01it zunehmender Zahl von Betroffenenanfragen nehmen auch die Löschbegehren betroffener Personen zu, auch wenn Auskunftsanfragen wohl noch immer die häufigste Art von Anfragen darstellen. Was es dabei bei der Erfüllung der Pflicht eines Verantwortlichen zu beachten gibt, erläutern wir in diesem Beitrag.

Übrigens: Natürlich sind Daten bei physischem Vorhandensein zu vernichten, so werden wir im Folgenden jedoch übergreifend den Begriff des Löschens verwenden, der im Folgenden den Begriff des Vernichtens umfasst.

Löschbegehren als Betroffenenrecht

In einigen unserer früheren Beiträge, u. a. in „Art. 15 ff. DSGVO: Betroffenenrechte“ oder auch „Rechte betroffener Personen“, fand das Löschbegehren einer betroffenen Person schon Erwähnung. Wie aus den Überschriften erkennbar ist, handelt es sich hierbei um ein Betroffenenrecht, welchem ein Verantwortlicher natürlich nachkommen muss. Wie auch bei der Erfüllung der anderen Betroffenenrechte, ist es notwendig Prozesse zur Umsetzung zu implementieren. Schauen wir also mal, welche dies sind.

Eingang eines Löschersuchens

Jede Person beim Verantwortlichen muss wissen, wie Sie zu handeln hat, wenn eine Löschanfrage eingeht. Dabei ist es natürlich relevant, ob diese Anfrage schriftlich, telefonisch oder auf sonstige Weise – beispielsweise auch direkt vor Ort in-Person – eingeht. Je nachdem, wer in einem Unternehmen, dem Verein, der Arztpraxis etc. für den Datenschutz verantwortlich ist, wird generell der hierfür vorgesehene Empfänger des Löschbegehrens sein bzw. ist die Stelle, an die es zu übergeben ist. An diese Person oder das Team ist die Anfrage sofort zu übermitteln.

Identifikation der betroffenen Person

Auch das unberechtigte Löschen personenbezogener Daten stellt eine unzulässige Verarbeitung personenbezogener Daten dar. Bevor ein Verantwortlicher diese Daten als Folge eines Löschersuchens löscht, muss er sichergehen, dass es sich auch um die eigentliche betroffene Person handelt. Folglich muss es einen Prozess geben, die Person zu identifizieren.

Aber auch hier ist es wichtig, sicherzustellen, dass die zur Identifikation abgefragten Daten angemessen sein müssen. Dabei helfen kann einerseits die Frage, welche Daten einen Abgleichzweck erfüllen und auch wie sensibel die verarbeiteten personenbezogenen Daten sind. Wenn wir also das Beispiel des Verlangens einer Ausweiskopie ansprechen, ist festzustellen, dass die Abfrage dessen nicht immer notwendig und auch nicht zwangsläufig zielführend ist.

Einhaltung der 1-Monat-Frist

Einem Löschersuchen muss ein Verantwortlicher innerhalb eines Monats nachgekommen (Art. 12 Abs. 3 S. 1 DSGVO). Um dies erfüllen zu können, ist es unumgänglich, dass ein Verantwortlicher Prozesse implementiert hat, die die Einhaltung dieser Frist gewährleisten.

Wie schon oben erwähnt, müssen alle Beschäftigten wissen, an wen eine etwaige Anfrage sofort weiterzuleiten ist und der Identifikationsprozess muss seitens des Verantwortlichen zügig begonnen werden.

Weiterhin ist es für den Verantwortlichen wichtig zu wissen, wo von einer betroffenen Person personenbezogene Daten wie verarbeitet werden. – Hier weisen wir übrigens auf das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO hin, welches dem Verantwortlichen hilft, einen Überblick über die Verarbeitungsvorgänge zu behalten. – Folglich weiß ein Verantwortlicher dann auch, wo Daten liegen, die zu löschen sind. Dieses Wissen ist übrigens auch hilfreich, wenn eine betroffene Person eventuell nur einen bestimmten Datensatz löschen lassen möchte. Als Folge darauf, können dann die entsprechenden Anweisungen zur Löschung erteilt und die betroffene Person hierzu innerhalb der Frist informiert werden.

Auftragsverarbeiter und sonstige Datenempfänger

Das Verzeichnis von Verarbeitungstätigkeiten wird aufgrund der Vorgabe von Art. 30 Abs. 1 S. 2 lit. d) DSGVO auch Informationen zu den Empfängern personenbezogener Daten enthalten, sodass auch solche Informationen leicht auffindbar sind. Schließlich muss der Verantwortliche auch Auftragsverarbeiter anweisen, die Daten zu löschen und sonstige Datenempfänger über die Löschanfrage informieren, damit diese auch prüfen können, inwiefern die Daten gelöscht werden können oder ob dem rechtliche Aufbewahrungsfristen entgegenstehen.

Fazit

So mancher Verantwortlicher zieht ein Löschersuchen dem Auskunftsbegehren vor. Aber auch bei einem Löschersuchen gibt es Einzelheiten, die einen Datenschutzvorfall auslösen können, sodass dies genauso ernst zu nehmen ist wie eine Auskunftsanfrage.

Gern unterstützen und beraten wir Sie auch bei der Bearbeitung solcher Anfragen und weisen auf etwaige Fallen hin. Kontaktieren Sie uns gern heute für ein unverbindliches Angebot.