Home / Aktuelles & Termine / it.sec blog

Ein Grundsatz des Datenschutzes ist es, dass personenbezogene Daten irgendwann auch wieder gelöscht werden müssen.

Unternehmen sind daher grundsätzlich verpflichtet, die bei ihnen verarbeiteten personenbezogenen Daten nach Zweckwegfall bzw. nach Ablauf sich daran anschließender Aufbewahrungsfristen zu löschen (Grundsatz der Speicherbegrenzung, „Recht auf Vergessenwerden“).

Gerade bei Einsatz von Datenverarbeitungssystemen ist dies jedoch nicht immer so einfach, da man auf die Funktionen, die der Hersteller zur Löschung bereitstellt oder eben nicht bereitgestellt hat, angewiesen ist. Selbst wenn eine solche Löschfunktion vorhanden ist, bedeutet das noch nicht, dass die Daten dann auch gelöscht sind i.S.e. irreversiblen Entfernung der Daten vom Datenträger (Festplatte, Speicherchip etc.).

Unternehmen können sich auch nicht darauf berufen, dass die Löschung aufgrund technischer Gründe unmöglich oder aufgrund des Aufwands einer entsprechenden Nachrüstung unzumutbar ist. Gemäß § 35 BDSG-Neu kann die Pflicht zur Löschung zwar entfallen, wenn dies mit einem unverhältnismäßig hohen Aufwand verbunden ist. Dies gilt jedoch nur im Fall einer nicht-automatisierten Datenverarbeitung.

Daher dürfen Unternehmen nur solche Technik einsetzen, die eine datenschutzgerechte Löschung durch entsprechende Funktionalitäten erlaubt (Grundsatz von Privacy by Design). Die Pflicht zur Löschung und zur Einhaltung von Privacy by Design trifft eben denjenigen, der die Technik einsetzt und damit personenbezogene Daten verarbeitet.

Die Landesbeauftragte für Datenschutz in Schleswig-Holstein (ULD) hätte sich zwar „gewünscht, dass die Datenschutz-Grundverordnung auch die Hersteller unmittelbar zu eingebautem Datenschutz verpflichtet“, aber dies sei „immerhin für die kommende europäische e-Privacy-Verordnung so geplant“ (vgl. unter https://www.datenschutzzentrum.de/artikel/1208-Datenschutz-einbauen!-Appell-an-die-Hersteller-und-Betreiber-am-Safer-Internet-Day.html).

Man kann nur hoffen, dass Produkte, deren Einsatz Bußgelder auslösen können (Art. 83 Abs. 4 lit. a), Abs. 5 lit. a), b) DSGVO), sich zukünftig schwerer verkaufen lassen. Denn nur somit lässt sich derzeit überhaupt Druck auf Hersteller und Entwickler aufbauen, wenn sie den Markt der Europäischen Union auch weiterhin beliefern möchten.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am 6. Juli 2017 hat das Verwaltungsgericht (VG) Karlsruhe in seinem Urteil eine Verfügung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) aufgehoben (VG Karlsruhe Urteil vom 6.7.2017, 10 K 7698/16).

Der Anfechtungsklage war die Verfügung des LfDI in Form eines Verwaltungsakts gegen eine Auskunftei vorangegangen, ihr Löschkonzept entsprechend der Datenschutzgrundverordnung (DSGVO) anzupassen. Die Auskunftei sollte personenbezogene Daten, die sie nach dem 24.5.2018 unter Einbeziehung von Informationen über Forderungen für Bonitätsauskünfte speichert, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, löschen, es sei denn, dass die betroffene Person zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig gewesen sei.

Die Auskunftei hatte daraufhin erklärt, sie werde ihr Löschkonzept bis zum 25.05.2018 entsprechend der DSGVO überarbeiten. Dabei wolle sie jedoch die noch ausstehende Absprache hierzu zwischen dem Düsseldorfer Kreis und dem Verband für Wirtschaftsauskunfteien abwarten.

Daraufhin erließ der LfDI einen entsprechenden Verwaltungsakt auf Grundlage von § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 und Art. 58 Abs. 2 lit. e) DSGVO, der die Auskunftei dazu verpflichten sollte, ihr Löschkonzept auf oben erläuterte Weise bereits jetzt anzupassen. Zwar läge momentan noch kein Verstoß gegen datenschutzrechtliche Vorschriften vor, ein solcher sei jedoch ab dem 25.05.2018 „schon deutlich vorgezeichnet“, da die Auskunftei nicht verbindlich zugesichert hätte, ihre Löschpraxis entsprechend zu ändern.

