachtsgeschäfts). Die Fristverlängerung gilt jedoch nur, wenn Sie die antragstellende Person  innerhalb eines Monats nach Eingang der Anfrage über die Gründe der Verzögerung informieren und den Vorgang für ihr Unternehmen dokumentieren.

5. Formerfordernis?

Informationen zur Löschung können an die betroffene Person in jeder Form erteilt werden: schriftlich, elektronisch oder auf Wunsch auch mündlich (Art. 12 Abs. 1 S. 2 u. 3 DSGVO). Stellt Ihre Kundschaft einen elektronischen Löschantrag (z.B. per E-Mail), müssen Sie die Auskunft auch in einem solchen Format (z.B. als PDF-Dokument) zur Verfügung stellen, sofern die betroffene Person nichts anderes angibt. Die gesamte Korrespondenz sollte in einer transparenten und in einer leicht verständlichen Form erfolgen.

Unser Tipp

Achten Sie darauf, den Betroffenenrechten und damit auch den Löschersuchen rechtzeitig und umfassend nachzukommen. Verstöße gegen die Regelungen rund um die Betroffenenrechte können zu hohen Bußgeldern führen. Es lohnt sich daher, ein umfassendes Löschkonzept zu erstellen, das Informationen über die Datenkategorien, Speicherorte, Aufbewahrungsfristen und Rechtsgrundlagen der Verarbeitung enthält. Der Löschanspruch wird häufig im Zusammenhang mit einem Auskunftsersuch auftreten, sodass im besten Fall eine ganzheitliche Bearbeitung der Betroffenenrechte etabliert wird. Diese läuft im besten Fall automatisiert ab, indem Sperr- und Löschroutinen implementiert werden. Außerdem sollten alle Anfragen der betroffenen Personen dokumentiert werden, um der Rechenschaftspflicht aus der DSGVO nachkommen zu können.

Über den Autor

Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.