Erfolgreiches Löschkonzept in Unternehmen einführen
Mit der DSGVO ist zum Recht auf Löschung das Recht auf Vergessenwerden hinzugekommen.
Das bedeutet, dass es gemäß Artikel 17 DSGVO aus juristischer Sicht keinen Unterschied zwischen dem Recht auf Löschung und dem Recht auf Vergessenwerden gibt. Das Recht auf Vergessenwerden hat seinen (jungen) Ursprung aus der Rechtsprechung des Europäischen Gerichtshof (EuGH), der das Recht auf Vergessenwerden in einer zunehmend digitalisierten Welt als wesentlichen Bestandteil des Schutzes der Privatsphäre von Betroffenen erachtet hat (Urteil vom 13.5.2014 – C-131/12).
Das Recht auf Löschung erstreckt sich daher auch auf Informationen die bspw. öffentlich zugänglich durch Suchmaschinen im Internet bereitgestellt werden.
Unternehmen müssen Daten löschen
Grundsätzlich müssen Unternehmen personenbezogene Daten löschen, wenn sie für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr benötigt werden. Der Zweck der Datenverarbeitung entscheidet daher über die zulässige Dauer der Speicherung der verarbeiteten Daten, sofern keine gesetzlichen Aufbewahrungsfristen bestehen (Artikel 17(1) DSGVO)
Die Verpflichtung des Verantwortlichen umfasst auch, dass bereits veröffentlichte Daten gelöscht werden müssen (Artikel 17(2) DSGVO). Gegebenenfalls muss daher ein dritter Datenempfänger Informationen zur Löschung erhalten, um zu verhindern, dass Duplikate weiterhin bestehen bleiben und die Löschung vollumfänglich gewährleistet ist.
Zum Schutz von Kindern und deren Aktivitäten im Internet wurde Artikel 17(1) lit. f DSGVO erweitert. Bei Einwilligung und Bereitstellung ihrer Daten bei Onlinediensten gemäß Artikel 8 DSGVO, kann eine Löschung von deren Daten, sowohl vom Betroffenen als auch von deren Erziehungsberechtigten gefordert werden.
Regelungen des DSGVO
Die DSGVO enthält keine gesonderte Regelung für die Löschung von besonderen Kategorien personenbezogener Daten. Allerdings regelt die DSGVO Ausnahmetatbestände zum Recht auf Löschung und zum Recht auf Vergessenwerden.
Gemäß Artikel 17(3) DSGVO gelten die Betroffenenrechte nicht, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information (Artikel 17(3) lit. a DSGVO), zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe (Artikel 17(3) lit. b DSGVO), aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Artikel 17(3) lit. c DSGVO), für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke (Artikel 17(3) lit. d DSGVO) oder für Daten die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 17 Abs. 3 lit. e) erforderlich sind.
Um eine gesetzeskonforme Vernichtung bzw. Löschung gewährleisten zu können, empfehlen wir unseren Mandanten ein vollumfängliches und ein auf die individuellen unternehmerischen Bedürfnisse abgestimmtes Löschkonzept zu entwickeln. Einfache und klare Regeln für das Löschen von personenbezogenen Daten, die in einem gut strukturierten Löschkonzept definiert und zusammengefasst sind, erleichtern eine datenschutzkonforme Verwaltung von denen durch Sie verarbeiteten personenbezogenen Daten.
Dafür unterstützen wir Sie zunächst festzustellen, wo Sie die zu löschenden Daten gespeichert haben und wer die Daten auf welchem Weg erhalten hat. Auch decken wir mit einem individuellen Löschkonzept etwaige Informationspflichten an Datenempfänger ab, die über die Löschanforderung informiert werden müssen.