Das VG Karlsruhe stellte fest, dass es für den Erlass eines solchen Verwaltungsaktes bereits an einer Ermächtigungsgrundlage mangele. Weder bestünden derzeit Datenschutz-Verstöße noch wären entsprechende „Missstände (…) nach dem 24.05.2018 zu erwarten.“ Die von der Aufsichtsbehörde vorgegebene Regellöschfrist ergebe sich weder aus der DSGVO noch aus dem BDSG-Neu und entsprechend sei die „Prüf- und Löschpraxis“ der Auskunftei „noch völlig ungewiss“. Des Weiteren sei auch fraglich, ob aus dem Erwägungsgrund 39 „eine Rechtsgrundlage hergeleitet werden kann“. Auf jeden Fall durfte sich die Aufsichtsbehörde schon nicht auf Art. 58 Abs. 2 lit. e) DSGVO stützen, „da diese Vorschrift erst ab dem 25.05.2018 Gültigkeit beanspruchen wird (…).“

Darüber hinaus erfülle die Aufsichtsbehörde mit ihrer datenschutzrechtlichen Verfügung auch nicht die „Anforderungen an die Bestimmtheit eines Verwaltungsaktes.“

Dieses Urteil lässt somit den Schluss zu, dass die Aufsichtsbehörden die Verantwortlichen nicht dazu verpflichten können, die Vorgaben der Datenschutzgrundverordnung bereits im Vorhinein zu erfüllen. Dem Verantwortlichen wird damit eingeräumt, tatsächlich die gesamte Zeit bis zum Ablauf der Umsetzungsfrist nutzen zu können, um die Prozesse des Unternehmens inhaltlich und formal an die Datenschutzgrundverordnung anzupassen. Weiterhin kann aus dem Urteil auch geschlossen werden, dass die bisher etablierten Regellöschfristen anhand der DSGVO tatsächlich neu bewertet werden müssen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Ein Grundprinzip des Datenschutzes ist es, dass personenbezogene Daten nur solange gespeichert werden, wie man sie für die Zwecke, für die sie erhoben wurden, benötigt gemäß Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO).

Art. 17 DSGVO verpflichtet daher den Verantwortlichen, personenbezogene Daten in den Fällen des Art. 17 Abs. 1 DSGVO unverzüglich zu löschen: So sind u.a. personenbezogene Daten zu löschen, sobald die Zwecke, für welche die Daten erhoben worden sind, wegfallen. Beispiel: Sofern einem Bewerber nach Sichtung seiner Bewerbungsunterlagen eine Absage erteilt wird, benötigt man die Bewerbungsunterlagen anschließend nicht mehr.

Art. 17 Abs. 3 DSGVO sieht jedoch Ausnahmen von der Datenlöschung vor, d.h. trotz Vorliegen eines Falls gemäß Art. 17 Abs. 1 DSGVO, dürfen die personenbezogenen Daten weiterhin verarbeitet werden, u.a. wenn gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen oder der Verantwortliche die Daten zur Geltendmachung und Ausübung von Rechtsansprüchen oder zur Verteidigung gegen Rechtsansprüche weiterhin benötigt. Beispiel: Zur Entkräftung etwaiger Diskriminierungsvorwürfe dürfen Bewerbungsunterlagen des Bewerbers noch für 3 Monate, nachdem ihm eine Absage erteilt wurde, aufbewahrt werden.

Die Datenschutzgrundverordnung (DSGVO) enthält zwar keine Definition des Begriffs "Löschen". Dennoch sollte eine Art der Datenlöschung gewählt werden, durch welche die personenbezogenen Daten nach dem Vorgang nicht mehr vorhanden oder in einer Weise unkenntlich sind, dass sie nicht mehr verwendet oder rekonstruiert werden können.

Im Rahmen der Datenlöschung treffen den Verantwortlichen zudem Informationspflichten: So muss der Verantwortliche im Verzeichnis von Verarbeitungstätigkeiten die Regellöschfristen dokumentieren, die betroffenen Personen, deren Daten er verarbeitet, über die Speicherdauer informieren und andere Verantwortliche, denen gegenüber er die Daten öffentlich gemacht hat, benachrichtigen, wenn eine betroffene Person die Löschung dieser Daten verlangt.

Da Verstöße gegen die Prinzipien in Art. 5 DSGVO sowie ein Verstoß gegen Art. 17 DSGVO bußgeldbewehrt sind, sollte jeder Verantwortliche hinsichtlich der von ihm verarbeiteten Daten die für ihn geltenden Regellöschfristen sowie die Arten der Datenlöschung bestimmen, die datenschutzgerechte Umsetzung der Datenlöschung in seinem Unternehmen überwachen und seinen Informationspflichten nachkommen.

S. Kieselmann
Beraterin für Datenschutz

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics hacken Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Malware Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31