In unserem Blogbeitrag zum Thema „Datenschutz im Marketing“ haben wir bereits betont, dass der Umgang mit personenbezogenen Daten in jedem Unternehmensbereich gewährleistet und dokumentiert werden muss. Besonders wichtig dabei: Die gesetzeskonforme Speicherung und Löschung von Daten. Doch was passiert, wenn die personenbezogenen Daten nicht rechtzeitig gelöscht werden? Grund genug, das Thema noch einmal ausführlich zu beleuchten.
Artikel 17 DSGVO: Das „Recht auf Löschung“
Wie alle datenschutzrechtlichen Aspekte findet sich die Rechtsgrundlage für die Speicherung und Löschung personenbezogener Daten in der DSGVO. Nach Artikel 17 DSGVO – dem sogenannten „Recht auf Vergessenwerden“ – haben betroffene Personen das Recht, die Löschung ihrer Daten zu verlangen, wenn:
- der Zweck der Datenverarbeitung entfällt,
- eine Einwilligung widerrufen wird,
- die Daten unrechtmäßig verarbeitet wurden oder
- eine gesetzliche Pflicht zur Löschung besteht.
Unternehmen müssen solchen Anfragen unverzüglich nachkommen – es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen (zum Beispiel im Steuer- oder Handelsrecht).
Was Unternehmen beachten müssen
Für eine DSGVO-konforme Löschung ist es nicht ausreichend, Daten auf Zuruf der Personen zu entfernen. Vielmehr sind systematische und technisch sauber umgesetzte Prozesse erforderlich:
- Löschkonzept erstellen: Unternehmen sollten ein schriftlich dokumentiertes Konzept vorhalten, das beschreibt, wann und wie personenbezogene Daten gelöscht werden – inklusive Fristen, Zuständigkeiten und Systemübersichten.
- Automatisierte Prozesse nutzen: Die Löschung sollte nicht manuell erfolgen. Digitale Tools oder spezialisierte Datenschutzsoftware helfen dabei, Fristen zu überwachen und Löschvorgänge automatisiert durchzuführen.
- Rechenschaftspflicht wahren: Die DSGVO verpflichtet zur Nachweisbarkeit. Unternehmen müssen gegenüber Behörden belegen können, dass Löschpflichten eingehalten wurden – zum Beispiel durch Protokolle oder Auditberichte.
- Backup-Daten nicht vergessen: Auch in Sicherungskopien gespeicherte personenbezogene Daten müssen nach Ablauf der Speicherfrist gelöscht oder unzugänglich gemacht werden.
All dies wird auch von großen, weltweit agierenden Unternehmen unterschätzt – mit zum Teil erheblichen Konsequenzen. Im Beitrag „Logbuch-Eintrag Nr. 3: Personenbezogene Daten“ haben wir auf ein prominentes Beispiel hingewiesen: Das Millionenbußgeld für die Plattform Vinted aufgrund fehlerhafter Löschprozesse.
Fazit: Sorgfalt bei der Löschung ist keine Kür, sondern Pflicht
Die gesetzeskonforme Löschung personenbezogener Daten gehört zu den zentralen Anforderungen der DSGVO – und zu den Bereichen, in denen Verstöße regelmäßig sanktioniert werden. Unternehmen, die ihre Löschpflichten ignorieren oder auf unsystematische Prozesse setzen, setzen sich nur einem hohen Bußgeldrisiko aus, sondern gefährden auch das Vertrauen ihrer Kunden.
