Samstag, 2. Juni 2018

Die EU-DSGVO und die Löschung von Daten

Daten löschen? Das machen wir jeden Tag! Irgendwelche Probleme dabei? Nein, wieso? So laufen typische Dialoge ab, wenn man dieses Thema in Unternehmen anspricht. Aber ganz so einfach war es schon bisher nicht, und die EU-Datenschutzgrundverordnung (EU-DSGVO) bringt außerdem noch einige Neuerungen.


„Löschen“ – gar nicht so einfach!


Was bedeutet es eigentlich, Daten zu löschen? Das Verschieben der Daten in einen elektronischen Papierkorb reicht jedenfalls nicht aus. Das dürfte jedem klar sein. Oder vielleicht doch nicht? Nur zur Sicherheit: Wenn Sie Daten mit ein paar Mausklicks „wiederherstellen“ können, sind sie nicht wirklich gelöscht. Sie sind dann nur an einer anderen Stelle als bisher gespeichert, eben im „Papierkorb“.

Die EU-DSGVO und die Löschung von Daten
Die EU-DSGVO und die Löschung von Daten



Löschen als Zerstörung


Aber was heißt Löschen dann? Der Europäische Gerichtshof verwendet klare Worte, um den Begriff „Löschen“ verständlich zu erklären. Daten sind dann gelöscht, wenn sie „zerstört“ sind. Die Daten dürfen also auf keinem Weg mehr rekonstruierbar / wiederherstellbar sein.

Daten auf Papier


Bei Daten auf Papier bedeutet dies beispielsweise, das Papier zu verbrennen. Zerkleinern kann man es natürlich auch. Aber das muss so geschehen, dass niemand mehr die Seiten wieder zusammensetzen kann. Unterschiede danach, wie schutzwürdig die Daten sind, macht das Recht dabei nicht. Für alle personenbezogenen Daten gelten bei einer Löschung vielmehr dieselben Regeln. Dies ist für viele noch ungewohnt und kann auch recht teuer werden. Aber so ist es eben.
Elektronische Daten

Elektronische Daten lassen sich auf den ersten Blick recht schnell löschen. Eine Möglichkeit ist das Überschreiben. Der Teufel steckt dabei im Detail. Viele Löschfunktionen bewirken lediglich, dass die entsprechenden Bereiche auf dem Datenträger (etwa einer Festplatte) nicht mehr gegen ein Überschreiben geschützt sind. Das heißt allerdings noch lange nicht, dass sie auch tatsächlich bald überschrieben werden. Manchmal geschieht dies auch nie. Wundern Sie sich also nicht, wenn die EDV er-klärt, dass das Löschen von Daten nicht so banal ist, wie viele denken.

Gesetzliche Anlässe zur Löschung


Wann Daten gelöscht werden müssen, ist in Art. 17 EU-DSGVO ausführlich geregelt. Zumindest die wichtigsten Fälle der Löschungspflicht sollte man kennen:

Rechtswidrige Verarbeitung


Wenn Daten unrechtmäßig verarbeitet wurden, müssen sie ohne Ausnahme gelöscht werden. Ein klassisches Beispiel: Um bestimmte Daten überhaupt verarbeiten zu dür-fen, hat ein Unternehmen die Einwilligung der betroffenen Personen eingeholt. Leider stellt sich heraus, dass dabei rechtliche Fehler passiert sind und dass die Einwilligung unwirksam ist. Die Folge: Die betroffenen Daten sind zu löschen!

Widerruf einer Einwilligung


Ein nicht ganz so klassisches Beispiel: Jemand hat eine Einwilligung erteilt und wider-ruft sie. Welche Folgen hat das? Der Ausgangspunkt ist klar: Alles, was bis zum Widerruf mit den Daten geschehen ist, bleibt rechtmäßig. So regelt es Art. 7 Abs. 3 Satz 2 EU-DSGVO.

Folgen eines Widerrufs


Aber wie sieht es ab dem Widerruf aus? Müssen die Daten jetzt gelöscht werden? Nicht so ohne Weiteres! Denn vor allem im geschäftlichen Bereich kann es nötig sein, die Daten noch länger vorrätig zu halten. Das gilt in erster Linie dann, wenn Buchführungspflichten oder steuerliche Pflichten das Unternehmen dazu zwingen.

Das sind dann rechtliche Verpflichtungen, gegen die das Unternehmen nichts machen kann. Die Folge: Weil es um die Erfüllung einer rechtlichen Verpflichtung geht (in diesem Fall gegenüber dem Staat), dürfen die Daten noch gespeichert werden, so-lange diese Pflicht besteht (Art. 17 Abs. 3 Buchst. b EU-DSGVO). Der Widerruf der Einwilligung ändert daran nichts.

Zweckbindung


Doch Vorsicht: Die Speicherung ist nur genau für die Pflicht erlaubt, die erfüllt werden muss. Unzulässig wäre es beispielsweise, die Daten noch zu verwenden, um dem Kunden Werbematerial zuzuschicken. Die Verwendung für diesen Zweck muss ausgeschlossen werden. Die EU-DSGVO spricht hier von einer „Einschränkung der Verarbeitung“ (so die Überschrift von Art. 18 EU-DSGVO). Früher bezeichnete man dies meist als „Sperrung“.

Vorsicht vor Bußgeldern!


Solche und ähnliche Fälle zeigen, dass eine Löschung nicht nur technisch schwierig sein kann, sondern auch in rechtlicher Hinsicht ganz erhebliche Fragen aufwirft. Man sollte sie in jedem Fall ernst nehmen. Denn zumindest wenn grobe Fehler passieren, kann dies durchaus zu einem Bußgeld seitens der Datenschutzaufsicht führen.