INFORMATIONEN

Einige praktische Tipps für die Verwaltung von Löschungsanträgen

Die Beantragung von Datenrechten erweist sich als eine der größten Herausforderungen bei der Einhaltung der DSGVO. Letztes Jahr haben wir einige praktische Tipps für den Umgang mit Anträgen auf Auskunft zum Thema veröffentlicht. In diesem Beitrag konzentrieren wir uns auf ein weiteres heikles Recht im Rahmen der DSGVO: das Recht auf Löschung.

Löschanträge können technisch gesehen ihre eigenen Probleme aufwerfen, vor allem wenn die Daten unstrukturiert sind, auf Backup-Servern gespeichert sind oder sich im Besitz eines Dritten befinden. Es kann auch schwierig sein, sich in den rechtlichen Fragen zurechtzufinden und den Umfang Ihrer Verantwortlichkeiten zu erfassen.

Dies gilt insbesondere, wenn man bedenkt, dass mehrere außereuropäische Länder im Rahmen ihrer Datenschutzgesetze (z. B. Kalifornien) ähnliche Rechte auf Löschung eingeführt haben. In diesem Dokument wird eine 7-stufige Methode zur Beantwortung von Löschanträgen beschrieben, die Ihnen helfen wird, den Überblick zu behalten und sicherzustellen, dass sie korrekt behandelt werden.

Anträge auf Löschung im Rahmen der DSGVO

Eines der Grundrechte nach der Datenschutz-Grundverordnung ist das Recht auf Löschung, besser bekannt als das „Recht auf Löschung“. Nach Artikel 17 Absatz 1 kann eine Person verlangen, dass der für die Verarbeitung Verantwortliche alle über sie gespeicherten Daten löscht, unabhängig davon, ob diese Daten ursprünglich von der Person selbst stammen, von einem Dritten erhoben oder von dem für die Verarbeitung Verantwortlichen selbst erstellt wurden. Dies ist auch eines der am weitesten verbreiteten Rechte, und die Menschen sind eher bereit, es auszuüben.

Welche Regeln gelten für die Daten?

Wenn Sie auf eine Forderung nach Rechten reagieren, sollten Sie immer zuerst entscheiden, welches Recht auf die fraglichen Daten anwendbar ist. Wo sollten Sie sich niederlassen? Und woher kommt die Vorlage – aus der EU, dem Vereinigten Königreich, Kalifornien oder anderswo? Diese Frage ist von entscheidender Bedeutung, denn sie bestimmt Ihre rechtlichen Pflichten und eher praktische Belange, z. B. welche Überprüfungsmaßnahmen Sie ergreifen sollten und innerhalb welcher Frist Sie antworten müssen.

Mit anderen Worten: Sie haben sich bereit erklärt, den Forderungen aller Menschen nachzukommen, unabhängig davon, wo sie sich befinden und ob sie tatsächlich in den Genuss dieser Rechte nach dem Gesetz kommen. Dies gilt auch dann, wenn Sie einen „nationalen“ Ansatz für Rechtsanfragen verfolgen.

Dies liegt daran, dass das anwendbare Recht auch darüber entscheidet, ob Sie überhaupt für die Bearbeitung des Ersuchens verantwortlich sind.

Was ist die Funktion Ihrer Datenverarbeitung?

Sobald Sie das anwendbare Recht festgelegt haben, können Sie entscheiden, welche Funktion die Datenverarbeitung nach diesem Recht hat. Diese Frage ist auch deshalb von Bedeutung, weil je nach den betreffenden Daten nicht unbedingt von Ihnen erwartet werden kann, dass Sie dem Ersuchen nachkommen, oder es sogar erlaubt ist.

Sie können entweder als „für die Verarbeitung Verantwortlicher“ oder als „Auftragsverarbeiter“ der fraglichen Daten im Sinne der DSGVO handeln, während Sie im Sinne des CCPA ein „Unternehmen“ oder ein „Diensteanbieter“ sein können. Als „für die Verarbeitung Verantwortlicher“ / „Unternehmen“ der Daten sind Sie für die Erfüllung des Antrags verantwortlich. Als „Auftragsverarbeiter“ / „Dienstleister“ hingegen verarbeiten Sie die Daten lediglich im Auftrag Ihres Kunden (als „für die Verarbeitung Verantwortlicher“ / „Unternehmen“) und können der Anfrage daher nur mit der Erlaubnis Ihres Kunden und unter Einhaltung seiner Anweisungen nachkommen.

