skip to Main Content

Datenlöschung

Ein Grundprinzip des Datenschutzes ist es, dass personenbezogene Daten nur solange gespeichert werden, wie man sie für die Zwecke, für die sie erhoben wurden, benötigt gemäß Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO).

Art. 17 DSGVO verpflichtet daher den Verantwortlichen, personenbezogene Daten in den Fällen des Art. 17 Abs. 1 DSGVO unverzüglich zu löschen: So sind u.a. personenbezogene Daten zu löschen, sobald die Zwecke, für welche die Daten erhoben worden sind, wegfallen. Beispiel: Sofern einem Bewerber nach Sichtung seiner Bewerbungsunterlagen eine Absage erteilt wird, benötigt man die Bewerbungsunterlagen anschließend nicht mehr.

Art. 17 Abs. 3 DSGVO sieht jedoch Ausnahmen von der Datenlöschung vor, d.h. trotz Vorliegen eines Falls gemäß Art. 17 Abs. 1 DSGVO, dürfen die personenbezogenen Daten weiterhin verarbeitet werden, u.a. wenn gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen oder der Verantwortliche die Daten zur Geltendmachung und Ausübung von Rechtsansprüchen oder zur Verteidigung gegen Rechtsansprüche weiterhin benötigt. Beispiel: Zur Entkräftung etwaiger Diskriminierungsvorwürfe dürfen Bewerbungsunterlagen des Bewerbers noch für 3 Monate, nachdem ihm eine Absage erteilt wurde, aufbewahrt werden.

Die Datenschutzgrundverordnung (DSGVO) enthält zwar keine Definition des Begriffs „Löschen“. Dennoch sollte eine Art der Datenlöschung gewählt werden, durch welche die personenbezogenen Daten nach dem Vorgang nicht mehr vorhanden oder in einer Weise unkenntlich sind, dass sie nicht mehr verwendet oder rekonstruiert werden können.

Im Rahmen der Datenlöschung treffen den Verantwortlichen zudem Informationspflichten: So muss der Verantwortliche im Verzeichnis von Verarbeitungstätigkeiten die Regellöschfristen dokumentieren, die betroffenen Personen, deren Daten er verarbeitet, über die Speicherdauer informieren und andere Verantwortliche, denen gegenüber er die Daten öffentlich gemacht hat, benachrichtigen, wenn eine betroffene Person die Löschung dieser Daten verlangt.

Da Verstöße gegen die Prinzipien in Art. 5 DSGVO sowie ein Verstoß gegen Art. 17 DSGVO bußgeldbewehrt sind, sollte jeder Verantwortliche hinsichtlich der von ihm verarbeiteten Daten die für ihn geltenden Regellöschfristen sowie die Arten der Datenlöschung bestimmen, die datenschutzgerechte Umsetzung der Datenlöschung in seinem Unternehmen überwachen und seinen Informationspflichten nachkommen.

S. Kieselmann
Beraterin für Datenschutz

Back To Top