INFORMATIONEN

Einige praktische Tipps für die Verwaltung von Löschungsanträgen

Die Beantragung von Datenrechten erweist sich als eine der größten Herausforderungen bei der Einhaltung der DSGVO. Letztes Jahr haben wir einige praktische Tipps für den Umgang mit Anträgen auf Auskunft zum Thema veröffentlicht. In diesem Beitrag konzentrieren wir uns auf ein weiteres heikles Recht im Rahmen der DSGVO: das Recht auf Löschung.

Löschanträge können technisch gesehen ihre eigenen Probleme aufwerfen, vor allem wenn die Daten unstrukturiert sind, auf Backup-Servern gespeichert sind oder sich im Besitz eines Dritten befinden. Es kann auch schwierig sein, sich in den rechtlichen Fragen zurechtzufinden und den Umfang Ihrer Verantwortlichkeiten zu erfassen.

Dies gilt insbesondere, wenn man bedenkt, dass mehrere außereuropäische Länder im Rahmen ihrer Datenschutzgesetze (z. B. Kalifornien) ähnliche Rechte auf Löschung eingeführt haben. In diesem Dokument wird eine 7-stufige Methode zur Beantwortung von Löschanträgen beschrieben, die Ihnen helfen wird, den Überblick zu behalten und sicherzustellen, dass sie korrekt behandelt werden.

Anträge auf Löschung im Rahmen der DSGVO

Eines der Grundrechte nach der Datenschutz-Grundverordnung ist das Recht auf Löschung, besser bekannt als das „Recht auf Löschung“. Nach Artikel 17 Absatz 1 kann eine Person verlangen, dass der für die Verarbeitung Verantwortliche alle über sie gespeicherten Daten löscht, unabhängig davon, ob diese Daten ursprünglich von der Person selbst stammen, von einem Dritten erhoben oder von dem für die Verarbeitung Verantwortlichen selbst erstellt wurden. Dies ist auch eines der am weitesten verbreiteten Rechte, und die Menschen sind eher bereit, es auszuüben.

Welche Regeln gelten für die Daten?

Wenn Sie auf eine Forderung nach Rechten reagieren, sollten Sie immer zuerst entscheiden, welches Recht auf die fraglichen Daten anwendbar ist. Wo sollten Sie sich niederlassen? Und woher kommt die Vorlage – aus der EU, dem Vereinigten Königreich, Kalifornien oder anderswo? Diese Frage ist von entscheidender Bedeutung, denn sie bestimmt Ihre rechtlichen Pflichten und eher praktische Belange, z. B. welche Überprüfungsmaßnahmen Sie ergreifen sollten und innerhalb welcher Frist Sie antworten müssen.

Mit anderen Worten: Sie haben sich bereit erklärt, den Forderungen aller Menschen nachzukommen, unabhängig davon, wo sie sich befinden und ob sie tatsächlich in den Genuss dieser Rechte nach dem Gesetz kommen. Dies gilt auch dann, wenn Sie einen „nationalen“ Ansatz für Rechtsanfragen verfolgen.

Dies liegt daran, dass das anwendbare Recht auch darüber entscheidet, ob Sie überhaupt für die Bearbeitung des Ersuchens verantwortlich sind.

Was ist die Funktion Ihrer Datenverarbeitung?

Sobald Sie das anwendbare Recht festgelegt haben, können Sie entscheiden, welche Funktion die Datenverarbeitung nach diesem Recht hat. Diese Frage ist auch deshalb von Bedeutung, weil je nach den betreffenden Daten nicht unbedingt von Ihnen erwartet werden kann, dass Sie dem Ersuchen nachkommen, oder es sogar erlaubt ist.

Sie können entweder als „für die Verarbeitung Verantwortlicher“ oder als „Auftragsverarbeiter“ der fraglichen Daten im Sinne der DSGVO handeln, während Sie im Sinne des CCPA ein „Unternehmen“ oder ein „Diensteanbieter“ sein können. Als „für die Verarbeitung Verantwortlicher“ / „Unternehmen“ der Daten sind Sie für die Erfüllung des Antrags verantwortlich. Als „Auftragsverarbeiter“ / „Dienstleister“ hingegen verarbeiten Sie die Daten lediglich im Auftrag Ihres Kunden (als „für die Verarbeitung Verantwortlicher“ / „Unternehmen“) und können der Anfrage daher nur mit der Erlaubnis Ihres Kunden und unter Einhaltung seiner Anweisungen nachkommen.

Sind Sie auf die Zustimmung der Person zur Verarbeitung der Daten angewiesen?

Im Allgemeinen sind die Rechte nach der Datenschutz-Grundverordnung nicht vollständig, und es gibt Umstände, unter denen von Ihnen nicht erwartet wird, dass Sie einem Antrag nachkommen.

Wenn Sie von der Einwilligung der Person zur Verarbeitung der Daten abhängig sind, müssen Sie die Verarbeitung aus diesem Grund einstellen und die Daten auf Wunsch löschen. Denn das Recht einer Person, ihre Einwilligung zu widerrufen, ist absolut und kann jederzeit in Anspruch genommen werden.

