rating service  security service privacy service
 
Wann müssen Daten berichtigt oder gelöscht werden, Empfänger verständigt werden?
DSGVO Art 5, 15-17, 19, 21; GewO § 151
Löschungsgründe - Ausnahmen von der Löschungspflicht - Verarbeitung von veralteten oder falschen Daten - Rechte der Betroffenen (Kunden) - Richtige Reaktion auf Löschungsbegehren - Sonderfall Marketing - Mitteilungs- und Informationspflicht des Verantwortlichen - Fristen - Beschwerde- und Schadenersatzrecht

Grundsätzlich sind unvollständige Daten zu ergänzen, veraltete Daten zu berichtigen und nicht mehr benötigte Daten oder unberechtigt verarbeitete Daten zu löschen.

Zunächst muss die betroffene Person natürlich Kenntnis von den über sie gespeicherten Daten haben. Hier hilft ihr das Auskunftsrecht aus Art. 15 der Datenschutz-Grundverordnung (DSGVO) weiter. Wird die Löschung abgelehnt, ist dies vom Verantwortlichen zu begründen. Auf die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde und auf einen gerichtlichen Rechtsbehelf ist hinzuweisen. Davon abgesehen sind in der Regel auch unvollständige Daten zu berichtigen und nicht mehr benötigte Daten oder unberechtigt ermittelte bzw. verwendete Daten zu löschen.


Löschungsgründe

Art 17 DSGVO regelt das Löschungsrecht bei Vorliegen bestimmter Löschungsgründe. Als Löschungsgründe kommen in Betracht:
- ein Wegfall des Verarbeitungszwecks
- ein Widerruf der Einwilligung des Betroffenen
- ein wirksamer Widerspruch gemäß Art 21 DSGVO
- eine Unrechtmäßigkeit der Datenverarbeitung,
- eine rechtliche Verpflichtung zur Löschung (Gesetz, Urteil, Bescheid)
- die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben (beispielsweise Fehlen einer Einwilligung der Erziehungsberechtigten eines Kindes)

Demnach sind verordnungswidrig verarbeitete Daten zu löschen sobald Unzulässigkeit bekannt wird oder ein Betroffener (Kunde) einen begründeten Antrag auf Löschung stellt.

Unzulässig ist eine Datenverarbeitung grundsätzlich immer dann, wenn dieser kein rechtmäßiger Zweck mehr zugrunde liegt (Art 5 Abs lit b DSGVO). Im Fall, dass ein und dieselben Daten für mehrere Zwecke verarbeitet werden, dürfen diese erst gelöscht werden, wenn sämtliche Verarbeitungszwecke wegfallen.

Damit sind die Aktualisierung bzw. das Löschen von Daten bei Wegfall des Verarbeitungszwecks durchzuführen. Dies kann durch den Betroffenen erfolgen, aber auch indem Post retourniert wird oder Dritte auf veraltete oder falsche Daten hinweisen. In diesem Fall sind falsche Daten richtigzustellen und nicht mehr benötigte Daten zu löschen.

Die Löschungspflicht des Verantwortlichen ist weiters gegeben, wenn eine unrechtmäßige Datenverarbeitung erfolgte oder die Datenlöschung von rechtlicher Bedeutung ist. Beispielsweise kann eine gesetzliche Vorschrift oder ein Urteil oder ein Bescheid die Löschungspflicht anordnen. Der Verantwortliche muss Daten löschen, wenn der Betroffene der Verarbeitung widerspricht, sofern keine vorrangig berechtigten Gründe eine Verarbeitung existieren. Daten eines Kindes sind allenfalls bei Fehlen einer Einwilligung der Erziehungsberechtigten zu löschen.


Ausnahmen von der Löschungspflicht

Die DSGVO regelt auch Ausnahmefälle, die von der Löschungspflicht nicht umfasst sind. Das Löschungsbegehren wird dann keinen Erfolg haben, wenn die Verarbeitung erforderlich ist oder bei Ausübung des Rechts auf freie Meinungsäußerung der Information. Weiters besteht keine Löschungspflicht zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben.
Der Verantwortliche ist nicht zur Löschung verpflichtet bei Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder bei öffentlichen Interesse liegenden Archivzwecken, Forschungszwecken und statistischen Zwecken.


Verarbeitung von veralteten oder falschen Daten

Dies hängt wesentlich vom Zweck der Datenverwendung ab. In einer bloß intern verwendeten Marketing- und Interessentendatei wird es nicht notwendig sein, ständig Anschrift, Telefonnummer, Fax, ... nach der Aktualität zu überprüfen. Bei der nächsten Verwendung oder Postaussendung wird man auf Grund der Retouren und missglückter Kontakte feststellen, welche Daten nicht mehr aktuell sind und diese korrigieren.

