DSGVO und Löschanfragen – Rechte und Pflichten von Unternehmen
Einleitung
Weiterhin müssen Sie binnen eines Monats auf Löschanfragen reagieren; beachten Sie dabei Ausnahmen wie gesetzliche Aufbewahrungspflichten und erforderliche Daten zur Vertragserfüllung, um Bußgelder zu vermeiden.
Rechtliche Grundlagen des „Rechts auf Vergessenwerden“
Grundsätzlich regelt Art. 17 DSGVO Ihr Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen; Sie müssen jedoch Interessenabwägungen und gesetzliche Aufbewahrungsfristen beachten, die eine sofortige Löschung ausschließen können.
Der Anwendungsbereich von Artikel 17 DSGVO
Insbesondere greift Artikel 17, wenn die Rechtsgrundlage entfällt oder Sie erfolgreich Widerspruch gegen die Verarbeitung eingelegt haben; Sie sollten Ausnahmen wie Archivzwecke, wissenschaftliche Forschung oder rechtliche Pflichten prüfen.
Definition und Abgrenzung personenbezogener Daten
Begrifflich umfasst personenbezogene Daten alle Informationen, die Sie direkt oder indirekt identifizieren; Sie müssen zwischen Identifizierbarkeit, Pseudonymisierung und echter Anonymisierung unterscheiden, da nur identifizierbare Daten dem Löschrecht unterliegen.
Außerdem gilt: Pseudonymisierte Daten bleiben oft personenbezogen, wenn Dritte durch Kombination wieder identifizieren könnten; Sie müssen technische und organisatorische Maßnahmen berücksichtigen und im Zweifel die Re-Identifizierbarkeit prüfen, besonders bei besonderen Kategorien personenbezogener Daten.
Voraussetzungen für die Rechtmäßigkeit einer Löschanfrage
Prüfen Sie, ob die Löschanfrage erfüllt ist: Wegfall des Verarbeitungszwecks, Widerruf der Einwilligung oder unrechtmäßige Verarbeitung. Unternehmen müssen Rechtmäßigkeit, Ausnahmen und technische Umsetzbarkeit abwägen und Fristen einhalten.
Wegfall des Verarbeitungszwecks und Widerruf der Einwilligung
Wenn der Zweck der Verarbeitung entfällt oder Sie Ihre Einwilligung widerrufen, steht Ihnen Löschung zu, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht; fordern Sie Nachweise und beachten Sie geltende Fristen.
Unrechtmäßige Datenverarbeitung und Widerspruch der betroffenen Person
Bei unrechtmäßiger Verarbeitung oder berechtigtem Widerspruch haben Sie Anspruch auf Löschung, besonders wenn Grundrechte verletzt sind; Unternehmen müssen das prüfen und gegebenenfalls unverzüglich löschen.
Außerdem liegt die Darlegungslast oft beim Verantwortlichen: Er muss die Rechtmäßigkeit belegen, die Abwägung gegen Ihre Interessen dokumentieren und Ausnahmen (z. B. öffentliche Aufgaben) begründen. Unternehmen müssen unverzüglich reagieren, Dritte informieren, technische Löschmaßnahmen nachweisen und ihre Dokumentationspflicht erfüllen; Verstöße können zu Bußgeldern und Reputationsschäden führen, bestehen Sie also auf Ihrer Rechtswahrung.
Pflichten des Verantwortlichen bei Eingang eines Löschbegehrens
Praktisch müssen Sie Löschbegehren zeitnah prüfen, die Identität des Antragstellers feststellen, rechtliche Ausnahmen abwägen und die Daten löschen oder sperren. Dokumentieren Sie Entscheidungen und Frist einhalten, um Bußgelder zu vermeiden; führen Sie die Löschung durch oder begründen Sie eine Ablehnung transparent.
Identitätsprüfung und Einhaltung der Bearbeitungsfristen
Zunächst müssen Sie die Identität des Antragstellers angemessen prüfen, ohne unverhältnismäßige Daten zu verlangen; reagieren Sie innerhalb von einem Monat, mit möglicher Verlängerung um zwei Monate bei komplexen Fällen, und dokumentieren Sie jede Fristverlängerung.
Mitteilungspflicht gegenüber Drittempfängern der Daten
Grundsätzlich sind Sie verpflichtet, Drittempfänger, an die personenbezogene Daten weitergegeben wurden, über die erfolgte Löschung zu informieren, sofern kein unverhältnismäßiger Aufwand besteht; dokumentieren Sie diese Information als Nachweis.
