Icon Datenschutzbeauftragter
Datenschutz

Das Recht auf Vergessenwerden

Avatar
Verfasst von: Jessica Henning
Beraterin für Datenschutz und Informationssicherheit

Welche Daten müssen wann gelöscht werden? Wie lange darf ich die Daten speichern? Spätestens beim Eintragen der Speicherdauer in das Verarbeitungsverzeichnis rückt dieses abstrakte Thema in den Vordergrund.

Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.

Wo sind die Probleme?

Es gibt zwei große Problematiken, wenn es um die Löschung von Daten geht.

  1. Die Organisation
    Oft wird die Löschung von Daten entweder an Abteilungen oder an einzelne Personen delegiert. In den Abteilungen fehlt oft die Benennung einer zuständigen Person, die auch genügend Fachwissen zur Ausübung der Tätigkeit hat. Im Zweifel wird sich der Einfachheit wegen für die Speicherung entschlossen. Man möchte keine Fehler machen, die Aufbewahrungsfristen nicht einzuhalten und dadurch Sanktionen zu riskieren. Bei Unsicherheit wird sich dann für die Speicherung entschieden.
     
  2. Die Technik
    Daten werden auf Servern, Archivierungssysteme oder in Cloud-Lösungen abgelegt. Die meisten IT-Systeme sind darauf ausgelegt, Daten zu speichern. Sogar bei einem Systemwechsel können die meisten Programme alte Datenbestände migrieren. Wenn die Administratoren keinen Lösch-Automatismus eingeführt haben, werden meistens alle Datensätze gespeichert und nichts gelöscht. Die Systeme laden ein, Daten lange zu speichern und desensibilisieren Unternehmen in Bezug auf Löschung.

Wie sieht es rechtlich aus?

Aus der DSGVO ergeben sich diverse Fälle, wann man Daten zu löschen hat – zum Beispiel wenn

  • die Daten zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind
  • die betroffene Person ihre Einwilligung widerrufen hat
  • die betroffene Person die Löschung ihrer Daten fordert
  • die betroffene Person Widerspruch einlegt oder
  • es keine rechtlichen Verpflichtungen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten für die Verarbeitungen gibt.

Besonders die rechtlichen Verpflichtungen sind für die verantwortlichen Stellen von Bedeutung. Überwiegend sind die Speicherfristen für unterschiedliche Dokumente nach diversen Gesetzen beziehungsweise Verordnungen.

Der Verantwortliche steht also auf einem schmalen Grat zwischen den Rechten der betroffenen Personen und der gesetzlichen Speicherdauer. Er muss technische und auch organisatorische Maßnahmen treffen, um beiden Aspekten gerecht werden zu können.

Was ist zu tun?

Um jede gesetzliche Anforderung zu erfüllen und den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO zu beachten, muss der Verantwortliche diverse Maßnahmen treffen und in einem sogenannten Löschkonzept festhalten.

Dort werden die Daten in Kategorien eingeteilt und können so einer Löschfrist zugeordnet werden. Daraus kann man Löschroutinen definieren. In dem Löschkonzept werden auch die Zuständigkeiten der Mitarbeiter und Systeme bestimmt und festgelegt.

Letztlich sollte bei jedem IT-Systeme genügend Voreinstellungen (Stichwort „privacy by default“) konfiguriert werden, sodass bei Verarbeitungsvorgängen möglichst eine automatische Löschung stattfindet.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.