+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Datenschutz ist Pflicht

Die DSGVO und die Löschung von Daten

Daten löschen? Das machen wir jeden Tag! Irgendwelche Probleme dabei? Nein, wieso? So laufen typische Dialoge ab, wenn man dieses Thema in Unternehmen anspricht. Aber ganz so einfach war es schon bisher nicht, und die Datenschutz-Grundverordnung (DSGVO) bringt außerdem noch einige Neuerungen.

„Löschen“ – gar nicht so einfach!

Was bedeutet es eigentlich, Daten zu löschen? Das Verschieben der Daten in einen elektronischen Papierkorb reicht jedenfalls nicht aus. Das dürfte jedem klar sein. Oder vielleicht doch nicht? Nur zur Sicherheit: Wenn Sie Daten mit ein paar Mausklicks „wiederherstellen“ können, sind sie nicht wirklich gelöscht. Sie sind dann nur an einer anderen Stelle als bisher gespeichert, eben im „Papierkorb“.

Löschen als Zerstörung

Aber was heißt Löschen dann? Der Europäische Gerichtshof verwendet klare Worte, um den Begriff „Löschen“ verständlich zu erklären. Daten sind dann gelöscht, wenn sie „zerstört“ sind. Die Daten dürfen also auf keinem Weg mehr rekonstruierbar / wiederherstellbar sein.

Daten auf Papier

Bei Daten auf Papier bedeutet dies beispielsweise, das Papier zu verbrennen. Zerkleinern kann man es natürlich auch. Aber das muss so geschehen, dass niemand mehr die Seiten wieder zusammensetzen kann. Unterschiede danach, wie schutzwürdig die Daten sind, macht das Recht dabei nicht. Für alle personenbezogenen Daten gelten bei einer Löschung vielmehr dieselben Regeln. Dies ist für viele noch ungewohnt und kann auch recht teuer werden. Aber so ist es eben.

Elektronische Daten

Elektronische Daten lassen sich auf den ersten Blick recht schnell löschen. Eine Möglichkeit ist das Überschreiben. Der Teufel steckt dabei im Detail. Viele Löschfunktionen bewirken lediglich, dass die entsprechenden Bereiche auf dem Datenträger (etwa einer Festplatte) nicht mehr gegen ein Überschreiben geschützt sind. Das heißt allerdings noch lange nicht, dass sie auch tatsächlich bald überschrieben werden. Manchmal geschieht dies auch nie. Wundern Sie sich also nicht, wenn die EDV erklärt, dass das Löschen von Daten nicht so banal ist, wie viele denken.

Gesetzliche Anlässe zur Löschung

Wann Daten gelöscht werden müssen, ist in Art. 17 DSGVO ausführlich geregelt. Zumindest die wichtigsten Fälle der Löschungspflicht sollte man kennen:

Rechtswidrige Verarbeitung

Wenn Daten unrechtmäßig verarbeitet wurden, müssen sie ohne Ausnahme gelöscht werden. Ein klassisches Beispiel: Um bestimmte Daten überhaupt verarbeiten zu dürfen, hat ein Unternehmen die Einwilligung der betroffenen Personen eingeholt. Leider stellt sich heraus, dass dabei rechtliche Fehler passiert sind und dass die Einwilligung unwirksam ist. Die Folge: Die betroffenen Daten sind zu löschen!

Widerruf einer Einwilligung

Ein nicht ganz so klassisches Beispiel: Jemand hat eine Einwilligung erteilt und widerruft sie. Welche Folgen hat das? Der Ausgangspunkt ist klar: Alles, was bis zum Widerruf mit den Daten geschehen ist, bleibt rechtmäßig. So regelt es Art. 7 Abs. 3 Satz 2 DSGVO.

Folgen eines Widerrufs

Aber wie sieht es ab dem Widerruf aus? Müssen die Daten jetzt gelöscht werden? Nicht so ohne Weiteres! Denn vor allem im geschäftlichen Bereich kann es nötig sein, die Daten noch länger vorrätig zu halten. Das gilt in erster Linie dann, wenn Buchführungspflichten oder steuerliche Pflichten das Unternehmen dazu zwingen.

Das sind dann rechtliche Verpflichtungen, gegen die das Unternehmen nichts machen kann. Die Folge: Weil es um die Erfüllung einer rechtlichen Verpflichtung geht (in diesem Fall gegenüber dem Staat), dürfen die Daten noch gespeichert werden, solange diese Pflicht besteht (Art. 17 Abs. 3 Buchst. b DSGVO). Der Widerruf der Einwilligung ändert daran nichts.

Zweckbindung

Doch Vorsicht: Die Speicherung ist nur genau für die Pflicht erlaubt, die erfüllt werden muss. Unzulässig wäre es beispielsweise, die Daten noch zu verwenden, um dem Kunden Werbematerial zuzuschicken. Die Verwendung für diesen Zweck muss ausgeschlossen werden. Die DSGVO spricht hier von einer „Einschränkung der Verarbeitung“ (so die Überschrift von Art. 18 DSGVO). Früher bezeichnete man dies meist als „Sperrung“.

Vorsicht vor Bußgeldern!

Solche und ähnliche Fälle zeigen, dass eine Löschung nicht nur technisch schwierig sein kann, sondern auch in rechtlicher Hinsicht ganz erhebliche Fragen aufwirft. Man sollte sie in jedem Fall ernst nehmen. Denn zumindest wenn grobe Fehler passieren, kann dies durchaus zu einem Bußgeld seitens der Datenschutzaufsicht führen.

Ihre Adresse für Datenschutzfragen

Das Expertenteam von Datenschutz ist Pflicht steht Ihnen in alle Fragen rund um das Thema Datenschutz und Informationssicherheit zur Verfügung. Von Mo. – Fr. 08:00 – 18:00 Uhr erreichen Sie uns telefonisch. Per E-Mail nehmen wir Ihre Fragen und Anregungen ebenfalls gerne entgegen.

Telefon: +49 241 149 46 98

Wir freuen uns auf spannende Diskussionen!

„Datenschutz ist Pflicht“ ist eine Marke der Ing.-Büro Dr. Plesnik GmbH | Reutershagweg 2, 52074 Aachen