Konkret sollten Sie Drittempfänger schriftlich oder elektronisch informieren, nach Möglichkeit Löschfristen abstimmen und auf Ausnahmen wie gesetzliche Aufbewahrungspflichten oder Anonymisierung hinweisen; stimmen Sie Verfahren mit Auftragsverarbeitern ab.
Gesetzliche Ausnahmen von der Löschpflicht
Beachten Sie, dass die Löschpflicht durch gesetzliche Pflichten eingeschränkt sein kann; insbesondere bleiben Daten bei Aufbewahrungspflichten oder zur Erfüllung rechtlicher Verpflichtungen oft gespeichert.
Erfüllung rechtlicher Verpflichtungen und steuerliche Aufbewahrungsfristen
Hinsichtlich steuerlicher Pflichten müssen Sie Daten wegen gesetzlicher Aufbewahrungsfristen aufbewahren; eine Löschung wäre sonst rechtswidrig.
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Bei der Durchsetzung oder Verteidigung von Ansprüchen dürfen Sie personenbezogene Daten weiterverarbeiten, wenn dies zur Beweissicherung oder zur Wahrung Ihrer Rechte erforderlich ist.
Konkreter müssen Sie eine Abwägung dokumentieren: bewahren nur die zur Rechtsverfolgung nötigen Daten auf, begrenzen den Zugriff und vermerken klare Löschfristen; nach Abschluss oder Verjährung ist sofort zu löschen, sonst drohen Bußgelder und Reputationsschäden.
Strategien zur praktischen Umsetzung im Unternehmen
Praktisch sollten Sie Löschanfragen in bestehende Arbeitsabläufe integrieren, Verantwortlichkeiten klären und Fristen überwachen, um Rechtskonformität und Effizienz zu gewährleisten.
Etablierung systematischer Löschkonzepte und Prozesse
Etablieren Sie klare Policies, Rollen und standardisierte Workflows, dokumentieren Sie Entscheidungen und schulen Mitarbeitende regelmäßig, damit Nachvollziehbarkeit und Fristeneinhaltung sichergestellt sind.
Technische Herausforderungen bei Backups und Archivsystemen
Technisch müssen Sie Löschungen auch in Backups und Archiven adressieren; veraltete Systeme können hier zu rechtlichen Risiken führen, wenn keine Wiederherstellungsstrategien angepasst werden.
Außerdem sollten Sie Backup-Strategien so gestalten, dass Löschanfragen wirksam sind: definieren Sie Aufbewahrungsfristen, nutzen Sie differenzierte Sicherungsfenster, markieren und segmentieren Sie Daten für gezielte Löschung und prüfen Sie Herstellerfunktionen für selektives Löschen oder reversible Wiederherstellung. Beachten Sie, dass fehlende Maßnahmen rechtliche Risiken und im Extremfall irreversiblen Datenverlust auslösen können; regelmäßige Tests und Protokollierung stärken Ihre Datengovernance.
Haftungsrisiken und Sanktionen bei Verstößen
Beachten Sie, dass bei Verstößen gegen Löschpflichten sowohl hohe Bußgelder als auch erhebliche Reputationsschäden drohen; Sie müssen interne Prozesse nachbessern und können zivilrechtlich haftbar gemacht werden.
Bußgeldrahmen der Aufsichtsbehörden nach Art. 83 DSGVO
Erhebliche Bußgelder nach Art. 83 DSGVO können bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes betragen; Sie sollten Fristen und Meldepflichten strikt einhalten.
Zivilrechtliche Schadensersatzansprüche betroffener Personen
Betroffene können Schadensersatz und immaterielle Schäden geltend machen; Sie tragen die Darlegungs- und Beweislast für Lösch- und Auskunftsmaßnahmen.
Kläger können neben materiellen Forderungen auch für immaterielle Beeinträchtigungen Ersatz verlangen; Sie sollten daher Löschprozesse lückenlos dokumentieren, Betroffenenrechte zeitnah erfüllen und Nachweise vorlegen, um Haftungsrisiken zu minimieren.
Fazit
Schlussfolgerung
Abschließend sollten Sie Löschanfragen zügig bearbeiten, Fristen einhalten und sorgfältig dokumentieren, um Bußgelder zu vermeiden und Rechtssicherheit zu gewährleisten.
