Das Recht auf Vergessen
17. Mai 2019, Recht & Steuern | Firmenrecht

Das Recht auf Vergessen: Doch nicht so heiss gegessen wie gekocht?

Mit dem Inkrafttreten der Europäischen Datenschutz Grundverordnung (DSGVO) am 25. Mai 2018 wurden auch einige grundlegende Pflichten und Anforderungen eingeführt. Grundsätzlich müssen sich Unternehmen im Anwendungsbereich diesen Anforderungen stellen und gemäss der DSGVO implementieren. Dabei stellen manche zu implementierenden Massnahmen ein komplexes Unterfangen dar– und das schon in der frühen Phase der Implementierung.
1. Die Komplexität des Rechts auf Löschung
Die Komplexität entsteht einerseits durch das Recht der Datensubjekte verlangen zu können, dass deren personenbezogenen Daten unverzüglich gelöscht werden und andererseits dadurch, dass der Verantwortliche die Daten auch ohne Anfrage unverzüglich löschen muss.
 
Dabei ist dieser verpflichtet die Daten selbstständig zu löschen, wenn auch nur eine der folgenden Sachverhalte zutrifft:
  • Die personenbezogenen Daten sind für die einstigen Zwecke der Datenerhe-bung nicht mehr notwendig
  • Die betroffene Person widerruft ihre Einwilligung gemäss Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO
  • Die betroffene Person legt gemäss Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten ein
  • Die personenbezogenen Daten wurden unrechtmässig verarbeitet
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht/Recht eines Mitgliedsstaates erforderlich
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäss Art. 8 Abs. 1 DSGVO erhoben
Art. 17 Abs. 3 DSGVO definiert sog. Ausnahmetatbestände, nach welchen der Ver-antwortliche weder selbstständig, noch auf Anfrage der betroffenen Person hin die personenbezogenen Daten löschen muss. Diese stellen auf die Erforderlichkeit der jeweiligen Datenverarbeitungsvorgänge ab.
  • Zur Ausübung des Rechts auf freie Meinungsäusserung und Information
  • Zur Erfüllung einer rechtlichen Verpflichtung
  • Zur Wahrnehmung einer Aufgabe im öffentlichen Interesse
  • Aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  • Für die im öffentlichen Interesse liegen-den Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäss Art. 89 Abs. 2 DSGVO
  • Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Es steht fest, dass im Rahmen der DSGVO Löschpflichten und die Festlegung von Fristen Pflicht sind. Dies gestaltet sich für Unternehmen als komplex, da überhaupt erst einmal Überblick verschafft werden muss, wo welche Daten erhoben und verarbeitet werden.

Auf rechtlicher Ebene können die gesetzlichen Aufbewahrungspflichten mit den Löschanfragen der betroffenen Person kollidieren.

Im Falle einer Kollision greift hier gemäss Art. 6 Abs. 1 S. 1 lit. c DSGVO die gesetzliche Grundlage, auf welche sich die Aufbewahrung der Daten beruft.

Einige relevante Aufbewahrungspflichten können dem Obligationenrecht (OR), der Geschäftsbücherverordnung (GeBüV), sowie aus dem Bundesgesetz über die Mehrwert-steuer (MWStG) entnommen werden.
2. Konzeption eines Löschkonzepts
Die Phase der Konzeption eines Löschkonzepts ist ein komplexes Unterfangen, bei welchem systematisch vorgegangen werden muss.

Folgend die wichtigsten Elemente, welche elementar für die Umsetzung sind:
 
a) Bestandsaufnahme mittels Data Mapping und Klassifizierung der personen-bezogenen Daten:
Die personenbezogenen Daten, welche im Unternehmen vorhanden sind, müssen in den verschiedenen Abteilungen, Applikationen oder bei Drittparteien (Auftragsverarbeitern) gefunden, zugeordnet und klassifiziert werden.
 
Es sollte beachtet werden, dass eine mögliche Bestandsaufnahme idealerweise schon bei der Implementierung des Dateninventars gemäss Art. 30 DSGVO stattgefunden haben sollte.
 
b) Risiko basierter Ansatz & realisierbare Umsetzungsgeschwindigkeit:
Vollständigkeit und Umsetzungsgeschwindigkeit sind zwei erwähnenswerte Ele-mente eines risikobasierten Ansatzes. Weitere sind beispielsweise das komplette «out-scopen» von verschiedenen Massnahmen, welche erst in einer späteren Projektphase realisiert werden. Beim risikobasierten Ansatz muss sich die Unternehmung an folgenden Kriterien orientieren:
  • Potentielle Bussgelder
  • Imageschäden
  • Potentielle Abmahnungen
  • Potentielle Meldung an Aufsichtsbehörden
  • Sinn der Norm (Schutz von natürlichen Personen)
  • Entscheide Aufsichtsbehörden und
    Gerichte (national & EU)
  • Praktikabler Ansatz
Durch eine zu aggressive Implementations- Roadmap kann ein lückenhaftes Gesamt-konzept entstehen, in welchem diese erst zu spät oder gar nicht entdeckt werden. Möglich ist auch, dass Arbeiten nicht sauber ausgeführt werden und der Prozess im Unternehmen nicht «gelebt» werden kann.
 
Tipps bei geringen Ressourcen für einen hohen Arbeitsaufwand:
  • Lieber langsamer arbeiten, aber sauber
  • Realistisch planen und anfänglich Lücken einkalkulieren. Diese in Projektphase 2 schliessen
 
c) Definition der verschiedenen Löschfristen im Unternehmen
Mit der Definition der Löschfristen steht und fällt das Löschkonzept.