Schwierigkeiten entstehen dort,
(a) wo Dritte, aus eigenem Antrieb Daten für eigene Zwecke sammeln oder
(b) wo Daten an Dritte für Zwecke weitergegeben werden (nicht immer im Interesse des Betroffenen).

Ein typisches Beispiel zu Fall (a) sind die Unmengen von Verzeichnissen, Datenbanken und Linklisten, die im Internet als Telefonbücher, Mail-Verzeichnisse oder Branchenverzeichnisse existieren. Meist werden diese Daten einmal übernommen und nicht mehr weiter gepflegt. Alte Informationen können Benutzer in die Irre führen oder sind schlicht ärgerlich.

Manche dieser Online-Verzeichnisse halten Update-Funktionen bereit, mit denen Betroffene selbst Daten pflegen können, die meisten ermöglichen keinerlei Online-Änderungen. In der Regel wird das bloße Bereitstellen einer Updatefunktion nicht ausreichen, sondern der Anbieter muss eigene Maßnahmen zur Erfüllung der Aktualisierungspflicht treffen. Dies umso mehr, als viele Betroffene gar nicht wissen, dass sie in einem bestimmten Informationssystem enthalten sind.

Wesentlich schwerwiegender ist Fall (b), etwa im Zusammenhang mit Wirtschaftsauskunftsdiensten und Gläubigerschutzverbänden. Falsche oder veraltete Daten können kreditschädigend sein oder den Zugang von Personen zum wirtschaftlichen Leben verteuern oder unmöglich machen. Vielfach melden Finanzdienstleister an den KSV 1870, dass sie 'Kreditanträge abgelehnt' hätten oder ein Kunde in 'Zahlungsverzug geraten sei', ohne die tatsächlichen Begleitumstände darzulegen bzw. festzuhalten, wie aktuell diese Information ist. Hier besteht von Seiten des Betroffenen ein Aktualisierungs- und Klarstellungsrecht, dass alle notwendigen Begleitumstände derartiger schwerwiegender Feststellungen darlegt.

Aber auch von Seiten des meldenden Geldinstituts und des KSV besteht eine aktive Aktualisierungspflicht. In regelmäßigen Abständen, per Bescheid der Datenschutzbehörde zumindest einmal jährlich, haben diese Stellen zu überprüfen, ob die gespeicherten, verwendeten und veröffentlichten Informationen noch vollständig und richtig sind. Kredite können ganz oder teilweise zurückgezahlt sein, ein Zahlungsverzug kann bereinigt sein, bei Zahlungsproblemen kann es zu einer einvernehmlichen Lösung zwischen Betroffenen und Bank gekommen sein.

Nach den bisherigen Erfahrungen stehen Verantwortliche im Bereich der Wirtschaftsauskunftsdienste meist auf dem Standpunkt, dass alles was sie tun 'berechtigt' ist, und agieren bei der Korrektur und Löschung von veralteten Informationen jenseits der gesetzlichen Regelungen. Generelle Verhaltensregeln und Empfehlungen bei der Ablehnung eines Löschungs- und Aktualisierungswunsches können keine gegeben werden. Ob ein Aktualisierung- bzw. ein Löschungswunsch Erfolgsaussichten hat, muss im Einzelfall analysiert werden. Die ARGE DATEN ist aber gerne bereit, bei entsprechend gut dokumentierten Fällen zu intervenieren.


Rechte der Betroffenen (Kunden)

Betroffene einer Datenanwendung haben das Recht die. Löschung ihrer Daten zu beantragen. Bei nichtöffentlichen Datenanwendungen muss dieser Antrag begründet werden. Gründe wären beispielsweise, dass veraltete oder falsche Daten verarbeitet werden oder keine weitere Datenverarbeitung durch das Unternehmen gewünscht ist.


Richtige Reaktion auf Löschungsbegehren

Erhält ein Unternehmen ein Löschungsbegehren, so gilt es festzustellen welche Daten des Betroffenen (Kunden) für welche Zwecke verarbeitet werden. Anschließend gilt es festzustellen für welche Datenverarbeitungen der Verarbeitungszweck durch das Löschungsbegehren weggefallen ist bzw. welche Daten nicht mehr benötigt werden. Nur diese Daten sind zu löschen.

Nicht gelöscht werden müssen Daten die weiterhin einen rechtmäßigen Verarbeitungszweck haben. In vielen Fällen dürfen derartige Daten, aufgrund von gesetzlichen Aufbewahrungspflichten, gar nicht gelöscht werden.

Beispiel: Ein Kunde hat bei einem Unternehmen ein (online) Kundenkonto um über den Webshop zu bestellen oder an einem Bonuspunkteprogramm teilzunehmen. Er entschließt sich nun das Konto zu schließen und seine Daten zu löschen. Was ist zu tun?

