Umgang mit Löschpflichten
6. Mai 2022

Löschpflichten im Datenschutz: Umgang und Tipps für Unternehmen

Die Datenschutzgrundverordnung (kurz: DSGVO) definiert für Unternehmen in Art. 17 explizite Löschpflichten im Datenschutz. Verbraucher:innen genießen dadurch auf europäischer Ebene ein „Recht auf Vergessenwerden“. Hierbei geht es nicht darum, digitale Spuren auszuradieren. Es geht in Art. 17 DSGVO vielmehr um die Löschung personenbezogener Daten, wenn die Betroffenen einer weiteren Verarbeitung widersprechen und eine darüberhinausgehende Legitimierung zur Verarbeitung fehlt. Die Löschpflichten betreffen dabei nicht nur Unternehmen, die die Daten erheben, sondern auch alle weiteren Verarbeiter:innen. 

Warum sind Löschpflichten im Datenschutz notwendig?

Art. 17 DSGVO normiert auf europäischer Ebene das sogenannte „Recht auf Vergessenwerden“. Damit haben Verbraucher:innen das Recht, die Löschung der von ihnen erhobenen personenbezogenen Daten zu fordern, wenn sie nicht mehr möchten, dass ihre Daten weiterverarbeitet werden. Unternehmen fehlt dann die im Rahmen der DSGVO notwendige Einwilligung der Betroffenen zur Legitimierung der Verarbeitung, wenn sich nicht durch ein Gesetz ohnehin die Rechtmäßigkeit der Verarbeitung ergibt.

Grundsätzlich bedarf es für die Löschpflichten im Datenschutz nicht der Mitwirkung der Betroffenen. Die Löschpflichten bestehen auch dann, wenn der Zweck für die Erhebung der personenbezogenen Daten nicht mehr besteht. Damit gilt juristisch ein Zweckbindungsgrundsatz. Spätestens dann, wenn der Zweck für die Erhebung wegfällt, müssen Unternehmen die entsprechenden Daten einer Löschung zuführen.

Für Unternehmen sind die Löschpflichten wichtig, um den datenschutzrechtlichen Anforderungen der DSGVO nachzukommen. Um Bußgelder und Sanktionen nach Art. 83 DSGVO zu vermeiden, ist es unerlässlich, dass sich alle Mitarbeitenden mit dem Datenschutz personenbezogener Daten auskennen. Zwar sieht die DSGVO derzeit von einer expliziten Pflicht zur Datenschutz-Schulung ab, eine indirekte Pflicht zur Schulung gilt aber mindestens. Diese folgt aus Art. 5 Abs. (2) DSGVO, der die allgemeine Nachweispflicht des/der Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert. lawpilots bietet mit interaktiven Online-Schulungen zum Thema Datenschutz die Möglichkeit, das Wissen von Mitarbeitenden zu stärken und zu erweitern. 

Wann gilt eine Löschpflicht für personenbezogene Daten?

Personenbezogene Daten müssen gelöscht werden, wenn

  • die Betroffenen die erteilte Einwilligung zur Verarbeitung widerrufen bzw. zurückziehen und es keinen anderen Grund zur rechtmäßigen Verarbeitung der personenbezogenen Daten gibt;
  • der Zweck zur Verarbeitung der personenbezogenen Daten wegfällt (Beispiel: Erhebung personenbezogener Daten im Rahmen eines Gewinnspiels, das final beendet ist);
  • die personenbezogenen Daten zur Vertragserfüllung erhoben werden und der Vertrag final erfüllt bzw. abgeschlossen ist;
  • die gesetzliche Pflicht zur Datenverarbeitung nicht mehr besteht oder wegfällt.

In der unternehmerischen Praxis ergeben sich hierbei je nach Unternehmensbereich Unterschiede in der Ausgestaltung der Löschpflichten im Datenschutz. Wichtig ist es daher, Mitarbeitende entsprechend den aktuellen Anforderungen zu schulen. Dabei helfen Ihnen Online-Schulungen, die passgenau auf die verschiedenen Unternehmensbereiche eingehen. Mit den E-Learnings von lawpilots können Sie sowohl Führungskräfte als auch Mitarbeitende im Marketing sowie Mitarbeitende im Personalwesen fit machen für den Umgang mit personenbezogenen Daten, jeweils unter Berücksichtigung der spezifischen Besonderheiten.

Wann gilt eine Ausnahme von der Löschpflicht?

