Haben User personenbezogene Daten von einem Unternehmen speichern lassen, können sie diese auch wieder löschen lassen. Dieses Recht schreibt ihnen die Datenschutz-Grundverordnung (DSGVO) in Artikel 17 zu. Artikel 4, Ziffer 2 der DSGVO unterscheidet dabei in das Löschen und das Vernichten von Daten. Was können Kunden von Unternehmen verlangen? Und wo liegt der Unterschied?
Versicherungskunde will seine Daten löschen lassen
Ein ehemaliger Versicherungskunde in Österreich wollte, dass die Versicherung seine personenbezogenen Daten löscht. Daraufhin löschte die Versicherung seine E-Mail-Adresse, Telefonnummer und die Angaben über ein einst erbetenes Versicherungsangebot. Zudem stoppte es alle Werbezusendungen. Den Namen und die Adresse ersetzte die Versicherung durch „Max Mustermann“ sowie eine Musteradresse. Informationen zu zwei früheren Versicherungsverträgen behielt die Versicherung jedoch bei. Alle Daten löschen bzw. vernichten wollte die Versicherung erst einige Monate später. Das gefiel dem Kunden nicht, so dass er sich bei der Datenschutzbehörde beschwerte.
Datenschutzbehörde erklärt Unterschied zwischen Löschen und Vernichten
Die Datenschutzbehörde erklärte zunächst, was der Unterschied zwischen Daten löschen und Daten vernichten ist. Müssen Unternehmen Daten löschen, reicht es aus, diese zu anonymisieren. Sie müssen dabei lediglich sicherstellen, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können. Müssen Unternehmen Daten vernichten, müssen sie diese rückstandslos beseitigen.
Die Versicherung hatte neben der Anonymisierung des Namens und der Adresse alle Logdaten entfernt, so dass sie darüber die Anonymisierung der Daten nicht rückgängig machen konnte. Die Datenschutzbehörde entschied daher, dass die Versicherung ihrer gesetzlichen Pflicht nachgekommen war.
Fazit
Wollen Kunden, dass Unternehmen ihre personenbezogenen Daten löschen, reicht es aus, wenn sie dafür die Daten anonymisieren und die entsprechenden Logdaten löschen. Dabei sollten sie jedoch dokumentieren, wie sie welchen Daten gelöscht haben. Das kann im Falle eines Prozesses als Nachweis dienen. Daten lediglich vor einem Zugriff zu sperren, reicht dagegen nicht aus, um dem Löschantrag eines Kunden nachzukommen.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Da so ein Projekt oft über 12 Monate läuft, müssten die daten auch entsprechend lange bevorratet werden?
Es gibt ja verschiedene Gründe für die Erlaubnis, Daten verarbeiten zu dürfen. Will aber ein Kunde nicht, dass seine Daten verarbeitet werden, kann diese Information nicht ohne einen Kernbestand ausgewählter persönlicher Daten registriert weden. Irgendwie ein Dilemma, oder?
Wann und welche daten und wie Lange kann ich dann doch behalten und dabei einfach sperren.
Anspruchfrist ist 3 Jahre. Wie kann ich nach 2 Jahre an etwas erinnern?
Vielen dank für Ihre Antwort.
Wenn ein Kunde Löschung verlangt kann ich löschen. Und wenn Vernichtung der Daten dann vernichten? Oder entscheide ich das als Unternehmen selbst wie weit ich gehe?
Fragen über Fragen.