Zu beachten ist, dass Daten, die der Kunde beim Erstellen des Kundenkontos angegeben hat, auch für andere Zwecke Verwendung finden können, beispielsweise für die Buchhaltung, das Mahnwesen oder für Marketingzwecke. Es ergeben sich daraus unterschiedliche Situationen.

a) In der Vergangenheit hat der Kunde mehrere Produkte bestellt und unmittelbar bezahlt. Daten über das betriebliche Rechnungswesen müssen sieben Jahre aufbewahrt werden - diese Daten sind daher erst nach Ablauf der Aufbewahrungspflicht zu löschen.

b) Die letzte Rechnung hat der Kunde nicht unmittelbar bezahlt - darum wurde er gemahnt. Diesbezügliche Daten dürfen solange verarbeitet werden bis das Verfahren abgeschlossen ist - oder keine Eintreibung mehr möglich ist. Anschließend sind sie zu löschen.

c) Daten die ausschließlich für die Verwaltung des Kundenkontos verarbeitet werden (Benutzername / Passwort etc.), werden nicht mehr benötigt und sind daher umgehend zu löschen.


Sonderfall Marketing

Die Verwendung von Daten zu Marketingzwecken ist ausschließlich für Adressverlage und Direktmarketingunternehmen in § 151 der Gewerbeordnung (GewO) geregelt. Nur diesen gegenüber besteht ein Anspruch auf Löschung bzw. Sperrung.

Bei allen anderen Unternehmen kann ein Betroffener zwar eine Löschung verlangen, er hat jedoch keinen Rechtsanspruch auf diese. Üblicherweise wird jedoch derartigen Löschungswünschen stattgegeben. Es könnte jedoch ein Unternehmen auf dem Standpunkt stehen, jemand der JETZT keine Werbezusendung will, könnte zukünftig, etwa auf Grund geänderter Alters- oder Einkommensverhältnisse, seine Meinung ändern.

Beachtet werden müssen die Bestimmungen des Telekommunikationsgesetzes (TKG 2003) bezüglich der elektronischen Werbung.


Mitteilungs- und Informationspflicht des Verantwortlichen

Besteht die Berichtigungs- oder Löschungspflicht, so sind alle Empfänger von Daten über die Löschung oder die Berichtigung zu informieren (Art. 19 DSGVO). Die DSGVO normiert damit auch eine umfassende Mitteilungspflicht.
Falls der Verantwortliche die personenbezogenen Daten von Betroffenen veröffentlich hat und zur Löschung verpflichtet ist, sind auch Informationspflichten zu beachten. Er muss alle Datenempfänger über das Löschungsbegehren des Betroffenen unterrichten.


Fristen

Auf Berichtigungen und Löschungen muss grundsätzlich gemäß Art 17 DSGVO unverzüglich (ohne schuldhaftes Zögern), spätestens aber binnen eines Monats auf das Begehren des Betroffenenhin, reagiert werden. Entweder muss diesem mitgeteilt werden, dass dem Antrag entsprochen wurde oder es muss schriftlich begründet werden, warum das Begehren nicht durchführbar ist.


Beschwerde- und Schadenersatzrecht

Wenn der Verantwortliche einem Löschungsbegehren des Betroffenen nicht nachkommt, dann besteht die Beschwerdemöglichkeit bei der Datenschutzbehörde. Die Verletzung des Löschungs- und Berechtigungsrechts wird mit bis zu EUR 20 Mio., oder bei Unternehmen mit bis zu 4% des letzten weltweiten Jahresumsatzes bestraft (Art 83 Abs 5 DSGV0). Die Höchstrichter werden in Zukunft darüber entscheiden, wie hoch die Strafen tatsächlich sein werden. Weiters hat der Kunde das Recht auf Schadenersatz, sofern ein materieller oder immaterieller Schaden entstanden ist (Art 82 DSGVO). Für Schadenersatzklage gemäß Art 16 und 17 DSGVO sind die Landesverwaltungsgerichte (nicht die Datenschutzbehörde) zuständig.

mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> Löschungsanspruch gegenüber Wirtschaftsauskunftsdiensten & B...
mehr --> Zulässigkeit einer Datenverarbeitung - Beispiel Studentenkartei
mehr --> Wann muss eine Datenschutz-Beschwerde bei Gericht eingebracht ...
mehr --> Löschung von Daten bei Religionsgemeinschaften
mehr --> Beinhaltet das Recht auf Löschung auch ein Recht auf Herausgab...
mehr --> Datenverwendung im Unternehmen - 17. Oktober 2018
mehr --> http://www.argedaten.at/
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
andere --> https://www.ris.bka.gv.at/Bundesrecht/

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster