Wie Sie die gesetzlichen Anforderungen zur Datenlöschung gemäß DSGVO erfüllen

Wenn Sie als Unternehmen oder sonstige Einrichtung in Mecklenburg-Vorpommern personenbezogene Daten verarbeiten, müssen Sie die gesetzlichen Löschvorgaben für diese Daten bearbeiten. Die wesentlichen Vorschriften zur Datenlöschung finden sich in Artikel 17 der Datenschutz-Grundverordnung (DSGVO). Demnach sind Sie als Organisation in Mecklenburg-Vorpommern zur Datenlöschung verpflichtet, wenn einer der folgenden Fälle vorliegt:

• Wenn die Datenspeicherung von vornherein unrechtmäßig war, z.B. wenn kein Rechtsgrund vorlag oder der Grundsatz der Datensparseimkeit verletzt wurde, müssen personenbezogene Daten in jedem Falle gelöscht werden.
• Grundsätzlich ist die Speicherung von Daten nur dann rechtmäßig, wenn sie zweckgebunden erfolgt. Ist der Verwendungszweck nicht mehr gegeben, so sind auch die Daten zu löschen.
• Auch wenn die betroffene Person ihre Einwilligung zur Datenverarbeitung widerruft oder diese verweigert, müssen die Daten gelöscht werden.

Diese Lösch-Anlässe sind jedoch keineswegs so eindeutig, wie sie auf den ersten Blick erscheinen. Die praktische Umsetzung der Löschpflichten erfordert grundsätzlich komplexe und regelmäßige Überprüfungen. Gehen wir von einem Beispiel aus:

Die Fisch-Abo KG aus Rostock beliefert Privathaushalten mit schhmackhaftem Frischfisch in Form eines wöchentlichen Liefer-Abos. Das Abo von Hans Hering aus Bad Doberan läuft zum 31.3. aus. Sophie Seelachs aus Stralsung bezieht Fisch im Abo noch bis Jahresende, widerruft am 20.3. aber ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten. Markus Makrele aus der Mecklenburgischen Schweiz wiederum hat sein Fisch-Abo bereits vor mehr als zehn Jahren beendet. Die Fisch-Abo KG möchte Ende März einen monatlichen Datenlösch-Lauf vornehmen und steht vor der Problematik, welche Daten wie zu löschen sind.

Es stellt sich heraus, dass weder der Widerruf von Sophie Seelachs noch der Wegfall des Abos von Hans Hering zu einer Datenlöschung führt, denn neben der Einwilligung gibt es in diesem Falle zusätzliche Rechtsgrundlagen zu Datenspeicherung, etwa die kaufmännische Pflicht zur Aufbewahrung von Geschäftsunterlagen. Auf der anderen Seite sind die Unterlagen von Markus Makrele zu löschen, denn nach mehr als zehn Jahren sind sämtliche Aufbewahrungsfristen bereits abgelaufen und somit neben der Zweckbindung auch die letzte Rechtsgrundlage weggefallen.

Ein Vorgehensmodell zur Löschung von strukturierten und unstrukturierten Daten

Das obige Beispiel verdeutlicht, dass zur Sicherstellung DGSVO-konformer Datenlöschungen ein systematischen Vorgehen realisiert werden muss. Dieses umfasst erstens bei anlassbezogenen Löschfällen (z.B. Auslaufen eines Vertrages, Widerruf des Betroffenen) eine Prüfung, ob es andere Gründe zur weiteren Datenspeicherung wie z.B. gesetzliche Verpflichtungen gibt. Zweitens sind regelmäßig aktiv Prüfungsläufe durchführen die sicherstellen, dass gespeicherte Daten, für die keine Zweckbindung mehr vorliegt und deren gesetzliche Aufbewahrungsfristen angelaufen sind, sicher gelöscht werden.

In der Praxis empfiehlt es sich daher, eine Liste mit allen vorhandenen Datenquellen zu pflegen, und diese Liste regelmäßig auf anstehende Löschungen zu prüfen. Grundlage werden in der Regel strukturierte Daten sein, die in einer Datenbank oder Tabelle organisiert sind und daher leicht durch Datenbankabfragen identifiziert und zum Löschen vorgemerkt werden können. Unstrukturierte Daten wie z.B. Dateien, eMails, Bildern oder Akten sind im besten Falle mit strukturierten Daten verknüpft und können so zur manuellen Löschung oder Vernichtung mit ausgewählt werden.

Bezüglich des Löschvorgangs selbst müssen Sie sicherstellen, dass die Daten zuverlässig inklusive etwaiger Kopien oder Backups gelöscht werden. Außerdem müssen Sie den Löschvorgang dokumentieren und ggf. an den Betroffenen rückmelden, sofern er eine Bestägigung gefordert hat.

Ein effektives Vorgehensmodell zur Löschung personenbezogener Daten ist unabdingbar um die Anforderungen der DSGVO zu erfüllen. Als Experten für Datenschutz in Mecklenburg-Vorpommernunterstützen wir Sie gerne bei der Implementierung dieser Prozesse.