Weka Plus

Records Management: Löschungspflicht und Records Management

Sowohl das revidierte Datenschutzgesetz als auch die Datenschutz-Grundverordnung (DSGVO) sehen vor, dass Personendaten gelöscht werden müssen, wenn sie nicht mehr verarbeitet werden. Im Bereich des Records Managements gilt dies schon lange. Gibt es hier Gemeinsamkeiten bzw. Prozesse, die sich nun auch für die Löschung von Personendaten anwenden lassen?

27.07.2021 Von: Carmen de la Cruz Böhringer
Records Management

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden, d.h. das Recht auf Löschung i.S. von Art. 17 DSGVO, heisst, dass das Unternehmen die Pflicht hat, nicht mehr benötigte Personendaten zu löschen und zwar unwiderruflich.

Als Records Management wird die Verwaltung von «Records» bezeichnet: «Records sind sämtliche Aufzeichnungen strukturierter Art (Daten-Records) und unstrukturierter bzw. schwachstrukturierter Art (Unterlagen-Records, Dokumente etc. […]. Bereits aus dieser Definition wird ersichtlich, dass Datenschutz (Löschungspflicht) und Records Management einiges gemeinsam haben, womit man sich auseinandersetzen sollte. 

Die Löschungspflicht gemäss revDSG und DSGVO trifft jedes Unternehmen und besagt, dass nicht mehr benötigte Personendaten gelöscht werden müssen. Dies wurde in verschiedenen Urteilen bestätigt, so beispielsweise im Entscheid Deutsche Wohnen der Berliner Datenschutzaufsichtsbehörde: Die Datenschutzbehörde des Bundeslandes Berlin hat in Bezug auf die Deutsche Wohnen in ihrem Entscheid vom 5. November 2019 entschieden, dass jene personenbezogenen Daten bezüglich der Immobilien, welche durch die Deutsche Wohnen verwaltet und vermietet werden, zu lange und zu umfassend aufbewahrt wurden. Nachdem die Gesellschaft die Daten auch zwei Jahre nach erfolgter Mahnung nicht gelöscht hatte, wurde eine Busse von 14.5 Millionen Euro verhängt.

Bezogen auf die Aufbewahrungspraxis einer privaten Unternehmung war und ist dieser Entscheid bis anhin einzigartig. Er zeigt auf, dass Aufbewahrungs- und Löschungspflichten von Unternehmen ernst genommen werden müssen, da die Folgen bei Widerhandlungen dramatisch sein können und die Durchsetzungsmechanismen der DSGVO durchaus im Stande sind, die materiellen Vorgaben der DSGVO umzusetzen.

Als erstes Urteil, in welchem das Recht auf Vergessenwerden in der Europäischen Union vor Gericht eingeklagt wurde, machte ein spanischer Fall Schlagzeilen. In diesem wollte ein spanischer Staatsbürger verschiedene Zeitungsartikel über eine Zwangsversteigerung, bei welcher seine Grundstücke versteigert wurden, aus dem Internet gelöscht haben. Google, bzw. dessen spanischer
Ableger Google Spain, wehrte sich dagegen.

Der Europäische Gerichtshof (EuGH) anerkannte in seinem Urteil vom Mai 2014 - also noch vor dem Inkrafttreten der DSGVO - ein Recht auf Vergessenwerden unter gewissen Vorbehalten.

In Bezug auf das Recht auf Vergessenwerden hielt die EU-Kommission selbst fest, dass jede Person ein Recht auf Vergessenwerden haben sollte, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für welche die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist.

Die Löschungsgründe können vielfältig sein, wobei die Pflicht zur Löschung zufolge fehlender gesetzlicher Grundlage oder Wegfall der Bearbeitungsnotwendigkeit im Vordergrund stehen: So kann beispielsweise sein, dass Personendaten nicht mehr aktuell oder nicht mehr relevant sind, die Erlaubnis des/der Betroffenen zur Bearbeitung von Personendaten entzogen wurde oder wenn kein anderer rechtlicher Grund zur Datenverarbeitung besteht. Ist einer dieser Gründe erfüllt, so müssen die Daten gelöscht werden. Dabei trifft den Datenverarbeiter von zwei Seiten eine Löschungspflicht: Erstens direkt aus der DSGVO, wenn einer der erwähnten Tatbestände erfüllt ist und zweitens das individuelle Recht des Einzelnen auf Löschung. Die individuelle Geltendmachung kann vom Einzelnen geltend gemacht werden und hat dabei kein bestimmtes Formerfordernis zu erfüllen.  

Die Löschungspflicht gilt jedoch nicht ohne Schranken: So kann eine gesetzliche Vorgabe für die längere Aufbewahrung von Personendaten gegeben sein wie z.B. bei Patientenakten, Grundbuchdossiers etc.

Der resp. die Betroffene hat aber in jedem Fall das Recht, gegenüber Unternehmen das Recht auf Vergessenwerden geltend zu machen.

Tipp: Das Recht auf Vergessenwerden muss umgesetzt werden, wenn Betroffene dies von Unternehmen verlangen. Es empfiehlt sich deshalb, dies bereits in den Unternehmensprozessen mitberücksichtigen und, wenn vom/von der Betroffenen verlangt, auch umzusetzen.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren