Datenschutz im Unternehmen

Person im blauen Hemdberührt mit seiner Hand eine Datei und verschiebt diese mit seinem Zeigefinger auf ein Mülltonnensymbol. Dies soll die Löschung verbildlichen als passendes Bild zum Artikel "Löschanfrage nach DSGVO: Praxistipps zur Bearbeitung und Beantwortung "

Löschanfrage nach DSGVO: Praxistipps zur Bearbeitung und Beantwortung

Geschrieben von: Yanick Röhricht

23. Januar 2025

Die Löschanfrage gemäß DSGVO ist eines der zentralen Rechte von betroffenen Personen. In den letzten Jahren zeigt sich jedoch ein besorgniserregender Trend: Unternehmen sehen sich zunehmend mit Löschanträgen konfrontiert, die oft aus datenschutzfremden Motiven gestellt werden. Solche Anfragen dienen teils als Druckmittel bei rechtlichen Auseinandersetzungen oder als impulsive Reaktion auf unerwünschte Werbe-E-Mails. Die Herausforderungen für Geschäftsführer, IT-Leiter, Compliance-Beauftragte und Datenschutzbeauftragte sind dabei erheblich.


Inhaltsverzeichnis

Worum geht es bei der Löschanfrage nach DSGVO

Art. 17 DSGVO gewährt betroffenen Personen das Recht, die Löschung der eigenen Daten unter bestimmten Voraussetzungen zu verlangen, wenn keine Rechtsgrundlage für deren Verarbeitung mehr besteht. Typische Auslöser für eine Löschung sind der Widerruf einer Einwilligung, der Widerspruch gegen berechtigte Interessen oder das Ende gesetzlicher Aufbewahrungsfristen.

Insbesondere bei Meinungsverschiedenheiten zwischen betroffener Person und dem Unternehmen, werden Löschanfragen häufig aus datenschutzfremden Gründen geltend gemacht, z.B.:

  • Betroffener möchte keinen Newsletter mehr erhalten
  • Betroffener fühlt sich ungerecht behandelt
  • Spekulation auf Schadensersatz bei verspäteter oder fehlerhafter Beantwortung des Löschbegehrens
  • Ausübung von Druck auf Unternehmen

Wer darf eine Löschanfrage geltend machen?

Alle natürlichen Personen können unabhängig von ihrer Staatsangehörigkeit Löschanfragen stellen. Dies schließt Kunden, Mitarbeiter, Bewerber oder Lieferanten ein. Auch Vertreter wie Anwälte können im Namen von Betroffenen auftreten, sofern eine Vollmacht vorliegt. Anfragen sind an keine besondere Form gebunden und können schriftlich, elektronisch oder mündlich erfolgen.

Woran Sie eine Löschanfrage erkennen: 

Löschanfragen können unterschiedlich formuliert sein.  Oft verwenden Betroffene keine Fachbegriffe oder direkte Bezüge zur DSGVO. Deshalb besteht die erste Herausforderung darin, eine Anfrage zur Löschung erkennen. Typische Hinweise auf eine Löschanfrage sind folgende Formulierungen:

  • „Ich habe die Verarbeitung meiner Daten nicht akzeptiert.“
  • „Bitte löschen Sie meine Daten.“
  • „Bitte entfernen Sie meine Daten.“
  • Der Erhalt von Werbung oder Newsletter wird beanstandet. 
  • Es wird nach dem Datenschutzbeauftragten verlangt. 
  • Drohung mit Beschwerde bei der Datenschutzaufsichtsbehörde
  • Drohung mit Abmahnung oder einem Fachanwalt

Es mag einfach klingen, Löschanfragen nach DSGVO zu erkennen, ist es in der Praxis aber oft nicht. Die genannten Formulierungen sind beispielhaft und können auf verschiedene Betroffenenrechte hinweisen. Im Zweifel sollte mit dem Datenschutzbeauftragten Rücksprache gehalten werden, um die Anfrage korrekt einzuordnen.

In welchen Fällen müssen Daten gelöscht werden?

Ein Löschanspruch besteht in der Regel, wenn:

  • Daten für ihren ursprünglichen Zweck nicht mehr erforderlich sind.
  • Eine Einwilligung widerrufen wurde und keine andere Rechtsgrundlage besteht.
  • Widerspruch gegen die Verarbeitung eingelegt wurde und keine überwiegenden berechtigten Interessen vorliegen.
  • Daten unrechtmäßig verarbeitet wurden.
  • Die Löschung gesetzlich vorgeschrieben ist.
  • Minderjährige Daten im Rahmen von Internetdiensten angegeben haben.