Warum es ein Löschkonzept mit definierten Löschfristen bedarf:
  • Organisatorische Umsetzung der Löschung
  • Entlastung des Bereichs Datenschutz
  • Automatisierter und gelebter Löschprozess
  • Zur Vervollständigung von Art. 30 DSGVO
  • Zu Dokumentationspflichten welche Datenkategorien wie lange und auf welcher rechtlichen Grundlage aufbewahrt werden
Wird die Aufbewahrung mit der Erforderlichkeit der Verarbeitung gemäss Art. 17 Abs. 3 lit. a – e DSGVO begründet, muss trotzdem ein zeitlicher Rahmen festgelegt werden, da eine zeitlich unbegrenzte Verarbeitung der personenbezogenen Daten nicht rechtmässig ist. Bei Erschöpfung der rechtlichen Grundlage sind sodann auch diese Daten zu löschen.
 
d) Wer ist für die Löschung verantwortlich?
Dieses Verantwortlichkeitsmodell muss im Unternehmen bzgl. der Löschung von personenbezogenen Daten festgelegt werden. Es muss eine praktikable Lösung gefunden werden, wer welche Daten zu löschen hat und wer hierfür auch die Verantwortung übernimmt.
Verschiedene Optionen:
  • Dem Daten-Owner wird pro Abteilung ein «Privacy Champion» zugewiesen– dabei agiert der DPO in einer schulenden und beratenden Rolle
  • IT-Abteilung ist verantwortlich für die Daten in den einzelnen Applikationen
  • Bei kleinen Unternehmen kann die Aufgabe auch eine Person übernehmen, beispielsweise der Datenschutzbeauftragte oder Datenschutzverantworun
 
e) Dauerhafte Löschung
Ein Prozess sollte hier im Unternehmen bestehen, welcher das Löschvorhaben beispielsweise zuerst manuell bestätigt und sodann einen Löschvorgang automa-tisiert durchführt und die Löschung mitprotokolliert.

Zu achten ist auf folgendes:
  • Der Löschprozess sollte Fehler im Löschprotokoll anzeigen
  • Das Löschprogramm sollte anzeigen, wenn Datensätze nicht gefunden worden sind
  • Das Löschprotokoll sollte von der verantwortlichen Person abgenommen werden
  • Das Löschprotokoll sollte aufgrund der Nachweispflicht abgelegt werden
  • Der Verantwortliche muss sichergehen, dass nicht eventuell Kopien der Daten vorhanden
f) Rechte der Datensubjekte
In Bezug auf das Löschkonzepts sind gleich mehrere Betroffenenrechte und weitere gesetzliche Anforderungen zu beachten:
  • Recht auf Löschung Art. 17 DSGVO
  • Durchsetzung des Anspruchs Art. 79 Abs. 1 DSGVO
  • Informationspflicht an Dritte bei einem Löschersuchen Art. 17 Abs. 2 DSGVO
  • Recht auf Einschränkung der Verarbeitung Art. 18 DSGVO
Wichtig zu beachten ist vor allem bei der Anfrage auf Löschung, dass die anfragende Person ausreichend identifiziert werden kann:
  • Identifizierung aufgrund einer Ausweiskopie
  • Identifizierung aufgrund eines Telefonats inkl. Sicherheitsfragen
  • Identifizierung durch ein Dokument mit Unterschrift der betroffenen Person
  • Identifizierung durch die Anfrage mittels eines Kundenkontos (beispielsweise Kundenkonto mit individuellem Passwort und Benutzerkennung)
 
g) Weitere Nebenpflichten:
  • Datenminimierung: Der sparsame Um-gang mit Daten gemäss Art. 5 Abs. 1 lit. e DSGVO
  • Zusätzlich verpflichten die in Art. 13 und 14 DSGVO festgelegten Informationspflichten den Verantwortlichen, die Mitteilung der Dauer der Speicherung an den Betroffenen mitzuteilen.
3. Risk based approach bei der Implementation im Unternehmen
Schon zu Beginn des Projektes ist es essentiell zu überlegen, welche Detailtiefe das Projekt erreichen soll. Ist es das Ziel nahezu compliant zu sein «best in class» oder eher eine praxisnahe Lösung zu finden inkl. risikobasierten Ansatz?
 
Ein risikobasierter Ansatz bedeutet im Klartext vorläufig Compliance-Lücken stehen zu lassen. Dies mag zunächst unvernünftig klingen, da die Unternehmung offensichtlich betreffend diesen Lücken nicht rechtskonform handelt. Problematisch ist jedoch, vor allem nach der kurzen Implementierungszeit, dass Unternehmen sich mit der Implementierung von Art. 17 DSGVO und allen Nebenanforderungen übernehmen und keine Implementierungsmassnahme in der Implementierungsroad-map nach Massgabe umsetzen können.
 
Es sollte darauf geachtet werden, dass ein pragmatisches und zu realisierendes Konzept erarbeitet wird, in welchem zu Anfangs einige Gesichtspunkte noch «out of scope» sind. Diese können dann in der zweiten Projektphase angegangen werden.
 
Wichtig ist, dass ein solches Vorgehen dokumentiert werden muss. Es muss ersichtlich sein, dass es nicht die Absicht ist incompliant zu bleiben, sondern das Schritt für Schritt vorgegangen wird.


Schliessen Button
Immer erstklassig informiert

Melden Sie sich für den Newsletter der Handelskammer Deutschland-Schweiz an.