Wann müssen Daten berichtigt oder gelöscht werden, Empfänger verständigt werden? DSGVO Art 5, 15-17, 19, 21; GewO § 151
Löschungsgründe - Ausnahmen von der Löschungspflicht - Löschen im Sinne der DSGVO - Anonymisierung kann Löschung ersetzen - Verarbeitung von veralteten oder falschen Daten - Rechte der Betroffenen (Kunden) - Richtige Reaktion auf Löschungsbegehren - Sonderfall Marketing - Mitteilungs- und Informationspflicht des Verantwortlichen - Fristen - Beschwerde- und Schadenersatzrecht
Grundsätzlich sind unvollständige Daten zu ergänzen, veraltete Daten zu berichtigen und nicht mehr benötigte Daten oder unberechtigt verarbeitete Daten zu löschen.
Zunächst muss die betroffene Person natürlich Kenntnis von den über sie gespeicherten Daten haben. Hier hilft ihr das Auskunftsrecht aus Art. 15 der Datenschutz-Grundverordnung (DSGVO) weiter. Wird die Löschung abgelehnt, ist dies vom Verantwortlichen zu begründen. Auf die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde und auf einen gerichtlichen Rechtsbehelf ist hinzuweisen. Davon abgesehen sind in der Regel auch unvollständige Daten zu berichtigen und nicht mehr benötigte Daten oder unberechtigt ermittelte bzw. verwendete Daten zu löschen.
Löschungsgründe
Art 17 DSGVO regelt das Löschungsrecht bei Vorliegen bestimmter Löschungsgründe. Als Löschungsgründe kommen in Betracht:
- ein Wegfall des Verarbeitungszwecks
- ein Widerruf der Einwilligung des Betroffenen
- ein wirksamer Widerspruch gemäß Art 21 DSGVO
- eine Unrechtmäßigkeit der Datenverarbeitung,
- eine rechtliche Verpflichtung zur Löschung (Gesetz, Urteil, Bescheid)
- die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben (beispielsweise Fehlen einer Einwilligung der Erziehungsberechtigten eines Kindes)
Demnach sind verordnungswidrig verarbeitete Daten zu löschen sobald die Unzulässigkeit bekannt wird oder ein Betroffener (Kunde) einen begründeten Antrag auf Löschung stellt.
Unzulässig ist eine Datenverarbeitung grundsätzlich immer dann, wenn dieser kein rechtmäßiger Zweck mehr zugrunde liegt (Art 5 Abs lit b DSGVO). Im Fall, dass ein und dieselben Daten für mehrere Zwecke verarbeitet werden, dürfen diese erst gelöscht werden, wenn sämtliche Verarbeitungszwecke wegfallen.
Damit sind die Aktualisierung bzw. das Löschen von Daten bei Wegfall des Verarbeitungszwecks durchzuführen. Dies kann durch den Betroffenen erfolgen, aber auch indem Post retourniert wird oder Dritte auf veraltete oder falsche Daten hinweisen. In diesem Fall sind falsche Daten richtigzustellen und nicht mehr benötigte Daten zu löschen.
Die Löschungspflicht des Verantwortlichen ist weiters gegeben, wenn eine unrechtmäßige Datenverarbeitung erfolgte oder die Datenlöschung von rechtlicher Bedeutung ist. Beispielsweise kann eine gesetzliche Vorschrift oder ein Urteil oder ein Bescheid die Löschungspflicht anordnen. Der Verantwortliche muss Daten löschen, wenn der Betroffene der Verarbeitung widerspricht, sofern keine vorrangig berechtigten Gründe eine Verarbeitung existieren. Daten eines Kindes sind allenfalls bei Fehlen einer Einwilligung der Erziehungsberechtigten zu löschen.