Sind Sie auf die Zustimmung der Person zur Verarbeitung der Daten angewiesen?

Im Allgemeinen sind die Rechte nach der Datenschutz-Grundverordnung nicht vollständig, und es gibt Umstände, unter denen von Ihnen nicht erwartet wird, dass Sie einem Antrag nachkommen.

Wenn Sie von der Einwilligung der Person zur Verarbeitung der Daten abhängig sind, müssen Sie die Verarbeitung aus diesem Grund einstellen und die Daten auf Wunsch löschen. Denn das Recht einer Person, ihre Einwilligung zu widerrufen, ist absolut und kann jederzeit in Anspruch genommen werden.

Aus diesem Grund ist eine Erlaubnis nicht immer eine ausreichende Grundlage für die Erfassung, z. B. wenn Sie die Daten wirklich benötigen, um der Person eine Dienstleistung zu erbringen, oder wenn Sie sie aus einem triftigen Grund verwenden, der gefährdet wäre, wenn Sie sie auf Verlangen löschen würden (z. B. wenn Sie die Daten zur Verbesserung der KI-Algorithmen verwenden und sie ein wesentlicher Bestandteil des Modells sind).

Es gibt verschiedene Fälle, in denen Sie nicht gezwungen sind, dem Ersuchen nachzukommen, wenn Sie sich nicht auf die Einwilligung zur Verarbeitung der Daten berufen oder einen anderen triftigen Grund haben, sie aufzubewahren.

Benötigen Sie die Daten, um einen Vertrag mit der Person zu erfüllen?

Der erste Fall ist, dass Sie die Daten benötigen, um den Vertrag eines Kunden zu erfüllen, d. h. um ein Produkt oder eine Dienstleistung bereitzustellen, die von der Person ausdrücklich angefordert wurde. Dies ist zum Beispiel wichtig, wenn Sie die E-Mail-Adresse des Nutzers benötigen, um ihn über einen Dienst, für den er sich angemeldet hat, zu informieren und zu erinnern.

In diesem Fall stützen Sie sich als Rechtsgrundlage für die Verarbeitung auf die vertragliche Notwendigkeit, und Sie benötigen die Daten immer noch, um die Funktion zu erfüllen. In diesem Fall erlaubt Ihnen die DSGVO, die Daten weiterhin zu verarbeiten. Denken Sie nur daran, dass Sie verpflichtet sind, sie zu deinstallieren, sobald die Daten nicht mehr benötigt werden.

Benötigen Sie die Daten, um eine gesetzliche Vorschrift zu erfüllen?

Wenn Sie die Informationen benötigen, um einer gesetzlichen Verpflichtung nachzukommen, können Sie sie weiterhin verarbeiten und sind nicht verpflichtet, der Anordnung nachzukommen.

Dies ist beispielsweise wichtig, wenn Sie verpflichtet sind, Mitarbeiterdaten für die Steuerberichterstattung oder Kundenkontodaten für die Bekämpfung der Geldwäsche zu speichern. Sie müssen in der Lage sein, die Pflicht – unabhängig vom Grund – klar zu definieren und nachzuweisen, dass die Aufbewahrung der Daten ein fairer und angemessener Weg ist, diese Pflicht zu erfüllen.

Schlussfolgerung

Was an dieser Stelle klar sein sollte, ist, dass es alles andere als einfach sein kann, Löschungsanträgen nachzukommen, und dass es eine Herausforderung sein kann, die rechtlichen Fragen zu klären. Bevor Sie eine Vorlage erhalten, haben Sie diese Fragen bereits in einer idealen Umgebung durchdacht und müssen sie nicht unter dem Druck der knappen Antwortfristen der Datenschutzgrundverordnung berücksichtigen. Es genügt zu sagen, dass Sie wissen, wen Sie anrufen müssen, wenn Sie Hilfe brauchen.

Gesichtserkennung & DSGVO

Frankreich hat Anfang dieser Woche angekündigt, dass es als erstes Land in der EU die Gesichtserkennung in staatlichen Diensten einführen wird. Eine Entscheidung, die im

mehr »