Recht auf Löschung
In zwei Blogbeiträgen haben wir uns mit dem Thema Löschen im Datenschutzrecht befasst. Hier geht es jetzt um das Recht betroffener Personen auf Löschung ihrer Daten. Und was das ggf. für Sie und Ihr Unternehmen bedeutet.
Recht auf Löschung personenbezogener Daten
Das Recht auf Löschung ergibt sich aus Art. 17 DSGVO, in dem die Löschpflicht von Verantwortlichen und das Recht auf Löschung von betroffenen Personen geregelt wird. Dieser Blog-Artikel beleuchtet die Frage, wann personenbezogene Daten von betroffenen Personen auf Antrag gelöscht werden müssen und wann nicht.
Das Recht auf Löschung von personenbezogenen Daten ist ein grundlegendes Betroffenenrecht nach Kapitel III DSGVO. So legt der Gesetzgeber in Art. 17 Abs. 1 DSGVO einerseits die Pflicht des Verantwortlichen (Unternehmen) fest, bei Vorliegen der Voraussetzungen des Art. 17 DSGVO personenbezogene Daten zu löschen, ohne dass es einer Aufforderung durch die betroffene Person bedarf. Anderseits wird das Recht auf Löschung von personenbezogenen Daten auf Antrag einer betroffenen Person festgeschrieben.
Wichtig: Für das Tätigwerden des Verantwortlichen „auf Antrag“ wird keine bestimmte Form verlangt. Macht eine betroffene Person Gebrauch vom Recht auf Löschung, dann hat die den Löschantrag empfangende Stelle nur einen kurzen Zeitraum, um den Antrag zu prüfen und zu handeln. Denn laut Art. 17 Abs. 1 S. 1 DSGVO besteht die Pflicht, die personenbezogenen Daten „unverzüglich“ zu löschen, sobald ein Löschgrund aus Art. 17 Abs. 1 DSGVO gegeben ist.
Was heißt denn genau „Unverzüglich“?
„Unverzüglich“ heißt, der Verantwortliche muss die Prüfung ohne schuldhaftes Zögern durchführen. Das bedeutet im Grunde, dass jede Organisation einen Prozess einrichten sollte, der die strukturierte Bearbeitung von Löschaufträgen (bzw. Anträge betroffener Personen nach Kap. III DSGVO allgemein) und die Verantwortlichkeiten regelt. Zu klärende Fragen sind hierbei:
- Welche Mitwirkungspflicht trifft die Beschäftigten?
- Wer ist für die Bearbeitung von Löschaufträgen zuständig?
- Welche Prüfschritte sind durchzuführen?
- In welchem Zeitraum hat die interne Sachverhaltsklärung zu erfolgen?
- Wer ist für die konkrete Löschung und Dokumentation zuständig?
- Wer ist für die fristgemäße Kommunikation mit den Betroffenen zuständig?
- Wie ist mit Sonderfällen umzugehen?
- Wann sollte der Datenschutzbeauftragte hinzugezogen werden?
Ganz wesentlich ist hier auch die Rolle der Beschäftigten. Jedem Beschäftigten muss der eigene Handlungsspielraum und die sich aus den Betroffenenrechten ableitbaren Pflichten bekannt sein. Idealerweise wird dies in einer Richtlinie oder Arbeitsanweisung geregelt.
Fristen beachten
Für die Bearbeitung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte (Recht auf Löschung, Auskunft etc.) sieht der Gesetzgeber verschiedene Fristen vor.
- Der Verantwortliche informiert die betroffene Person „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ über die ergriffenen Maßnahmen.
- Diese Frist kann um zwei Monate verlängert werden, wenn „dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist“. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.
Achtung: Die Nichteinhaltung der Fristen ist bußgeldbewährt!
Löschanträge bearbeiten
Betroffene Personen haben zwar grundsätzlich das Recht, die Löschung ihrer Daten unter bestimmten Voraussetzungen zu verlangen. Andererseits ist nicht jeder Löschauftrag umzusetzen, sofern die Ausnahmen nach DSGVO anwendbar sind. Jeder Löschauftrag ist also anhand der in Art. 17 Abs. 1 DSGVO genannten Kriterien auf Umsetzbarkeit bzw. auf Ausnahmeregelungen zu prüfen. Liegt ein berechtigter Löschantrag vor, muss die Löschung unverzüglich erfolgen. Löschantrag und Löschung sind zu dokumentieren.
Folgende Prüffragen können als Entscheidungsgrundlage für die Rechtmäßigkeit des Löschantrags der betroffenen Person herangezogen werden:
- Sollen die Daten gelöscht werden, weil eine unrechtmäßige Verarbeitung erfolgte (z.B. Verstoß gegen die DSGVO, bspw. keine Rechtsgrundlage vorhanden)?
- Sollen die Daten gelöscht werden, weil die betroffene Person ihre Einwilligung widerruft? -> Löschpflicht besteht!
- Sollen die Daten gelöscht werden, weil die betroffene Person Widerspruch gegen eine Verarbeitung einlegt, die auf Grundlage der berechtigten Interessen erfolgte?
- Sollen Daten aus einer nicht-automatisierten Datenverarbeitung gelöscht werden?
- Handelt es sich um eine missbräuchliche Anfrage/ Auftrag? -> Löschpflicht im Einzelfall prüfen!
- Gibt es gesetzliche oder vertragliche Aufbewahrungspflichten, die einer Löschung entgegenstehen (z.B. nach dem Handels- und Steuerrecht)?
Gibt es einen gesetzlichen Grund, die Löschung zu verweigern (z.B. Daten sind erforderlich zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Ausübung des Rechts auf freie Meinungsäußerung)? -> Keine Löschpflicht, aber Sperrung der Daten erforderlich!
Letzter Schritt: Information der betroffenen Person
Innerhalb der vorgegebenen Frist „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ ist die betroffene Person über das Ergebnis der Prüfung und die ergriffenen Maßnahmen zu informieren. Liegen Ausschlussgründe vor, die gegen eine Löschung sprechen, ist dies der betroffenen Person mitzuteilen. Ist der Löschantrag rechtmäßig und die Löschung erfolgt, so wird die betroffene Person über die erfolgte Löschung informiert. In der Regel werden Löschantrag und die Kommunikation mit dem/der Antragsteller*in für drei Jahre zu Nachweiszwecken aufbewahrt. Auch hierüber ist die betroffene Person zu informieren.
Tipp aus der Praxis
In der Praxis ist das Problem häufig nicht die Prüfung des Löschanspruchs oder die Durchführung der Datenlöschung an sich, sondern das Auffinden aller personenbezogenen Daten der betroffenen Person. Es ist daher nötig, im Rahmen des Verarbeitungsverzeichnisses oder (besser: und) im Löschkonzept festzulegen, welche Datenquellen (z.B. verschiedene Datenbanken) es im Falle von Löschansprüchen geben kann und wie diese durchsucht werden können. Im Falle einer Löschanfrage ist es wichtig, die genauen Daten der Person zeitnah zu identifizieren, um sie anschließend prüfen und ggf. löschen zu können. Macht man sich erst im Falle einer Löschanfrage Gedanken dazu, an welchen Stellen personenbezogene Daten vorliegen könnten und wie man an diese zur Löschung herankommen kann, ist es meistens zu spät. Das gilt insbesondere für Daten, die ausgelagert sind und durch Dienstleister verarbeitet und verwaltet werden.
Siehe auch die Beiträge Löschen im Datenschutzrecht in diesem Blog.
Quellen/Links:
Datenschutzgrundverordnung (DSGVO): https://dsgvo-gesetz.de/