Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das Mitte 2018 in Kraft tritt. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz–Grundverordnung, 2016).
Daten, die auf einem Datenträger gelöscht werden, sind oft mühelos wiederherstellbar. Daher stellt sich die Frage, ob sich ein Datenverarbeiter, der zur Löschung von Daten verpflichtet ist, mit der Löschtaste begnügen darf oder weitergehende Maßnahmen ergreifen muss.
Geltendes Recht
In § 3 Abs. 4 Nr. 5 BDSG wird das „Löschen“ von Daten als Unterform von „Verarbeiten“ definiert als das „Unkenntlichmachen gespeicherter personenbezogener Daten“. Die Betätigung der Löschtaste wird hierfür in aller Regel genügen (Einzelheiten bei Plath/Schreiber in: Plath, BDSG, 3 BDSG Rn. 52).
Änderungen durch die DSGVO
In der DSGVO findet sich keine eigene Definition der „Löschung“. Vielmehr schließt die Definition von „Verarbeitung“ in Art. 4 Nr. 2 a.E. DSGVO auch „das Löschen oder die Vernichtung“ personenbezogener Daten ein. Daraus lassen sich gewisse Anforderungen ableiten:
- Nicht absolut: Der Formulierung „das Löschen oder die Vernichtung“ am Ende von Art. 4 Nr. 2 DSGVO lässt sich entnehmen, dass es keiner „Vernichtung“ der Daten bedarf.
- Best Effort: Es reicht aus, die Daten für den gewöhnlichen Gebrauch (z.B. Abruf über eine Kundendatenbank, Online-Abruf oder Abruf über ein E-Mail-Programm) unbenutzbar zu machen.
- Reichweite: Eine „Löschung“ auf allen verfügbaren Datenträgern und eine Löschung sämtlicher Zwischen- und Sicherheitskopien sind nicht erforderlich.