Klaus Reinhard
Datenschutzbeauftragter
Die Vorschriften der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) sehen für Unternehmer verschärfte Informations- und auch Löschungspflichten vor. Unternehmen, die diesen Verpflichtungen nicht hinreichend nachkommen, drohen hohe Haftungsrisiken. Die Umsetzung der Vorgaben nach Art. 17 EU-DSGVO ist jedoch nicht so einfach abzuwickeln. Entsprechend lohnt es sich ein weitreichendes Löschkonzept einzuführen und umzusetzen.
Erfolgt eine Aufforderung zur Löschung durch einen Betroffenen, ist in vorangehenden Instanzen sicherzustellen, dass diese Person dazu berechtigt ist.
Dann sind weitere Schritte zu prüfen und im Anschluss ist der betroffenen Person die Löschung zu bestätigen bzw. zu begründen warum die Löschung zu einem späteren Zeitpunkt erfolgt.
Bei rechtmäßiger Datenerhebung- und Verarbeitung gelten bestimmte gesetzliche Vorgaben zur Aufbewahrungspflicht. Anders sieht es bei Daten aus die ausschließlich mit Einwilligung des Betroffenen verarbeitet werden. So sind beispielsweise Verträge je nach Art noch zehn Jahre nach Beendigung der vertraglichen Verpflichtung aufzubewahren. Hier greifen Steuerrecht, Sozialversicherungsrecht und andere gesetzliche Aufbewahrungspflichten. Bei einer Einwilligung für einen Newsletter müssen jedoch die Daten sofort gelöscht oder zumindest gesperrt werden. Aber auch das „berechtigte Interesse“ sollte in Bezug auf die Datenlöschung mitbedacht werden.
Die bestmögliche Lösung für diese Aufgabe ist die Einführung eines Löschkonzeptes. Möglichkeiten ein solches aufzubauen gibt es viele. Diese richten sich unter anderem nach der Größe des Unternehmens und den finanziellen Möglichkeiten. Grundsätzlich soll in einem Löschkonzept Schritte, Inhalte und Lösungen zum Löschablauft geregelt sein. Gleichbleibend bei allen Möglichkeiten sind die Vorgänge um Unterlagen, Prozesse, Programme und Art der Daten festzulegen, die für eine Löschung relevant sind.
Dann wird definiert ab wann die Löschung stattfinden kann. Entsprechend dieser Zusammenstellung können die Aufbewahrungsfristen gesteuert und somit das Löschkonzept aufgebaut werden. Vorteilig ist dabei, dass es ein auf das Unternehmen individuell geschneidertes Verfahren zur Löschung ist, dass die datenschutzrechtliche Konformität sicherstellen soll, sondern auch flexibel nach den neuesten Anpassungen akutalisiert werden kann.
Nicht immer ist eine sofortige Löschung sinnvoll, auch wenn der Berechtigte dies einfordert. Es gibt den Vorbehalt des „berechtigten Interesses“. In vorab ausreichend begründeten Fällen greift dieser dann und setzt die Löschung zeitweise aus. Bahnt sich z. B. ein Rechtsprozess mit einem Betroffenen an, wäre es für das Unternehmen verheerend, wenn die zugehörigen Daten vorher gelöscht würden.
Im Falle eines Gerichtsverfahrens könnte es zudem wichtig sein, einen Nachweis für rechtmäßige Abläufe von Bewerbungsprozessen erbringen zu können. Wichtig ist, dass die zugehörigen Verarbeitungsprozesse zuvor definiert und das berechtigte Interesse und die Dauer der weiteren Aufbewahrung festgelegt worden sind.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!