Bußgelder rund ums Löschen

Neben der neuen Entscheidung des EuGH zur Datenübertragung in Drittstaaten (Schrems II) ist auch das Löschen ein Dauerthema in unseren Beiträgen. Verstöße gegen Löschpflichten sind auch immer wieder Gegenstand von Bußgeldern. In unserem Beitrag vom 13.5.2020 haben wir bereits Überlegungen für ein Löschkonzept und die entsprechenden Löschfristen kurz dargestellt. Wichtig ist aber nicht nur das Vorhandensein eines Löschkonzeptes, sondern auch das technische Umsetzen der Löschung. Daneben ist ein Prozess aufzusetzen, wie auf Löschanträge von betroffenen Personen zu reagieren ist.

Nach den Vorgaben der DSGVO und des BDSG besteht grundsätzlich die Verpflichtung jedes Verantwortlichen für die Datenverarbeitung alle personenbezogenen Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr gebraucht werden. Nach Art. 25 DSGVO muss die Technik so gestaltet werden, dass Löschen möglich ist und planmäßig erfolgen kann.

Am 28.7.2020 verhängte die dänische Aufsichtsbehörde ein Bußgeld von fast 150.000 € gegen eine Hotelgruppe, die Daten nicht entsprechend des eigenen Löschkonzeptes gelöscht hat. Am 24.7.2020 wurde in Spanien und am 30.7.2020 wurde in Rumänien jeweils ein Bußgeld verhängt, weil auf Löschanträge von Betroffenen nicht reagiert wurde. Bereits diese drei Vorgänge aus einem Monat zeigen, dass nicht nur in Berlin (Bußgeld gegen die Deutsche Wohnung und Delivery Hero) sondern auch international die Einhaltung der Löschpflichten eine entscheidende Rolle spielen.

Die Erstellung eines Löschkonzepts ist der erste Schritt. Der zweite Schritt ist die tatsächliche Umsetzung der Löschung. Die löschfähigen Daten müssen identifiziert werden, herausgelöst und dann gelöscht werden. Sicheres Löschen ist erreicht, wenn Daten nicht wiederherstellbar sind. Ist der Aufwand für die Rekonstruktion der Daten höher als der Nutzen für den potentiellen Angreifer ist davon auszugehen, dass die Löschung der Daten hinreichend sicher ist. Gelöscht werden kann vereinfacht und untechnisch ausgedrückt durch Überschreiben der Daten, Verschlüsseln der Daten und Vernichten des Schlüssels oder Vernichten des Datenträgers. Welche Methoden in Ihrer Software angewendet werden, kann Ihnen sicherlich Ihr IT-Dienstleister mitteilen, wie dies datenschutzrechtlich zu bewerten ist, klärt dann der Datenschutzbeauftragte.

Sie benötigen einen externen Datenschutzbeauftragten oder brauchen eine individuelle Beratung zum Datenschutz? Stellen Sie hier Ihre Anfrage und wir erstellen Ihnen ein konkretes Angebot. Auf unserer LEWENTO Akademie finden Sie relevante Webinare zum Thema Datenschutz.

Die Frage, ob eine Löschung der Daten auch aus den Backup-Systemen erfolgen muss, ist bislang nicht höchstrichterlich geklärt. Einigkeit besteht jedoch darüber, dass ein Ausgleich zwischen Datenschutz und Datensicherheit zu schaffen ist. Es ist daher meist nicht erforderlich, einzelne Daten aus dem Backup zu löschen, wenn so die Sicherheit der Datenverarbeitungssysteme gefährdet werden.

Daten sollten selbstverständlich auch ohne Löschantrag von Betroffenen gelöscht werden, wenn sie nicht mehr benötigt werden. Umso mehr gilt aber, dass Daten gelöscht werden, wenn die betroffene Person dies verlangt. Auch hier sollte ein Prozess aufgesetzt werden. Auf den Löschantrag ist unbedingt zu reagieren. Sie prüfen, ob und wenn ja, welche Daten der Person sie verarbeiten und ob es für diese Verarbeitung (noch) eine Rechtsgrundlage gibt. Gibt es diese nicht, müssen diese Daten identifiziert werden, herausgelöst und dann gelöscht werden. Über diese Schritte sollte die Person auch informiert werden. Bereits jetzt sollten Sie festlegen, wer diese Löschanträge bearbeitet, welcher Prüfungsschritt durch welchen Mitarbeiter erfolgt. Sie sollten hier Ihren Mitarbeitern Musterschreiben und Checklisten zur Verfügung stellen. Beispiele finden Sie hier.

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay