DSGVO und Datenlöschung: Pflichten, Ansprüche und Ausnahmen

Die seit 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) stellt Unternehmen vor eine Reihe neuer Herausforderungen. Diese umfassen sowohl technische als auch rechtliche Aspekte. Hier kann Ihnen ein kompetenter Datenschutzbeauftragter in Mitteldeutschland weiterhelfen. Denn: Der Umgang mit personenbezogenen- und Kundendaten ist mit neuen Ansprüchen und Pflichten bezüglich ihrer Löschung verbunden. Zu berücksichtigen ist, dass nicht nur digitale, sondern auch Papierdokumente betroffen sind.

Personen- und kundenbezogene Daten: was ist zu löschen?

Grundsätzlich sind alle personenbezogenen Daten zu löschen, die für die ursprünglichen Zwecke nicht mehr erforderlich sind. Entscheidend für die zulässige Dauer der Speicherung ist der Zweck der Datenerhebung und -verarbeitung.

Rechtlich bedeutsam ist in diesem Zusammenhang insbesondere Art. 5 Abs. 1 lit. b DSGVO. Personenbezogene Daten sind spätestens dann zu löschen, wenn sie für die Zwecke nicht mehr erforderlich sind, für die sie verarbeitet wurden. Datenschützer sprechen hier vom Zweckbindungsgrundsatz als einem der zentralen Eckpfeiler des europäischen Datenschutzes.

Löschung anfordern und mögliche Ausnahmen

Grundsätzlich steht jedem EU-Bürger nach der DSGVO eine Art Recht auf Vergessenwerden zu. Es ist möglich, bei Verantwortlichen die Löschung der erhobenen Daten anzufordern.

Nach einem Antrag Betroffener sind die betreffenden Daten unverzüglich und ohne schuldhaftes Zögern zu löschen. Verantwortliche haben damit nicht mehr Zeit als unbedingt erforderlich ist, um eine Prüfung der Voraussetzungen für die Löschung vorzunehmen. Spätestens sind Antragsteller innerhalb eines Monats nach Eingang des Löschungsantrags entweder über die ergriffenen Maßnahmen oder über die Ablehnungsgründe des Löschungsantrags zu informieren.

Allerdings liegen Ausnahmen von der Löschungspflicht vor. Diese betreffen das Erfordernis einer Verarbeitung personenbezogener Daten. Rechtliche Grundlage hierfür ist Art. 17 Abs. 3 DSGVO.

Dazu gehören Daten, die zur Ausübung des Rechts auf freie Meinungsäußerung und Information verarbeitet werden. Ebenso zählen Daten zur Erfüllung öffentlicher Aufgaben dazu. Auch Daten, die aus Gründen des öffentlichen Interesses erhoben werden, müssen nicht gelöscht werden.

Gleiches gilt für Daten, die zur Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Auch für Daten, die für Forschungs- oder statistische Zwecke benötigt werden, gilt keine Löschungspflicht.

Löschungsanspruch geltend machen

Vor der Geltendmachung müssen betroffene Personen Kenntnis über die über sie gespeicherten Daten haben. Diesbezüglich ist das Auskunftsrecht nach Art. 15 DSGVO relevant. Gemäß DSGVO gibt es keine Anforderungen an die Form des Antrags. Im Sinne eines Nachweises ist die Schriftform am sichersten. Die Identität des Antragstellers ist in geeigneter Weise nachzuweisen. Andernfalls können Verantwortliche nach Art. 12 Abs. 6 DSGVO zusätzliche Informationen anfordern oder nach Art. 12 Abs. 2 Satz 2 DSGVO) die Löschung ablehnen. Im Falle einer Ablehnung der Löschung haben Verantwortliche diese zu begründen und auf Möglichkeiten eines Rechtsbehelfs oder einer Beschwerde hinzuweisen.

Was es bei der Löschung zu beachten gilt

Daten sind zu löschen, sobald keine Ausnahme mehr vorliegt oder die Aufbewahrung durch ein Gesetz erforderlich ist. Zu beachten ist, dass dies nicht nur digitale, sondern auch physisch vorliegende Daten betrifft. Papiermaterial ist ordnungsgemäß mittels Aktenvernichter zu beseitigen. Dieser gewährleistet, dass der Inhalt nicht mehr rekonstruierbar ist. Nicht zu vergessen ist aber, dass Aktenvernichter haben verschiedener Sicherheitsstufen. Erst Aktenvernichter ab Stufe P4 erfüllen die Anforderungen der DSGVO.

Löschfristen

Im Hinblick auf unterschiedliche Datentypen gibt es verschiedene vertragliche Regelungen oder Rechtsvorschriften für die Löschfristen. Im Sinne der Vereinfachung ist es empfehlenswert, Standard-Löschfristen einzuführen. Viele ergeben sich aus Gesetzen, darunter Verjährungs- und Aufbewahrungsfristen.

Zu den wichtigsten Standard-Löschfristen gehört etwa die sofortige Löschung (beispielsweise bei wirksamem Antrag und fehlender Ausnahme). Eine Löschfrist von 4 Jahren kann sich aus der 3-jährigen Verjährungsfrist laut BGB (Beginn ab Ende des Kalenderjahres) ergeben. Eine Löschfrist von 7 beziehungsweise 11 Jahren kann im Zusammenhang mit steuerrechtlichen Aufbewahrungspflichten von 6 bis 10 Jahren (beginnend ab Schluss des Kalenderjahres) relevant sein.