Eingang eines Löschantrags: Was zu tun ist:

Dokumentation: Erfassen Sie das Eingangsdatum der Löschungsanfrage. So behalten Sie die Frist eines Monats nach Eingang im Blick. Auch die Form des Eingangs – schriftlich, elektronisch oder mündlich – sollte dokumentiert werden. Daraus lässt sich die Form des Antwortschreibens ableiten.

Prüfung der Anspruchsberechtigung: Das Recht auf Löschung und das Recht auf Vergessenwerden stehen ausschließlich natürlichen Personen zu. Bei Anfragen durch Vertreter, etwa Anwälte, sollte eine gültige Vollmacht vorgelegt werden.

Identitätsprüfung: Vergewissern Sie sich bei Zweifeln über die Identität, ohne den Grundsatz der Datenminimierung zu verletzen.

Datenbestand überprüfen: Prüfen Sie anhand der Angaben des Löschantrags, wie beispielsweise der E-Mail-Adresse und des Namens, umfassend, ob und welche personenbezogenen Daten des Betroffenen gespeichert wurden.  Identifizieren Sie alle Systeme, in denen Daten der betroffenen Person gespeichert sein könnten. Falls keine Daten vorhanden sind, muss eine Negativauskunft erteilt werden.

Löschanträge richtig beantworten

Form der Beantwortung

Die Form der Anfrage gibt in der Regel die Form der Antwort vor: Erfolgt der Antrag elektronisch, so sollte dieser bevorzugt per E-Mail beantwortet werden. Um einen Datenschutzverstoß zu vermeiden, ist auf eine ausreichende Verschlüsselung zu achten. Vor einer Beantwortung ist intern zu testen, ob sich z.B. ein verschlüsseltes Dokument auf der Seite des Empfängers problemlos öffnen lässt.

Frist der Beantwortung

 Die DSGVO verlangt eine Antwort „unverzüglich“, spätestens aber innerhalb eines Monats. Die Frist beginnt mit Eingang des Schreibens oder – sofern eine Identitätsprüfung erforderlich ist – zum Zeitpunkt der Identitätsfeststellung. Eine Fristverlängerung um weitere zwei Monate ist möglich, wenn dies auf Grund der Komplexität und der Anzahl der Anträge erforderlich ist. Im Falle einer Fristverlängerung ist die betroffene Person zu informieren (gemäß Art. 12 Abs. 3 Satz 3 DSGVO).

Bereiten Sie sich auf Löschbegehren Ihrer Kunden, Mitarbeiter, Geschäftspartner vor:

Löschanfragen nach DSGVO erfordern oftmals einen hohen Aufwand und somit strukturiertes Handeln. Mit klaren Prozessen und gut geschulten Mitarbeitern lassen sich Risiken minimieren und Ressourcen effizient nutzen. Mit den nachfolgenden Punkten schaffen Sie eine solide Grundlage, um Löschanträgen angemessen zu bearbeiten:

  • Verzeichnis der Verarbeitungstätigkeiten: Ein Überblick über die datenschutzrelevanten Geschäftsprozesse erleichtert die Zuordnung und Bereitstellung der angefragten Informationen.
  • Löschkonzept: Nur gespeicherte Daten können Gegenstand einer Anfrage sein. Klare Löschregeln reduzieren unnötigen Bearbeitungsaufwand.
  • Klare Verantwortlichkeiten definieren: Ein Meldeprozess mit klaren Verantwortlichkeiten stellt sicher, dass Anfragen von Betroffenen den richtigen Weg nehmen und die notwendigen Informationen zusammengetragen werden.  
  • Schulung der Mitarbeiter: Eine wirksame Datenschutzschulung mit Praxistipps ist essentiell, um die Mitarbeiter in die Lage zu versetzen, Löschanfragen nach DSGVO zu erkennen und an die zuständige Stelle weiterzuleiten.

Sie benötigen sofort Unterstützung bei Ihrer Löschanfrage?

Wir unterstützen Sie bei der Qualifizierung und Beantwortung Ihrer Löschanfrage. Unsere Datenschutzbeauftragten sind ausgebildete Juristen und IT-Fachkräfte mit Schwerpunkt Datenschutz und IT-Sicherheit.

