Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Laura Novakovski
Spätestens seit Inkrafttreten der DSGVO hat ein den gesetzlichen Anforderungen entsprechender Umgang mit persönlichen Daten, deren Aufbewahrung und Löschung zu erfolgen. Vorgeschriebene Fristen und die Erforderlichkeit einer zunehmend größeren EDV-Speicherkapazität sind dabei zu beachten und erfordern ein besonderes Augenmerk.
Das Recht auf Löschung („Recht auf Vergessenwerden“) regelt Art. 17 DSGVO. Im Unterschied zu anderen Rechten, die von der Datenverarbeitung Betroffene geltend machen können, beinhaltet Art. 17 DSGVO neben dem Recht, unter bestimmten Voraussetzungen die Löschung seiner Daten von dem Datenverarbeiter (dem sog. Verantwortlichen) zu verlangen, auch dessen Pflicht, ohne Antrag des Betroffenen personenbezogene Daten zu löschen.
Die Löschpflicht greift insbesondere, sobald die Zweckgebundenheit für die Erhebung von Daten entfällt, ein Widerruf der Einwilligung in die Datenverarbeitung oder ein Widerspruch gegen die Datenverarbeitung durch die betroffene Person erfolgt.
Darüber hinaus hat der Verantwortliche bei Bestehen einer Löschpflicht in dem Fall, dass die zu löschenden Daten veröffentlicht wurden, sämtliche Dritte, die die zu löschenden Daten ebenfalls verarbeiten, über das „Löschverlangen“ des Betroffenen zu informieren.
Eine Löschpflicht kann jedoch ausnahmsweise nicht bestehen, wenn dieser eine rechtliche Verpflichtung zur Aufbewahrung der Daten entgegensteht. Diese kann sich insbesondere aus gesetzlich geregelten Aufbewahrungsfristen ergeben, wie z.B. aus § 147 AO oder § 257 HGB.
Daher stehen Unternehmen, die sich mit der Thematik „Löschung personenbezogener Daten“ beschäftigen, stets vor der Frage, welche Daten wie lange aufzubewahren sind und wann diese zu löschen sind. Hier ist ein sog. Löschkonzept zu erstellen.
Als Grundlage zur Bemessung der Löschfristen hat das Deutsche Institut für Normung e.V. mit der DIN-Norm 66398 sozusagen eine Anleitung für die Erstellung von Löschkonzepten entwickelt. Es stellt eine hilfreiche Unterstützung für Unternehmen dar, da Löschfristen aufgrund der jeweiligen Besonderheiten der verarbeiteten personenbezogenen Daten weder vorgegeben noch empfohlen sind.
Ein DSGVO-konformes Löschkonzept ist für jedes datenverarbeitende Unternehmen unerlässlich, auch um dem Grundsatz der Datenminimierung gem. Art. 5 DSGVO gerecht zu werden. Die Erarbeitung eines Löschkonzepts bzw. die Prüfung eines bereits vorhandenen Konzepts sollte bestenfalls mit fachlicher Unterstützung von IT-Experten und Juristen erfolgen.
Das Team von SBS Legal unterstützt Sie hierbei gerne!
Bei weiteren Fragen zum Thema kontaktieren Sie uns gern oder besuchen uns zu diesem Thema auf anwalt.de