11.05.2020 – Lesezeit: 3 Minuten

Geschäftsbereiche / Geschäftsführung

DSGVO: So löschen Sie personenbezogene Daten richtig

In der Datenschutzgrundverordnung (DSGVO) ist festgelegt, dass personenbezogene Daten auf Verlangen gelöscht werden müssen. In diesem Artikel erfahren Sie, wie Sie mit dieser Löschpflicht umgehen sollten.

Verstöße gegen die Datenschutzgrundverordnung (DSGVO) können teuer werden. Ein Stolperstein für Unternehmen ist dabei die Löschpflicht, auch bekannt als Recht auf Vergessenwerden, das in Paragraf 17.1 der DSDVO festgelegt ist: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.“

Das Bundesdatenschutzgesetz schränkt in Paragraf 35 diese Vorgabe etwas ein: „Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht.“

Hohe Strafen drohen

Dennoch müssen Unternehmen mit hohen Strafen rechnen, wenn Sie gegen die Vorgaben der DSGVO verstoßen. Im europäischen Ausland wurden bereits Millionenstrafen verhängt. Das ist zwar bisher in Deutschland noch nicht der Fall gewesen, aber beispielsweise hat im August 2019 die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH rechtskräftig erlassen.

Das Vergehen: „In zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert“ (PDF).

Dass Delivery Hero mittlerweile von Lieferando übernommen wurde und als Markenbezeichnung verschwunden ist, lag zwar sicherlich nicht nur an diesem Urteil, aber ein Hinweis auf Mängel in der IT-Infrastruktur ist es schon.

So vermeiden Sie Fehler

Wenn Sie selbst nicht in solche Fallstricke geraten wollen, sollten Sie einiges beachten. Zunächst sollten Sie selbst einen Datenschutzbeauftragten für Ihr Unternehmen benennen, damit sie eine grundlegende rechtliche Absicherung haben. Nutzen Sie die Informationsangebote der Datenschutzbehörden. Beispielsweise hat der Datenschutzbeauftragte Rheinland-Pfalz einen „Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen“ (PDF) herausgegeben, der auch wertvolle Hinweise für Unternehmen enthält: „Die technischen und organisatorischen Sicherungsmaßnahmen müssen dem Stand der Technik genügen und der Selbstschutz der Nutzer muss respektiert werden (zum Beispiel Einstellungen zu Cookies, Do-Not-Track, Deaktivierung von Standortdaten).“

Datenlöschkonzept entwickeln

In technischer Hinsicht müssen Sie ein Löschkonzept entwickeln, um den rechtlichen Verpflichtungen nachzukommen. Zunächst müssen Sie sich einen Überblick verschaffen, welche personenbezogenen Daten in Ihrem Unternehmen lagern. Schon das ist bei den zahlreichen Datensilos keine einfache Aufgabe. Daten könnten auf SSDs und Festplatten, auf Mobilsystemen, Magnetbändern, USB-Sticks, DVDs oder Network-Attached-Storage-Server (NAS) liegen. Sogar Drucker und Multifunktionssysteme enthalten Festplatten, auf denen sie Druckdaten zwischenspeichern. Mit manuellen Mitteln ist es selbst in kleinen Unternehmen fast unmöglich, alles zu berücksichtigen. Zum Glück gibt es geeignete Software-Werkzeuge, die genau für den Zweck der Datenerfassung ausgelegt sind.

Außerdem reicht es auf keinen Fall aus, die Daten in den Desktop-Papierkorb zu legen und auf „Löschen“ zu drücken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine umfassende Anleitung zum richtigen Datenlöschen vorgelegt. Gewarnt wird unter anderem vor Vertraulichkeitsverlust durch Restinformationen auf Datenträgern und unstrukturierter Datenhaltung.

Es gibt dort auch einen umfassenden Forderungskatalog, die Unternehmen unbedingt erfüllen müssen. Hier ein kleiner Auszug, was vom BSI alles verlangt wird: „Die Institution MUSS das Löschen und Vernichten von Informationen und ihrer Träger regeln. Dabei MUSS je nach Organisationseinheit geregelt werden, welche Informationen und Betriebsmittel unter welchen Voraussetzungen gelöscht und entsorgt werden dürfen. Ebenso MUSS festgelegt werden, in welchen räumlichen Bereichen Entsorgungs- und Vernichtungseinrichtungen aufgebaut werden sollen.“

Compliance und Datenschutz im Mittelstand

Wenn Ihnen angesichts dieser Forderungen graue Haare wachsen, keine Sorge. Die Datenschutzexperten der All for One Group stehen Ihnen in allen Fragen rund um die DSGVO und andere Compliance-Vorgaben zur Seite, beraten Sie und übernehmen die technischen Details. Wie Sie mit Daten richtig umgehen, um die digitale Transformation in Ihrem Unternehmen zu befeuern, erfahren Sie in diesem Use Case.

Quelle: Titelbild iStock, Warchi