Im Fokus des europäischen Datenschutzausschusses: Das Recht auf Löschung
Der Europäische Datenschutzausschuss (EDSA) hat für 2025 eine EU-weit koordinierte Aktion angekündigt, die sich auf die Umsetzung des „Rechts auf Löschung“ konzentriert. Ziel ist es, die praktische Anwendung dieses Grundrechts zu überprüfen, Schwachstellen aufzudecken und die Einhaltung der Datenschutzgrundverordnung (DSGVO) zu stärken. Das Recht auf Löschung ist nicht nur eine gesetzliche Pflicht, sondern auch ein entscheidender Schritt zu mehr Datensouveränität für Bürgerinnen und Bürger. Als führendes Datenschutzunternehmen begrüßt UIMC diese Initiative und unterstützt Unternehmen bei der Umsetzung; sieht aber auch Probleme bei der Umsetzung der Löschung von Langzeit-Backups.
Die koordinierte Aktion der EDSA legt ein europaweites Augenmerk auf die praktische Umsetzung des Rechts auf Löschung – auch als „Recht auf Vergessenwerden“ bekannt. Nationale Aufsichtsbehörden werden Prozesse zur Löschung personenbezogener Daten prüfen und vergleichen. Dabei sollen bestehende Verfahren bewertet, Lücken identifiziert und gezielte Empfehlungen erarbeitet werden. Die Ergebnisse werden auf nationaler sowie EU-Ebene ausgewertet, um die Einhaltung der DSGVO weiter zu fördern.
Hintergrund der Vorgehensweise
Im Datenschutzrecht besteht eine gesetzliche Verpflichtung personenbezogene Daten zu löschen, wenn diese für die Zwecke, für die sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind und der Löschung keine Aufbewahrungspflicht entgegensteht.
Was bedeutet das für Unternehmen? Die neue EU-Initiative stellt viele Unternehmen vor die Herausforderung, ihre internen Prozesse anzupassen. Besonders bei komplexen Datenarchitekturen kann es schwierig sein, Löschanforderungen korrekt und vollständig umzusetzen.
Festlegung von Fristen
Für alle Arten von personenbezogenen Daten müssen Aufbewahrungsfristen festgelegt werden. Es ist nicht erlaubt, sie ohne Ende aufzubewahren. Wenn Fristen unterschiedlich lang sind, gilt die längste. Sind für personenbezogene Daten die Aufbewahrungsfristen abgelaufen, müssen diese gelöscht werden. Ein automatisiertes Löschen von digitalen Daten ist dem manuellen Löschen vorzuziehen, sofern dies möglich ist.
Dilemma mit Langzeit-Backups
In der Unternehmenspraxis stellt sich stets diese Frage, wie mit Backup-Daten bzw. mit Langzeit-Backups umzugehen ist. Dabei kommt der Abgrenzung von Archivdaten zu Backup-Daten eine entscheidende Bedeutung zu. Es ist durchaus zu vertreten, dass es (ausnahmsweise) unzumutbar und unverhältnismäßig wäre, Vertragsdaten zu Personen, beispielsweise ausgeschiedenen Arbeitnehmern, auf Backups oder in externen Speichern zu löschen; insbesondere dann, wenn hiervon die gesamte Sicherung erfasst würde. Es ist aber unbestritten, dass – wenn ein Backup beispielsweise nach einem Datendesaster – wieder eingespielt wird, auch eine Löschung des betreffenden einzelnen Datensatzes erfolgen muss, der im Produktivsystem gelöscht wurde.
Empfehlung
Wir sehen immer wieder, dass Unternehmen zwar um ihre Verpflichtungen wissen, es aber an der praktischen Umsetzung mangelt. Spätestens durch diese Prüfaktion der EDSA sollten sich Unternehmen nun bewegen und effiziente und rechtssichere Prozesse schaffen, die den Anforderungen der DSGVO gerecht werden. In einer Richtlinie sind alle zentrale Gesichtspunkte zur Aufbewahrung und Vernichtung von Informationen festzulegen. Falls diese Regelung bereits existiert, sollte die EDSA-Aktion zum Anlass genommen werden, die Prozesse hinsichtlich Umsetzung und Wirksamkeit zu prüfen (Stichwort: Revision gemäß Artikel 32 Absatz 1 lit. d DSGVO).
Exkurs: Grenzen der Löschpflicht
Es gibt auch Gründe für eine Aufbewahrung, die aus einem betrieblichen Erfordernis resultieren. Das sind zum Beispiel Informationen, die zur internen Bearbeitung dienen oder zur späteren Recherche wichtiger Sachverhalte unerlässlich sind. Die Löschpflicht gilt nicht, wenn die personenbezogenen Daten (weiterhin) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.
Zudem ist eine Löschung ausnahmsweise nicht erforderlich,
- wenn die Daten nicht in der IT gespeichert sind (z.B. Papierakten), die Löschung nur mit unverhältnismäßig hohem Aufwand möglich wäre und das Löschungsinteresse als gering anzusehen ist,
- wenn der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden oder
- wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.
Anstelle einer Löschung müssen die Daten dann als „eingeschränkt für die Verarbeitung“ markiert werden. Die Daten dürfen nur weiterverarbeitet werden, wenn die Person, deren Daten es betrifft, einverstanden ist oder wenn die Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats weiterverarbeitet werden.