Die Löschpflichten im Datenschutz sind nach dem Willen des europäischen Gesetzgebers nicht verhandelbar. Allerdings ergeben sich unter Umständen Ausnahmen. Dies wird in Art. 17 Abs. (3) lit. (b) DSGVO berücksichtigt. Demnach gilt immer dann eine Ausnahme, wenn nach deutschem Recht gesetzliche Aufbewahrungspflichten einschlägig sind. 

Für Unternehmen gelten sowohl in steuerrechtlicher als auch in handelsrechtlicher Hinsicht unterschiedliche Aufbewahrungspflichten. Rechnungen müssen unternehmensseitig beispielsweise mindestens zehn Jahre aufbewahrt werden. Dies stellt eine DSGVO-konforme Ausnahme von der Löschpflicht dar. Praktisch bedeutet das: Auch dann, wenn sämtliche Voraussetzungen zur Löschung vorliegen, dürfen Unternehmen erst nach Ablauf der Aufbewahrungspflicht die erhobenen Daten löschen.

Auch aus dem Geldwäschegesetz (kurz: GWG) ergeben sich Aufbewahrungspflichten. § 8 Abs. (4) GWG sieht vor, dass Informationen und Belege, die nach Absatz 1 der Vorschrift aufgezeichnet werden, mindestens fünf Jahre aufbewahrt werden müssen. Dies ist ebenfalls eine Ausnahme von der Löschpflicht im Datenschutz.

Wie können Unternehmen die Löschpflichten umsetzen?

Obwohl die gesetzlichen Vorgaben eindeutig sind, erweisen sich die Löschpflichten im Datenschutz in der Praxis häufig als Stolperstein auf dem Weg zur DSGVO-Konformität. Zur Umsetzung können Unternehmen Löschkonzepte einsetzen. Damit ist es möglich, den gesetzlichen vollumfänglich Löschpflichten nachzukommen, ohne unnötige Ressourcen in die Löschung personenbezogener Daten zu investieren.   

Für das Löschkonzept werden in einem ersten Schritt alle Stellen gesammelt, an denen im Unternehmen personenbezogene Daten erhoben werden und wer dafür verantwortlich ist. Anschließend muss ein Überblick erstellt werden, der zeigt, welche Daten wo gespeichert sind. Im dritten Schritt folgt üblicherweise eine Kategorisierung. Dies folgt der Einteilung der DSGVO, die auch nach besonders schützenswerten Daten unterscheidet. Zu guter Letzt werden Löschregeln erstellt, die sich nach der Art der personenbezogenen Daten richten. Hier fließen eventuelle Aufbewahrungspflichten und andere Ausnahmen mit ein.

Fazit

Die Löschung von personenbezogenen Daten setzt voraus, dass eine Wiederherstellung der Daten final nicht mehr möglich ist. Compliance oder Datenschutz Beauftragte sind somit in der Pflicht, die Daten unwiderruflich aus den Systemen zu löschen. Übrigens kann eine Löschung theoretisch auch schon gegeben sein, wenn die personenbezogenen Daten so anonymisiert werden, dass ein Personenbezug nicht mehr möglich ist. Allerdings muss es sich dafür um eine echte Anonymisierung handeln. 

Achtung: Es besteht ein Unterschied zwischen einer Anonymisierung und einer Pseudonymisierung. Während pseudonyme Daten unter Heranziehung weiterer Informationen immer noch einen Personenbezug zulassen, ist dies bei anonymen Daten nicht möglich. Mehr zu diesem Thema erfahren Sie auch in unserem Blogbeitrag „Wann sind personenbezogene Daten hinreichend anonymisiert und pseudonymisiert?„.

lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Mitarbeitenden nicht nur zum Thema Datenschutz, sondern auch in den Bereichen Compliance, IT-Sicherheit und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Belegschaft Ihr Unternehmen aktiv vor Datenschutzverletzungen schützt und Risiken beim Umgang mit personenbezogenen Daten umgeht. Das betrifft gerade auch die mit der DSGVO normierten Löschpflichten im Datenschutz. Neben unseren Online-Schulungen zur DSGVO und zum Datenschutz bieten wir zusätzliches Wissen in unserem kostenlosen Whitepaper „Datenschutz und Digitalisierung“ und in unseren aktuellen Blogbeiträgen.

13. Mai 2022
Multilinguale Online-Schulungen: lawpilots bietet Sprachenvielfalt bei E-Learnings für internationale Organisationen und Unternehmen
06. Mai 2022
CSR oder Corporate Social Responsibility – das sollten Unternehmen dazu wissen!
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,65 von 5 Sternen 1856 Bewertungen auf ProvenExpert.com