Jede betroffene Person hat zahlreiche Rechte, darunter das Recht auf Auskunft (dazu haben wir im Rahmen unserer Serie zu den Betroffenenrechten hier bereits berichtet) und das Recht auf Löschung, wenn die Daten zum Beispiel für die Zwecke, zu denen sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr benötigt werden (dazu haben wir hier bereits berichtet).
Nun kommt es nicht selten vor, dass betroffene Personen „in einem Rutsch“ ein Auskunftsersuchen über die verarbeiteten Daten stellen und im selben Schreiben die Löschung dieser Daten fordern.
Dies hat für beide Seiten (den für die Verarbeitung Verantwortlichen und die betroffene Person) Folgen, die unserer Erfahrung nach von den betroffenen Personen nicht immer bedacht wurden. Eigentlich ist der Wunsch der betroffenen Personen häufig die Löschung der Daten. Das Auskunftsersuchen wird jedoch vorweg geschoben, um den für die Verarbeitung Verantwortlichen noch einmal zu ärgern. Schließlich erzeugen solche Auskunftsersuchen in vielen Fällen recht hohe Aufwände in den Unternehmen.
Nicht bedacht wird von den betroffenen Personen dabei häufig das Folgende:
Dokumentationspflichten
Der für die Verarbeitung Verantwortliche unterliegt gemäß Art. 5 Abs. 2 DSGVO einer Rechenschaftspflicht. Das bedeutet, dass die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachgewiesen werden muss.
Sofern eine Auskunft gewünscht wird und die verantwortliche Stelle diesem Wunsch nachgekommen ist, ist diese Beauskunftung zu dokumentieren, um in der Lage zu sein, diesen Nachweis zu erbringen. Das heißt, dass die Daten, die der verantwortlichen Stelle vorliegen, an die betroffene Person übermittelt werden und die Auskunft mit allen Daten und gegebenenfalls geforderten Kopien von Dokumenten, E-Mails, Bildern und allen anderen Aufzeichnungen zu Dokumentationszwecken aufbewahrt werden, um nachweisen zu können, dass die Auskunft ordnungsgemäß und vollständig erfolgt ist.
Wird nun eine Löschung der Daten verlangt, sind diejenigen Daten, die in den Systemen gespeichert sind, unverzüglich zu löschen, sofern sie gemäß Art. 17 Abs. 1 lit. a bis f DSGVO grundsätzlich zur Löschung anstehen. Ein Teil der Daten würde weiterhin gespeichert und verarbeitet werden, da der ursprüngliche Zweck der Verarbeitung noch nicht entfallen ist. Sofern die Speicherung nur noch zur Erfüllung von Aufbewahrungspflichten erfolgt, können die Daten zwar ebenfalls nicht gelöscht werden, sind jedoch in der Verarbeitung derart einzuschränken, dass der Zugriff nur noch zu diesen Zwecken (Nachweis der Erfüllung der Aufbewahrungspflicht) möglich ist.
Wenn nun aber vorher die Auskunft erteilt wurde, sind alle Daten inklusive der Kopien, die beauskunftet wurden aufgrund der bereits erwähnten Rechenschaftspflicht für 3 Jahre aufzubewahren. Man bewirkt mit dem vorangestellten Auskunftsersuchen also das Gegenteil von dem, was man bezweckt hat. Natürlich sind diejenigen Daten, die nun ausschließlich zum Nachweis der Auskunftserteilung gespeichert bleiben, in der Verarbeitung einzuschränken. Diese dürfen nicht mehr in die normale Verarbeitung einfließen, aber sie liegen dem für die Verarbeitung Verantwortlichen immer noch in Gänze vor. Kurz gesagt: Die Beauskunftung verhindert die anschließende Löschung – zumindest für die nächsten drei Jahre.
Wenn Sie jetzt sagen, das kann doch nicht sein, können wir Ihnen sagen: Diese Auffassung wurde uns von einigen Aufsichtsbehörden so bestätigt.
Zweistufiges Vorgehen wäre besser
Deshalb empfehlen wir, sofern das Löschen der Daten wirklich umfänglich und konsequent gewünscht ist, das Löschen zunächst losgelöst von dem Auskunftsersuchen zu beantragen – so gerne man das Unternehmen vielleicht noch ärgern möchte. Sofern nach der bestätigten Löschung Zweifel daran bestehen, dass das Löschbegehren ordnungsgemäß umgesetzt wurde, kann dann im Nachhinein ein Auskunftsersuchen gestellt werden. Dies ist dann auch tatsächlich sinnvoll, da hierdurch überprüft werden kann, ob dem Löschbegehren tatsächlich im erforderlichen Umfang entsprochen wurde. Selbstverständlich ist auch dieses Auskunftsersuchen von den Verantwortlichen zu dokumentieren. Allerdings ist der Umfang an Daten, die zur betroffenen Person gespeichert werden (hoffentlich) geringer, da zumindest die Daten, die zur Löschung anstehen, zuvor gelöscht wurden.
Da die Verantwortlichen bis zu einem Monat Zeit haben, die Aufforderung zur Löschung umzusetzen, sollte ihnen diese Zeit auch gegeben werden, bevor ein Auskunftsersuchen gestellt wird. Solange keine Rückmeldung (Bestätigung oder begründete Ablehnung der Löschung) erfolgt ist, läuft die betroffene Gefahr, dass die Daten noch nicht gelöscht sind und das oben dargestellte Problem weiterhin besteht.
Fazit
Alle betroffenen Personen sollten vorher überlegen, welches Ziel sie in erster Linie verfolgen und dann ihre Betroffenenanfragen in der richtigen Reihenfolge stellen. Unbedingt sollte darauf verzichtet werden, vorab noch ärgern zu wollen, ansonsten könnte das Gegenteil des eigentlichen Ziels erreicht werden.
______________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.
Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.