Ausnahmen von der Löschungspflicht
Die DSGVO regelt auch Ausnahmefälle, die von der Löschungspflicht nicht umfasst sind. Das Löschungsbegehren wird dann keinen Erfolg haben, wenn die Verarbeitung erforderlich ist oder bei Ausübung des Rechts auf freie Meinungsäußerung der Information. Weiters besteht keine Löschungspflicht zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben.
Der Verantwortliche ist nicht zur Löschung verpflichtet bei Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder bei öffentlichen Interesse liegenden Archivzwecken, Forschungszwecken und statistischen Zwecken.
Verarbeitung von veralteten oder falschen Daten
Dies hängt wesentlich vom Zweck der Datenverwendung ab. In einer bloß intern verwendeten Marketing- und Interessentendatei wird es nicht notwendig sein, ständig Anschrift, Telefonnummer, Fax, ... nach der Aktualität zu überprüfen. Bei der nächsten Verwendung oder Postaussendung wird man auf Grund der Retouren und missglückter Kontakte feststellen, welche Daten nicht mehr aktuell sind und diese korrigieren.
Schwierigkeiten entstehen dort,
(a) wo Dritte, aus eigenem Antrieb Daten für eigene Zwecke sammeln oder
(b) wo Daten an Dritte für Zwecke weitergegeben werden (nicht immer im Interesse des Betroffenen).
Ein typisches Beispiel zu Fall (a) sind die Unmengen von Verzeichnissen, Datenbanken und Linklisten, die im Internet als Telefonbücher, Mail-Verzeichnisse oder Branchenverzeichnisse existieren. Meist werden diese Daten einmal übernommen und nicht mehr weiter gepflegt. Alte Informationen können Benutzer in die Irre führen oder sind schlicht ärgerlich.
Manche dieser Online-Verzeichnisse halten Update-Funktionen bereit, mit denen Betroffene selbst Daten pflegen können, die meisten ermöglichen keinerlei Online-Änderungen. In der Regel wird das bloße Bereitstellen einer Updatefunktion nicht ausreichen, sondern der Anbieter muss eigene Maßnahmen zur Erfüllung der Aktualisierungspflicht treffen. Dies umso mehr, als viele Betroffene gar nicht wissen, dass sie in einem bestimmten Informationssystem enthalten sind.
Wesentlich schwerwiegender ist Fall (b), etwa im Zusammenhang mit Wirtschaftsauskunftsdiensten und Gläubigerschutzverbänden. Falsche oder veraltete Daten können kreditschädigend sein oder den Zugang von Personen zum wirtschaftlichen Leben verteuern oder unmöglich machen. Vielfach melden Finanzdienstleister an den KSV 1870, dass sie 'Kreditanträge abgelehnt' hätten oder ein Kunde in 'Zahlungsverzug geraten sei', ohne die tatsächlichen Begleitumstände darzulegen bzw. festzuhalten, wie aktuell diese Information ist. Hier besteht von Seiten des Betroffenen ein Aktualisierungs- und Klarstellungsrecht, dass alle notwendigen Begleitumstände derartiger schwerwiegender Feststellungen darlegt.
Aber auch von Seiten des meldenden Geldinstituts und des KSV besteht eine aktive Aktualisierungspflicht. In regelmäßigen Abständen, per Bescheid der Datenschutzbehörde zumindest einmal jährlich, haben diese Stellen zu überprüfen, ob die gespeicherten, verwendeten und veröffentlichten Informationen noch vollständig und richtig sind. Kredite können ganz oder teilweise zurückgezahlt sein, ein Zahlungsverzug kann bereinigt sein, bei Zahlungsproblemen kann es zu einer einvernehmlichen Lösung zwischen Betroffenen und Bank gekommen sein.
Nach den bisherigen Erfahrungen stehen Verantwortliche im Bereich der Wirtschaftsauskunftsdienste meist auf dem Standpunkt, dass alles was sie tun 'berechtigt' ist, und agieren bei der Korrektur und Löschung von veralteten Informationen jenseits der gesetzlichen Regelungen. Generelle Verhaltensregeln und Empfehlungen bei der Ablehnung eines Löschungs- und Aktualisierungswunsches können keine gegeben werden. Ob ein Aktualisierung- bzw. ein Löschungswunsch Erfolgsaussichten hat, muss im Einzelfall analysiert werden. Die ARGE DATEN ist gerne bereit, bei entsprechend gut dokumentierten Fällen zu intervenieren.
