zur Übersicht

Recht auf Löschung: Koordinierte Aktion der Aufsichtsbehörden

Seit dem Jahr 2022 bestimmt der Europäische Datenschutzausschuss (EDSA) jedes Jahr ein Thema für eine koordinierte Prüfung an der sich Datenschutzbehörden auf nationaler Ebene beteiligen. Die ersten drei gemeinsamen Aktionen betrafen die Nutzung von Cloud-Diensten im öffentlichen Sektor, die Benennung und Stellung von Datenschutzbeauftragten und die Umsetzung des Rechts auf Auskunft gem. Art. 15 DSGVO. In diesem Jahr betrifft die vierte koordinierte Prüfung die Umsetzung des Rechts auf Löschung gem. Art. 17 DSGVO. Gut 30 Aufsichtsbehörden aus dem gesamten Europäischen Wirtschaftsraum beteiligen sich an der Aktion.
Was die Inhalte und Ziele der Prüfung sind, wer von der Prüfung betroffen ist und was sich daraus für die Praxis ergibt, wird in diesem Beitrag erörtert.

Inhalte und Ziele der Prüfung

Das Recht auf Löschung ist wohl eines der am häufigsten ausgeübten Datenschutzrechte und eines, über das bei den Datenschutzbehörden regelmäßig Beschwerden eingehen. Dies hat der EDSA zum Anlass genommen, seine diesjährige koordinierte Prüfaktion diesem Thema zu widmen. Ziel dieser Initiative ist, die Umsetzung des Rechts auf Löschung in der Praxis zu bewerten. Die Ergebnisse sollen dann gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.
Die teilnehmenden Datenschutzbehörden haben dazu im Frühjahr an eine Reihe von Unternehmen aus verschiedenen Branchen in ganz Europa einen gemeinsam erarbeiteten Fragebogen versendet, der sich auf deren Umgang mit Löschersuchen von betroffenen Personen bezieht. Durch die Rückmeldungen sollen die wichtigsten Faktoren bei der Einhaltung des Rechts auf Löschung ermittelt sowie ein Überblick über bewährte Verfahrensabläufe gewonnen werden.
In Deutschland nehmen an dieser Aktion die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil.
Der EDSA veröffentlicht die Ergebnisse der gemeinsamen Initiative im kommenden Jahr in einem Bericht.

Inhalt des Fragebogens

Der LfDI Baden-Württemberg hat den Fragebogen auf seiner Webseite veröffentlicht. Der Fragebogen ist in die folgenden sechs Abschnitte untergliedert:

  1. Informationen zum Verantwortlichen
  2. Verfahrensablauf
  3. Fallkonstellationen
  4. Kommunikation mit den betroffenen Personen
  5. Technische Aspekte
  6. Ihre Erfahrungen

Informationen zum Verantwortlichen


Hier sind u. a. Angaben
• zum Sektor und der Größe der jeweiligen Organisation,
• den Personengruppen und Arten an personenbezogenen Daten, die von der Verarbeitung betroffen sind,
• zum Umfang der Verarbeitung sowie
• zur Anzahl der Löschanträge und dem Anteil an Ablehnungen solcher Anträge in den vergangenen drei Jahren zu machen.
Verfahrensablauf

Die Fragen zum Verfahrensablauf erkundigen sich u. a. nach
• internen Richtlinien und Anweisungen,
• Zuständigkeiten innerhalb der Organisation,
• Schulungen des Personals,
• der Vorgehensweise zur Ermittlung der zu löschenden Daten,
• dem Umgang mit Löschanträgen, die sich auf gemeinsam oder von Auftragsverarbeitern verarbeitete Daten beziehen sowie
• der Bearbeitungsdauer der Löschanträge.


Fallkonstellationen

Unter diesem Abschnitt werden insbesondere Angaben
• zur Beurteilung, ob die Speicherung der Daten noch notwendig ist,
• zur Vorgehensweise, wenn eine Einwilligung widerrufen oder einer Verarbeitung widersprochen wird,
• zu den ergriffenen Maßnahmen und Mitteilungspflichten, wenn eine Veröffentlichung der Daten erfolgt ist,
• zu den angewendeten Ausnahmen von der Verpflichtung zur Löschung sowie
• zu dem Umgang mit Betroffenenanfragen, die sowohl einen Antrag auf Auskunft als auch Löschen erhalten, erbeten.


Kommunikation mit den betroffenen Personen

Dieser Abschnitt enthält Fragen
• zur Nennung von Aufbewahrungsfristen in der Datenschutzerklärung,
• zu den Möglichkeiten, Löschanträge einzureichen und
• zur Beantwortung der Anträge.


Technische Aspekte

Unter den technischen Aspekten werden Fragen
• zum Vorliegen technischer Standards,
• der technischen Vorgehensweise beim Löschen und
• dem Einsatz von Dienstleistern gestellt.


Ihre Erfahrungen

Im letzten Abschnitt des Fragebogens können Angaben zu bestehenden Herausforderungen bei der Umsetzung des Rechts auf Löschung und erwünschten Hilfestellungen gemacht werden.

Wer ist betroffen?