Unser Angebot zur Benennung zum externen Datenschutzbeauftragten kombiniert Datenschutz-Fachwissen mit rechtlichen, betriebswirtschaftlichen und technischen Kenntnissen. Mit uns erfüllen Sie alle Vorgaben der Datenschutz-Grundverordnung. Wir helfen Ihnen beispielsweise bei der Erreichung einer datenschutzkonformen Internetpräsenz oder bei der Bewertung von Datenschutzverletzungen und der Beantwortung von Betroffenenanfragen.

FAQ zum Recht auf Datenlöschung nach der DSGVO

Was ist das Recht auf Löschung?

Das Recht auf Löschung besagt, dass Daten, für die ein Verantwortlicher keine Rechtsgrundlage zur Datenverarbeitung mehr hat, gelöscht werden müssen. Dies kann darauf zurückgehen, dass eine Einwilligung durch die antragstellende Person widerrufen wurde, gegen eine Verarbeitung im berechtigten Interesse widersprochen wurde oder Aufbewahrungsfristen für vertragliche Daten der betroffenen Person abgelaufen sind.

Was ist das Recht auf Vergessenwerden?

Das Recht auf Vergessenwerden wird oft mit dem Recht auf Löschung gleichgesetzt, bezieht sich aber tatsächlich auf etwas anderes. Das Recht auf Vergessenwerden ergänzt das Recht auf Löschung und bezieht sich insbesondere auf öffentlich verfügbare Daten.

Gibt es ein Recht auf Ablehnung des Löschantrags?

Dem Betroffenen muss in jedem Fall geantwortet werden. Trotzdem kann eine Löschung rechtmäßig abgelehnt werden, wenn das Unternehmen (Verantwortlicher) ein berechtigtes Interesse an der Weiternutzung der Daten hat (Art. 17 Abs. 3 DSGVO). Dies kann insbesondere dann der Fall sein, wenn die fortdauernde Verarbeitung oder Speicherung zur Erfüllung einer gesetzlichen Aufbewahrungspflicht erforderlich ist und insofern eine gesetzliche besteht, die Daten nicht zu löschen.

Gibt es Fristen für die Beantwortung eines Löschungsersuchens?

Ja, ein Unternehmen muss auf einen Löschungsantrag unverzüglich, spätestens jedoch innerhalb eines Monats reagieren. In Ausnahmefällen kann die Frist um verlängert werden, wenn der Antrag besonders komplex ist. In diesem Fall muss das Unternehmen den Antragsteller über die Verzögerung informieren.

Gibt es Ausnahmen von der Löschpflicht?

Ja, z. B. bei der Wahrnehmung des Rechts auf freie Meinungsäußerung, der Erfüllung gesetzlicher Pflichten oder für wissenschaftliche und historische Forschungszwecke, der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (vgl. Art. 17 Abs. 3 DSGVO).

Was passiert, wenn ein Unternehmen auf das Löschungsersuchen nicht reagiert?

Wenn ein Unternehmen nicht auf eine Löschanfrage reagiert, kann die betroffene Person Beschwerde bei der zuständigen Datenschutzbehörde einlegen oder rechtliche Schritte einleiten.

Wie kann ich die Löschung nachweisen?

Dieses Löschkonzept spielt beim Nachweis der Löschung eine wichtige Rolle. Denn die DSGVO fordert einen Anspruch auf Auskunft des Verantwortlichen,dass er seinen Pflichten nachkommt. Daraus ergeben sich Dokumentationserfordernisse. Die Rechenschaftspflicht nach Art. 5 DSGVO gilt ebenso für das Thema Löschen.

Was ist ein Löschkonzept?

Ein Löschkonzept definiert, wann und wie personenbezogene Daten gelöscht werden, und stellt sicher, dass dies nachweisbar erfolgt. Es enthält Löschregeln, die sich aus Aufbewahrungsfristen und Startzeitpunkten zur Löschung zusammensetzen. 

Muss die Löschanfrage von der betroffenen Person begründet werden?

Nein, der Betroffene darf grundsätzlich zu jeder Zeit und ohne Begründung sein Recht auf Löschung geltend machen.

Müssen Löschanfragen aus datenschutzfremden Motiven beantwortet werden?

Ja, die Verfolgung datenschutzfremder Zwecke stehen der Ausübung des Rechts auf Löschung nicht entgegen.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Hier unverbindlich anfragen

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

e-mail

kontakt@alphatech-consulting.de

Wir arbeiten zertifiziert

Social Media