Löschen im Sinne der DSGVO
"Löschen" heißt schlicht das Vernichten der Daten im Zusammenhang mit einem bestimmten Zweck und bezieht sich auf jede einzelne Information (Datum). Löschen im Sinne der DSGVO ist keine IT-Funktion und bezieht sich weder auf Datensätze, noch auf Personen, sondern auf konkrete Informationen und Zwecke. Diskussionen wie "physisches" oder "logisches" Löschen sind Scheindiskussionen und ignorieren das eigentliche rechtlich-technische Problem.
Wird eine Information aus verschiedenen getrennt administrierbaren Teilen (Objekten) verwaltet (zB Datenfelder, Datenspalten, ...) dann ist ein Löschungsanspruch je getrennt verwaltetem Objekt zu prüfen und gegebenenfalls das einzelne Objekt zu löschen.
Wird eine Information zu verschiedenen Zwecken verwaltet und einer der Zwecke ist nicht mehr gegeben, dann bedeutet Löschen, das sicherstellen, dass die Informaiton für den nicht mehr zulässigen Zweck nicht mehr verwendet werden kann. Die DSGVO sagt jedoch nichts dazu, wie das ein Verantwortlicher bewerkstelligt. Die Methode muss jedoch so zuverlässig sein, das unter keinen Umständen eine Verarbeitung der Information zu dem nicht mehr zulässigen Zweck möglich ist.
Um zu prüfen, ob "keine Umstände" gegeben sind, empfiehlt es sich typische Ausnahmesitutationen zu simulieren und die Wirksamkeit des Löschmanagements zu prüfen:
(a) Was passiert im Restorefall?
(b) Gibt es Personengruppen mit Sonderrechten, die Zugriff zu den Daten für den nicht mehr zulässigen Zweck erlangen können?
(c) Wie ist der gesamte Lifecycle der Daten gestaltet?
...
Kann unter allen denkbaren Szenarien sicher gestellt werden, dass die Daten nicht für den nicht mehr zulässigen Zweck verarbeitet werden können, dann liegt eine korrekte Löschung iS der DSGVO vor. Gibt es überhaupt keinen für den Verantwortlichen vorstellbaren Zweck, dann sind die Daten so zu vernichten, dass keine Person des Verantwortlichen irgendeinen Zugang zu diesen Daten hat. Das wird in der Regel tatsächlich nur durch Vernichten der Datenträger möglich sein.
Anonymisierung kann Löschung ersetzen
Um das Konzept Löschung gemäß DSGVO vollständig zu verstehen, muss immer auch der Zweck mitbedacht werden. Die DSGVO kennt kein abstraktes Löschungsrecht, sondern die Löschung ist immer auf einen bestimmten Zweck bezogen. Fällt der Zweck weg, sind die Daten zu löschen - für diesen Zweck. Kann durch schlichtes unkenntlich Machen des Personenbezugs erreicht werden, dass eine Person innerhalb eines bestimmten Zwecks nicht mehr aufscheient, dann ist dieser Vorgang ebenfalls eine korrekte Löschung gemäß DSGVO. Völlig unabhängig davon, ob die Person mit Name, Adresse, Identifikationsdaten irgendwo anders im IT-System des Verantwortlichen aufscheint.
Dieses "unkenntlich Machen des Personenbezugs" wird gemeinhin als "Anonymisierung" bezeichnet, ein Begriff der in der DSGVO nur in den erläuternden Bemerkungen aufscheint. Diese Rechtsposition, die die ARGE DATEN seit vielen Jahren vertritt, wird nunmehr auch durch den Bescheid (DSB-D123.270/0009-DSB/2018) der Datenschutzbehörde bestätigt: "Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein. Es muss jedoch sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann."