Bislang ist unbekannt, an wie viele Verantwortliche der Fragebogen in der Zwischenzeit versendet wurde. Bei der koordinierten Prüfung zur Umsetzung des Rechts auf Auskunft im vergangenen Jahr wurden jedenfalls deutschlandweit 116 Unternehmen überprüft.
Die Brandenburgische Datenschutzaufsicht hat bekannt gegeben, dass sie sich bei der diesjährigen Prüfaktion auf Wohnungsunternehmen konzentriert. Darüber hinaus hat sich keine Aufsicht dazu geäußert, welche Branchen bei der Befragung im Fokus stehen. Im vergangenen Jahr war ein breites Spektrum betroffen, u. a. Unternehmen aus den Bereichen Gesundheit, Soziales, Versicherungen, Finanzen, Einzelhandel, Marketing, öffentliche Versorgung und Infrastruktur, Wohnungswirtschaft, Verwaltung, Tourismus sowie Automobilhandel. Da bei der diesjährigen Aktion ebenfalls der Umgang mit einem Betroffenenrecht überprüft werden soll, gehen wir davon aus, dass auch hierbei diverse Branchen berücksichtigt werden.

Weitere Vorgehensweise

Auch wenn Sie bislang nicht von Ihrer Aufsicht angeschrieben wurden, sollte die koordinierte Prüfung zum Anlass genommen werden, den eigenen Umgang mit Löschersuchen zu überprüfen. Eine Fokussierung der Aufsichtsbehörden auf dieses Thema ist in den kommenden Monaten in jedem Fall zu erwarten.
Der LfDI Baden-Württemberg lädt dazu ein, auch auf freiwilliger Basis an der Befragung teilzunehmen. So kann durch einen Selbst-Check überprüft werden, ob die erforderlichen Maßnahmen zur Erfüllung des Rechts auf Löschung implementiert worden sind und tatsächlich umgesetzt werden.
In diesem Zusammenhang ist es angeraten, den Bogen weiterzuziehen. So sollten Sie auch ein etwaiges Löschkonzept im Unternehmen genauer unter die Lupe nehmen, denn dem Recht auf Löschung steht die Verpflichtung gegenüber, personenbezogenen Daten zu löschen, wenn eine weitere Verarbeitung zur Erfüllung des Verarbeitungszwecks nicht mehr erforderlich ist. Damit bei Löschersuchen einer betroffenen Person nicht zutage tritt, dass Daten ohne gültige Notwendigkeit gespeichert worden sind, ist die Entwicklung und effektive Umsetzung eines Löschkonzepts unerlässlich. Anderenfalls drohen erhebliche Bußgelder.
In einer ersten Bestandsaufnahme sollten folgende Punkte überprüft werden:

• Verfügt Ihr Unternehmen über ein schriftliches Löschkonzept, in dem die zur Anwendung kommenden Aufbewahrungsfristen vermerkt sind?
• Gibt es klare Verfahrensanweisungen für die Bearbeitung von Löschersuchen, über die die Mitarbeiter ausreichend informiert sind?
• Werden Löschkonzept und Verfahrensanweisungen in der Praxis effektiv umgesetzt? Hier sind insbesondere die technische Umsetzung und die klare Verteilung der Zuständigkeiten in den Blick zu nehmen.

Fazit

Selbst wenn Verantwortliche keinen Fragebogen erhalten haben, sollte das Verfahren zum Umgang mit Löschersuchen und gegebenenfalls auch ein Löschkonzept im Unternehmen zum jetzigen Zeitpunkt einer genaueren Überprüfung unterzogen werden. Schwierigkeiten bestehen erfahrungsgemäß insbesondere bei der praktischen Umsetzung, wie

  • der vollständigen Löschung der Daten sowohl unter technischen Gesichtspunkten (z. B. aufgrund von komplexen Abhängigkeiten von Datenklassen in gängigen Systemen, wie SAP oder Salesforce) als auch im Hinblick auf weitergegebene Daten, z. B. an Dienstleister oder Drittanbieter,
  • der klaren Verteilung der Zuständigkeiten und erforderlicher Individualdisziplin (Stichwort: Löschen von E-Mails) sowie
  • der korrekten Anwendung der Aufbewahrungsfristen und der Identifizierung besonders gelagerter Einzelfälle.

Wir sind Ihnen sowohl bei der Lösung solcher Schwierigkeiten als auch bei der Erstellung und Umsetzung oder der Überprüfung eines Löschkonzepts und eines Verfahrens zum Umgang mit Löschersuchen mit unserer Expertise sowie bewährten Hilfsmitteln und Vorlagen gerne behilflich. Sprechen Sie uns an!
Weitere Infos zum Thema Löschen finden Sie auch in unseren Blog-Beiträgen:
Löschen leicht gemacht: Wann muss ich geschäftliche E-Mails löschen?
Löschung as a Service: Geht das?
Wie lange dürfen personenbezogene Daten gespeichert werden? Ein Leitfaden für Unternehmen

Abonnieren Sie unseren Newsletter, um bei allen weiteren Themen zum Datenschutz immer auf dem aktuellen Stand zu sein.