Wann müssen Lösch-Begehren befolgt werden, und welche Fristen sind zu beachten? Unsere Datenschutz-Experten geben Auskunft. [...]

Kaum in Kraft, schon werden die ersten Lösch-Begehren Betroffener gestellt. Überraschung ist das keine – es war klar, dass das Recht Betroffener auf Löschung – obwohl bereits im DSG 2000 verankert – genutzt werden wird.

Was heißt Löschen im Sinne der DSGVO?

Löschen im Sinne der DSGVO ist nicht ausschließlich eine IT-Funktion und bezieht sich konkret auf Informationen. „Löschen“ heißt im Klartext das Vernichten der Daten im Zusammenhang mit einem bestimmten Zweck und bezieht sich auf jede einzelne Information. Besteht eine Information aus verschiedenen, getrennt administrierbaren Objekten (z.B. Datenfelder) dann ist ein Löschungsanspruch je getrennt verwaltetem Objekt gegeben. Am Beispiel der Adresse bedeutet das, dass nicht nur die Straße, sondern auch die Postleitzahl und der Ort zu löschen sind.

Bei Verwaltung von Information zu verschiedenen Zwecken bedeutet Löschen, die Gewährleistung, dass die Information bei Wegfall eines zulässigen Zwecks nicht mehr verwendet werden kann. Die DSGVO schweigt sich über das „WIE“ aus, die Methode muss jedoch so zuverlässig sein, sodass unter keinen Umständen eine Verarbeitung der Information zu dem (nicht mehr zulässigen) Zweck erfolgt. Bei Wegfall aller Zwecke sind die Daten so zu vernichten, dass keine Person des Verantwortlichen irgendeinen Zugang zu diesen Daten hat.

Physisches versus logisches Löschen

Unterscheidungen zwischen „physisches“ oder „logisches“ Löschen haben nach der DSGVO keine Relevanz. Unter logischem Löschen wir die Kennzeichnung von Datensätzen als „gelöscht“ bezeichnet, ohne dass sie tatsächlich physisch gelöscht (im Sinne von „vernichtet“) werden. So könnte logisches Löschen eine adäquate Maßnahme sein, um dem Recht auf Widerspruch nachzukommen. Diese Datensätze werden dann nicht mehr verarbeitet, da gelöscht, obwohl sie physisch noch vorhanden sind.

Die Benachrichtigung von Auftragsverarbeitern über Löschbegehren

Auftragsverarbeiter sind über das Löschbegehren eines Betroffenen unverzüglich zu benachrichtigen. Dieser ist ebenfalls verpflichtet, bei berechtigtem Löschbegehren die Löschung innerhalb der vorgesehenen Frist durchzuführen. Diese Vorgänge sind zu dokumentieren.

Ausnahmen von der Löschungspflicht

Ausnahmen von der Löschungspflicht sind in der DSGVO ebenfalls geregelt. So kann ein Löschungsbegehren abschlägig beantwortet werden, wenn die Verarbeitung erforderlich ist oder im Fall der Ausübung des Rechts auf freie Meinungsäußerung der Information. Weiters besteht keine Löschungspflicht bei Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben.

Die Verpflichtung zur Löschung entfällt weiters bei Gründen des öffentlichen Interesses, im Be-reich der öffentlichen Gesundheit oder bei öffentlichen Interesse liegenden Archivzwecken, Forschungszwecken und statistischen Zwecken.

Welche Fristen gelten für ein Löschbegehren?

Das Löschbegehren eines Betroffenen muss vom Verantwortlichen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang des Begehrens beantwortet werden. Diese Frist kann um weitere zwei Monate verlängert werden (in Summe kann die Frist kann daher insgesamt drei Monate betragen), wenn dies unter Berücksichtigung der Komplexität und der Anzahl von An-trägen erforderlich ist. In diesem Fall muss der Verantwortliche die betroffene Person aber innerhalb eines Monats nach Eingang des Löschbegehrens über eine Fristverlängerung und die Gründe für die Verzögerung informieren.

Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, muss er eben-so die betroffene Person ohne Verzögerung informieren, spätestens aber innerhalb eines Monats nach Eingang der Anfrage über die Gründe für das Nicht-Tätigwerden und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

Empfohlene Reaktion auf Löschungsbegehren

Bei Erhalt eines Löschungsbegehrens ist im Unternehmen zu prüfen, ob und welche Daten des Betroffenen für welche Zwecke verarbeitet werden. Anschließend gilt es festzustellen für welche Datenverarbeitungen der Verarbeitungszweck durch das Löschungsbegehren weggefallen ist bzw. welche Daten nicht mehr benötigt werden.

Nur diese Daten sind zu löschen. Daten, die weiterhin einen rechtmäßigen Verarbeitungszweck haben, sind nicht zu löschen. In vielen Fällen dürfen derartige Daten, aufgrund von gesetzlichen Aufbewahrungspflichten, gar nicht gelöscht werden (z.B. Krankengeschichten, Rechnungen usw.).

