DSGVO
04 Mai 2017

Am 25. Mai 2018 wird die EU-Datenschutzgrundverordnung wirksam und stellt Unternehmen vor große Herausforderungen sowie neue Fragen rund um das Löschen von Kundendaten: Wann und wie muss ich auf Löschanfragen reagieren? Muss ich die Kunden über meine Lösch- bzw. Aufbewahrungsfristen informieren?

Das „Recht auf Vergessenwerden“

Die DSGVO stellt das Thema Löschung mehr in den Vordergrund als es im Bundesdatenschutzgesetz (BDSG) bislang der Fall war. In den Medien oftmals erwähnt wurde die Tatsache, dass es nun ein „Recht auf Vergessenwerden“ (Art. 17 DSGVO) gibt. Weniger Beachtung fand die Tatsache, dass schon das BDSG ein umfassendes Löschungsrecht (Art. 35 BDSG) beinhaltet. Neu ist vielmehr, dass der Plattformbetreiber bei öffentlich gemachten Daten, auch andere Stellen auffordern muss, Links oder Kopien von Daten zu löschen.
In den Erwägungsgründen der DSGVO ist weiterhin festgehalten, dass der Verantwortliche Fristen für die Löschung der Daten vorsehen soll, damit personenbezogene Daten nicht länger als nötig gespeichert werden. Auch dies klingt bekannt, wenn man an die Grundsätze der Datensparsamkeit und Datenvermeidung bzw. den Erforderlichkeitsgrundsatz denkt. Doch auch, wenn die Zielrichtung ähnlich ist, so wurden Löschfristen bisher noch nicht explizit so bezeichnet.

Müssen Kunden über die eigenen Löschfristen informiert werden?

Die für die Praxis wohl interessanteste Vorschrift findet sich in Art. 13 DSGVO. Demnach soll den Betroffenen/Kunden die Information zur Verfügung gestellt werden, für welche Dauer personenbezogene Daten gespeichert werden oder zumindest nach welchen Kriterien die Speicherdauer festgelegt wird. Muss ich also wirklich meine Kunden über die eigenen Löschfristen informieren? Die erwähnte Vorschrift steht unter der etwas kryptischen Einschränkung, dass die Information zur Verfügung gestellt werden, um eine faire und transparente Verarbeitung zu gewährleisten. Wann diese Voraussetzungen vorliegen und ob es sich dabei überhaupt um eine vom Gesetzgeber gewünschte Einschränkung handelt, ist noch weitgehend ungeklärt. Liest man nur den Wortlaut der Norm könnte der Text auch so zu verstehen sein, dass die Informationen immer zu erteilen sind und die „faire“ Verarbeitung nur eine Begründung ist, warum die Informationen erteilt werden müssen. Erwägungsgrund 60 wiederum legt nahe, dass eine Einzelfallprüfung stattfinden muss. Hier ist also eine Klärung durch Gerichte und Datenschutzbehörden wünschenswert.

Tipp für die Praxis

Um sich nicht der Rechtsunsicherheit auszusetzen, geben Unternehmen besser ihre Löschfristen in einer Datenschutzerklärung (oder anderen geeigneten Weise) an. Das bedeutet auch, dass grundlegende Fragen im Unternehmen geklärt werden müssen – wie geht man mit inaktiven Kunden um, die lange nicht auf einer Plattform waren oder was ist die allgemeine Vorhaltungszeit von Daten? Nicht zuletzt bestehen in vielen Unternehmen IT-seitig noch gar keine Prozesse, um die gebotene Löschung umzusetzen. Es ist also dringend angeraten das Thema Löschung bis Mai 2018 auf die Agenda zu nehmen. Effektive Mittel sind die Erstellung und Umsetzung eines unternehmensweiten Löschkonzepts sowie die Anpassung der Datenschutzerklärung.

Comments are closed.