Für eine sichere Anonymisierung empfiehlt die ARGE DATEN die Verwendung von Zufallsfunktionen, wie etwa UUID-Generatoren, die zu einem Namen eines Betroffenen zu einem bestimmten Zeitpunkt eine zufällige Zeichenkette generieren. Alle Identifikationsmerkmale eines Betroffenen sollten dann zu diesem Zeitpunkt durch den Zufallscode ersetzt werden. Bei Wiederholung des Zufallsgenerators würde zum Namen des Betroffenen eine völlig andere Zeichenkette entstehen.
Auf diese Weise können die Bedürfnisse des Betroffenen ("Löschung") und des Verantwortlichen ("Langzeitanalysen") erfüllt werden. Er kann das Betroffenenprofil noch jahrzehntelang auswerten, er weiß nur nicht, wer der Betroffene war.
Alle Betriebssysteme, alle höheren Programmiersprachen und alle modernen Applikationen verfügen über derartige Generierungs- und Replace-Funktionen. Verantwortliche sind gut beraten bei ihrem Softwarelieferant eine derartige Funktion einzufordern, sie können auf diese Weise den DSGVO-Löschverpflichtungen leicht nachkommen.
Pseudonymisierung ist keine Löschung im Sinne der DSGVO
Wird Anonymisierung zur Löschung verwendet, was bei komplexen IT-Systemen wohl das häufigste Mittel der Wahl ist, müssen einige Rahmenbedingungen beachtet werden. Es reicht etwa nicht aus einen Mitarbeiter/Kunden/Patienten/Bürger zu "löschen" indem sein Name durch die Kundennummer, Mitarbeiternummer oder gar Sozialversicherungsnummer ersetzt wird. In diesem Fall könnte die "Löschung" ohne großen Aufwand jederzeit rückgängig gemacht werden. Hier ist keine "Anonymisierung" gegeben, sondern bloß eine "Pseudonymisierung. Eine korrekte Löschung liegt NICHT vor.
Rechte der Betroffenen (Kunden)
Betroffene einer Datenanwendung haben das Recht die. Löschung ihrer Daten zu beantragen. Bei nichtöffentlichen Datenanwendungen muss dieser Antrag begründet werden. Gründe wären beispielsweise, dass veraltete oder falsche Daten verarbeitet werden oder keine weitere Datenverarbeitung durch das Unternehmen gewünscht ist.
Richtige Reaktion auf Löschungsbegehren
Erhält ein Unternehmen ein Löschungsbegehren, so gilt es festzustellen welche Daten des Betroffenen (Kunden) für welche Zwecke verarbeitet werden. Anschließend gilt es festzustellen für welche Datenverarbeitungen der Verarbeitungszweck durch das Löschungsbegehren weggefallen ist bzw. welche Daten nicht mehr benötigt werden. Nur diese Daten sind zu löschen.
Nicht gelöscht werden müssen Daten die weiterhin einen rechtmäßigen Verarbeitungszweck haben. In vielen Fällen dürfen derartige Daten, aufgrund von gesetzlichen Aufbewahrungspflichten, gar nicht gelöscht werden.
Beispiel: Ein Kunde hat bei einem Unternehmen ein (online) Kundenkonto um über den Webshop zu bestellen oder an einem Bonuspunkteprogramm teilzunehmen. Er entschließt sich nun das Konto zu schließen und seine Daten zu löschen. Was ist zu tun?
Zu beachten ist, dass Daten, die der Kunde beim Erstellen des Kundenkontos angegeben hat, auch für andere Zwecke Verwendung finden können, beispielsweise für die Buchhaltung, das Mahnwesen oder für Marketingzwecke. Es ergeben sich daraus unterschiedliche Situationen.
a) In der Vergangenheit hat der Kunde mehrere Produkte bestellt und unmittelbar bezahlt. Daten über das betriebliche Rechnungswesen müssen sieben Jahre aufbewahrt werden - diese Daten sind daher erst nach Ablauf der Aufbewahrungspflicht zu löschen.
b) Die letzte Rechnung hat der Kunde nicht unmittelbar bezahlt - darum wurde er gemahnt. Diesbezügliche Daten dürfen solange verarbeitet werden bis das Verfahren abgeschlossen ist - oder keine Eintreibung mehr möglich ist. Anschließend sind sie zu löschen.
c) Daten die ausschließlich für die Verwaltung des Kundenkontos verarbeitet werden (Benutzername / Passwort etc.), werden nicht mehr benötigt und sind daher umgehend zu löschen.
Sonderfall Marketing
Die Verwendung von Daten zu Marketingzwecken ist ausschließlich für Adressverlage und Direktmarketingunternehmen in § 151 der Gewerbeordnung (GewO) geregelt. Nur diesen gegenüber besteht ein Anspruch auf Löschung bzw. Sperrung.
Bei allen anderen Unternehmen kann ein Betroffener zwar eine Löschung verlangen, er hat jedoch keinen Rechtsanspruch auf diese. Üblicherweise wird jedoch derartigen Löschungswünschen stattgegeben. Es könnte jedoch ein Unternehmen auf dem Standpunkt stehen, jemand der JETZT keine Werbezusendung will, könnte zukünftig, etwa auf Grund geänderter Alters- oder Einkommensverhältnisse, seine Meinung ändern.
Beachtet werden müssen die Bestimmungen des Telekommunikationsgesetzes (TKG 2003) bezüglich der elektronischen Werbung.
Mitteilungs- und Informationspflicht des Verantwortlichen
Besteht die Berichtigungs- oder Löschungspflicht, so sind alle Empfänger von Daten über die Löschung oder die Berichtigung zu informieren (Art. 19 DSGVO). Die DSGVO normiert damit auch eine umfassende Mitteilungspflicht.
Falls der Verantwortliche die personenbezogenen Daten von Betroffenen veröffentlich hat und zur Löschung verpflichtet ist, sind auch Informationspflichten zu beachten. Er muss alle Datenempfänger über das Löschungsbegehren des Betroffenen unterrichten.
Fristen
Auf Berichtigungen und Löschungen muss grundsätzlich gemäß Art 17 DSGVO unverzüglich (ohne schuldhaftes Zögern), spätestens aber binnen eines Monats auf das Begehren des Betroffenenhin, reagiert werden. Entweder muss diesem mitgeteilt werden, dass dem Antrag entsprochen wurde oder es muss schriftlich begründet werden, warum das Begehren nicht durchführbar ist.
Beschwerde- und Schadenersatzrecht
Wenn der Verantwortliche einem Löschungsbegehren des Betroffenen nicht nachkommt, dann besteht die Beschwerdemöglichkeit bei der Datenschutzbehörde. Die Verletzung des Löschungs- und Berechtigungsrechts wird mit bis zu EUR 20 Mio, oder bei Unternehmen mit bis zu 4% des letzten weltweiten Jahresumsatzes bestraft (Art 83 Abs 5 DSGV0).
Die Höchstrichter werden in Zukunft darüber entscheiden, wie hoch die Strafen tatsächlich sein werden. Weiters hat der Kunde das Recht auf Schadenersatz, sofern ein materieller oder immaterieller Schaden entstanden ist (Art 82 DSGVO). Für Schadenersatzklage gemäß Art 16 und 17 DSGVO sind die Zivilgerichte (nicht die Datenschutzbehörde) zuständig.
mehr --> Anonymisierung ist DSGVO-konformes Löschen mehr --> Entsorgung alter Personalunterlagen mehr --> Besteht Löschungspflicht bei erfolglosen Bewerbungen? andere --> Universally Unique Identifier (UUID)
|