Praxis-Beispiel:

Ein Webshop-Kunde hat bei einem Unternehmen (z.B. Amazon) online ein Kundenkonto angelegt, um Waren zu bestellen oder an einem Bonuspunkteprogramm teilzunehmen. Er entschließt sich nun das Konto zu schließen und seine Daten zu löschen. Was ist zu tun?

Im Regelfall stimmt ein Kunde beim Erstellen des Kundenkontos zu, dass die Daten auch für an-dere Zwecke Verwendung finden können, beispielsweise für die Buchhaltung, das Mahnwesen oder für Marketingzwecke. Es ergeben sich daraus unterschiedliche Situationen:

a) Daten die ausschließlich für die Verwaltung des Kundenkontos verarbeitet werden (Benutzername / Passwort etc.), werden nicht mehr benötigt und sind daher umgehend zu löschen.

b) Der Kunde hat in der Vergangenheit bereits Produkte bestellt und ordnungsgemäß bezahlt. Rechnungsdaten müssen nach RLG sieben Jahre aufbewahrt werden – diese Daten sind da-her erst nach Ablauf der Aufbewahrungspflicht zu löschen.

c) Die letzte Rechnung ist noch nicht bezahlt und daher offen – darum wird der Kunde gemahnt. Daten im Zusammenhang mit Mahnung und Geldeintreibung dürfen solange verarbeitet werden bis das Verfahren abgeschlossen ist – oder keine Eintreibung mehr möglich ist. Erst danach sind sie zu löschen.

Löschbestätigung

Der Betroffene sollte nach durchgeführter Löschung darüber informiert werden, dass die Löschung umgesetzt wurde. Dies ist zwar nicht in der DSGVO vorgeschrieben, ab er im Sinne der Datenhygiene sinnvoll.

Grenzen der Dokumentation am Beispiel Lösch-Begehren

Betroffenen steht das Recht auf Löschung ihrer personenbezogenen Daten zu. Ist das Begehren rechtens, wäre es logisch, den Vorgang des Löschens zu protokollieren. Nur so ist es möglich, den Nachweis zu führen, dass die Daten tatsächlich gelöscht wurden.

Das steht aber im Widerspruch zum Begehren des Betroffenen, da die Daten des Betroffenen protokolliert und somit gespeichert wären. Da gibt es wohl noch Klärungsbedarf!

Was steht wirklich in der DSGVO?

Löschen ist eines der Rechte Betroffener, es ist im Art. 17 der DSGVO verankert. Dort heißt es im Abs. (1) unmissverständlich:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

Dieses scheinbar absolute Recht wird jedoch dadurch eingeschränkt, dass einer der folgenden Gründe zutreffen muss:

Wegfall des Verarbeitungszwecks

Unzulässig ist eine Datenverarbeitung grundsätzlich immer dann, wenn dieser kein rechtmäßiger Zweck mehr zugrunde liegt (Art 5 Abs lit b DSGVO). Im Fall, dass ein und dieselben Daten für mehrere Zwecke verarbeitet werden, dürfen diese erst gelöscht werden, wenn sämtliche Verarbeitungszwecke weggefallen sind.

Unzulässig ist eine Datenverarbeitung grundsätzlich immer dann, wenn dieser kein rechtmäßiger Zweck mehr zugrunde liegt (Art 5 Abs lit b DSGVO). Im Fall, dass ein und dieselben Daten für mehrere Zwecke verarbeitet werden, dürfen diese erst gelöscht werden, wenn sämtliche Verarbeitungszwecke weggefallen sind. Widerruf der Einwilligung des Betroffenen

wirksamer Widerspruch gemäß Art 21 DSGVO

Unrechtmäßigkeit der Datenverarbeitung

rechtliche Verpflichtung zur Löschung (Gesetz, Urteil, Bescheid)

die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben (beispielsweise Fehlen einer Einwilligung der Erziehungsberechtigten eines Kindes). Daten eines Kindes sind allenfalls bei Fehlen einer Einwilligung der Erziehungsberechtigten zu löschen.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder his-torische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Schlussfolgerungen

1. Die Identität eines Antragstellers ist ggf. nachzuweisen, sonst könnte irgendjemand die Löschung von Daten einer x-beliebigen Person verlangen.

2. Die Berechtigung eines Löschbegehrens ist in jedem Einzelfall zu prüfen. Falls es Gründe gibt, die das Löschen verhindern, ist dieser Umstand zu protokollieren und der Betroffene darüber zu informieren.

3. Ein berechtigtes Lösch-Begehren ist auf allfällige Auftragsverarbeiter zu überbinden. Der Vorgang ist zu protokollieren.

*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at