Go to Top

Recht auf Vergessenwerden – Artikel 17 DSGVO

(oder: Denken Sie jetzt unverzüglich eben nicht an den rosa Elefanten.)

Was sich leicht anhört, und jedem bereits aus Versehen ohne weiteres Zutun passiert ist, kann in der Realität schwer umzusetzen sein.

Zum einen muss man wissen, was genau denn vergessen werden soll. Zum anderen muss man wissen, wie man auch tatsächlich alles restlos vergessen kann, ohne dass nur ein Fünkchen rosafarbener Informationselefant noch auffindbar ist.

Um das herauszufinden, muss man tiefer in die Materie Datenschutz einsteigen.

Würde man sich an der Kasse einer Filialbäckerei noch über die Frage nach der persönlichen Telefonnummer wundern, so gibt man diese doch allzu oft bei Bestellvorgängen im Internet bereitwillig in eine Eingabemaske nebst weiterer persönlicher Daten ein. Doch wofür sollte diese Nummer benötigt werden? Wo landet diese Nummer und was geschieht damit?

Brisanz bekommen diese Fragen spätestens Ende Mai, wenn die DSGVO endgültig umgesetzt wird und hohe Strafen für Unternehmen drohen, die allzu locker mit den Daten ihrer Kunden, Partner oder sonstiger Kontakte umgehen. Denn mit dem Artikel 17 wurden die bestehenden gesetzlichen Datenschutzanforderungen, die im Vergleich zu anderen Datenschutzgesetzen der europäischen Partnerstaaten schon recht strikte Vorgaben machten, nochmal verschärft. Eben besonders dahingehend, dass Betroffene jetzt das „Recht auf Vergessenwerden“ einfordern können.

Kurz gesagt müssen Unternehmen personenbezogene Daten künftig unverzüglich löschen, wenn…

  • die personenbezogenen Daten für die Zwecke, für die sie zuvor erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
  • wenn die Person ihre Einwilligung widerruft und es an einer anderen Rechtsgrundlage für die Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder wenn
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist

In einem dieser Fälle reicht es dann nicht aus, den Speicher mit den Daten einfach auf den Müll zu werfen, sondern es muss neben der Etablierung der passenden Löschprozesse auch dafür gesorgt werden, dass diese technisch und rechtlich einwandfrei durchgeführt werden. Beispielsweise durch die Zerstörung des Datenträgers oder durch die sichere (also endgültige) Löschung des betreffenden Speichers, wenn dieser wieder oder weiterverwendet werden soll.

Viele Unternehmen nutzen Daten ihrer Kunden und Partnerunternehmen aus unterschiedlichen Gründen und in unterschiedlichen Abteilungen und haben diese Daten in der Vergangenheit in ihren Systemen abgelegt, fleißig von System A in System B gemerged oder gar System A mit System B aus Praktikabilitätsgründen verbunden. Dabei wurde aus Lieschen Müller samt ihrer Telefonnummer auch mal Lisel Mueller oder Liese Müller mit und ohne Telefonnummer. Und wer sagt uns, dass nicht doch mehr als nur ein Lieschen Müller existiert?

Zuerst sollte geklärt werden, was denn diese persönlichen Daten des Datensubjekts sind, wo, wann und unter welchen Umständen welche Daten gesammelt wurden. Im Anschluss daran muss man sich Klarheit darüber verschaffen, wo diese Daten denn nun alle abgespeichert und abgelegt wurden.

Hat man sich hier einen Überblick verschafft so muss geklärt werden, was denn nun vergessen werden muss. Werden diese Daten noch benötigt? Wenn ja, welche Abteilung benötigt diese Daten noch? Wenn ja, wo und für welche Dauer darf ich die benötigten Daten noch behalten?

Und was, wenn diese Daten bereits einer Dritten Stelle oder gar der breiten Öffentlichkeit übermittelt wurde? Auch hier ist die verantwortliche Stelle dazu verpflichten soweit wie möglich für die Löschung zu sorgen.

Sind diese Fragen restlos geklärt, so muss eine sichere Löschung der ermittelten Daten erfolgen. Der rosafarbene Elefant hat seinen Rüssel überraschenderweise in viele Abteilungen gesteckt und an vielen Orten mehr oder weniger tiefe Fußabdrücke hinterlassen. So finden sich seine Hinterlassenschaften nicht nur im Odner für eingegangene Nachrichten, sondern nach Löschvorgang auch gerne im Ordner für gelöschte Nachrichten. Löscht man die Daten aus der einen Datenbank, so tauchen sie als backup Daten fröhlich trötend plötzlich an andere Stelle wieder auf oder werden nur als Teildatensatz aus abhängigen Systemen gelöscht und hinterlassen schlimmstenfalls einen Scherbenhaufen im abhängigen System.

Da die Löschung laut Artikel 17 DSGVO unverzüglich nach der Anfrage dazu zu erfolgen hat, ist es ratsam, sich schon frühzeitig auf diese Anfragen vorzubereiten und eine sichere Löschsoftware parat zu haben, die schnell, effizient und systemübergreifend einsetzbar und nutzbar ist.

Von Michael Nuncic, Ontrack Data Recovery und Marion Wernado, Legal Technology KLDiscovery, Böblingen

Bildnachweis: Thorben Wengert  / pixelio.de

https://www.pixelio.de/media/450456