Aus diesem Grund ist eine Erlaubnis nicht immer eine ausreichende Grundlage für die Erfassung, z. B. wenn Sie die Daten wirklich benötigen, um der Person eine Dienstleistung zu erbringen, oder wenn Sie sie aus einem triftigen Grund verwenden, der gefährdet wäre, wenn Sie sie auf Verlangen löschen würden (z. B. wenn Sie die Daten zur Verbesserung der KI-Algorithmen verwenden und sie ein wesentlicher Bestandteil des Modells sind).

Es gibt verschiedene Fälle, in denen Sie nicht gezwungen sind, dem Ersuchen nachzukommen, wenn Sie sich nicht auf die Einwilligung zur Verarbeitung der Daten berufen oder einen anderen triftigen Grund haben, sie aufzubewahren.

Benötigen Sie die Daten, um einen Vertrag mit der Person zu erfüllen?

Der erste Fall ist, dass Sie die Daten benötigen, um den Vertrag eines Kunden zu erfüllen, d. h. um ein Produkt oder eine Dienstleistung bereitzustellen, die von der Person ausdrücklich angefordert wurde. Dies ist zum Beispiel wichtig, wenn Sie die E-Mail-Adresse des Nutzers benötigen, um ihn über einen Dienst, für den er sich angemeldet hat, zu informieren und zu erinnern.

In diesem Fall stützen Sie sich als Rechtsgrundlage für die Verarbeitung auf die vertragliche Notwendigkeit, und Sie benötigen die Daten immer noch, um die Funktion zu erfüllen. In diesem Fall erlaubt Ihnen die DSGVO, die Daten weiterhin zu verarbeiten. Denken Sie nur daran, dass Sie verpflichtet sind, sie zu deinstallieren, sobald die Daten nicht mehr benötigt werden.

Benötigen Sie die Daten, um eine gesetzliche Vorschrift zu erfüllen?

Wenn Sie die Informationen benötigen, um einer gesetzlichen Verpflichtung nachzukommen, können Sie sie weiterhin verarbeiten und sind nicht verpflichtet, der Anordnung nachzukommen.

Dies ist beispielsweise wichtig, wenn Sie verpflichtet sind, Mitarbeiterdaten für die Steuerberichterstattung oder Kundenkontodaten für die Bekämpfung der Geldwäsche zu speichern. Sie müssen in der Lage sein, die Pflicht – unabhängig vom Grund – klar zu definieren und nachzuweisen, dass die Aufbewahrung der Daten ein fairer und angemessener Weg ist, diese Pflicht zu erfüllen.

Schlussfolgerung

Was an dieser Stelle klar sein sollte, ist, dass es alles andere als einfach sein kann, Löschungsanträgen nachzukommen, und dass es eine Herausforderung sein kann, die rechtlichen Fragen zu klären. Bevor Sie eine Vorlage erhalten, haben Sie diese Fragen bereits in einer idealen Umgebung durchdacht und müssen sie nicht unter dem Druck der knappen Antwortfristen der Datenschutzgrundverordnung berücksichtigen. Es genügt zu sagen, dass Sie wissen, wen Sie anrufen müssen, wenn Sie Hilfe brauchen.

CEDO Lopez vs. Spanien. Versteckte Videoüberwachung von Angestellten

02/10/2022 Keine Kommentare

Die aktuelle Situation Die Klägerinnen arbeiteten als Kassiererinnen in einem Supermarkt. Angesichts erheblicher wirtschaftlicher Verluste installierte der Arbeitgeber im Jahr 2009 sichtbare Überwachungskameras, über die

mehr »

Europäischer Datenschutzbeauftragter – Das neue Abkommen für Verbraucher

07/07/2022 Keine Kommentare

Der Europäische Datenschutzbeauftragte hat in einer am 5. Oktober 2018 veröffentlichten Stellungnahme zu einem der kritischen Punkte der Gesetzesänderungen im aktuellen EU-Verbraucherabkommen Bedenken geäußert und

mehr »

Rechtliche Verpflichtung zur Verarbeitung personenbezogener Daten

18/02/2022 Keine Kommentare

Gemäß Art. 6 Abs.. 1 Buchst. (c) der DSGVO, Organisationen, die personenbezogene Daten verarbeiten, wenn diese Verarbeitung erforderlich ist, um die rechtlichen Verpflichtungen des Betreibers

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Einige praktische Tipps für die Verwaltung von Löschungsanträgen

Anträge auf Löschung im Rahmen der DSGVO

Welche Regeln gelten für die Daten?

Was ist die Funktion Ihrer Datenverarbeitung?

Sind Sie auf die Zustimmung der Person zur Verarbeitung der Daten angewiesen?

Benötigen Sie die Daten, um einen Vertrag mit der Person zu erfüllen?

Benötigen Sie die Daten, um eine gesetzliche Vorschrift zu erfüllen?

Schlussfolgerung

CEDO Lopez vs. Spanien. Versteckte Videoüberwachung von Angestellten

Europäischer Datenschutzbeauftragter – Das neue Abkommen für Verbraucher

Rechtliche Verpflichtung zur Verarbeitung personenbezogener Daten

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen