Wie bereits in vergangenen Jahren, wird es auch 2025 eine abgestimmte Aktion der Aufsichtsbehörden für den Datenschutz geben. Die bereits vor einiger Zeit angekündigte Kontrolle legt den Schwerpunkt auf das Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO). Wir erklären, mit welchen Fragen Sie in Unternehmen rechnen müssen und was Sie bei Ihren Antworten unbedingt beachten sollten.
Womit müssen geprüfte Organisationen rechnen?
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg hat einen bei der Kontrolle eingesetzten Fragebögen zum Zweck der Selbstüberprüfung nach Art. 17 DSGVO veröffentlicht. Anhand dieses Beispiels erläutern wir, was auf kontrollierte Organisationen zukommt.
Wer als Verantwortlicher um Beantwortung des Fragebogens gebeten wird, muss Angaben machen, die möglicherweise etwas heikel sein können. Der Fragebogen ist in sechs Kapitel unterteilt, die wir folgend erläutern.
1. Kapitel: Informationen zum Verantwortlichen
In den allerersten Fragen 1.1 bis 1.4 geht es um allgemeine Angaben, die einfach gemacht werden können. Allerdings erlauben diese Angaben zur Branche und der Art und Größe der angesprochenen Organisation bereits Rückschlüsse auf die Plausibilität der im Weiteren gegebenen Antworten.
Mit den Fragen 1.5 bis 1.7 wird der zu erwartende Rahmen, in dem die Organisation personenbezogene Daten verarbeitet, weiter eingegrenzt. Auch hier kann aufgrund der gegebenen Antworten auf die Plausibilität der im Weiteren gegebenen Antworten rückgeschlossen werden.
Ab der Frage 1.8 wird es möglicherweise schon etwas heikel. An dieser Stelle fragen die Aufsichtsbehörden ab, wie viele Löschanträge jeweils in den vorangegangenen drei Jahren eingegangen sind. Allein schon diese Frage lässt tiefe Rückschlüsse zu; vor allem auf die Reife des etablierten Prozesses zur Löschung. Manch Verantwortlicher wird bereits hier Schwierigkeiten bekommen, da sich die Zahl der Anträge gar nicht so ohne Weiteres ermitteln lassen wird. Zudem wird eine für die befragte Organisation ungewöhnlich hohe Zahl an Löschverlangen Anschlussfragen nach der Güte und Zuverlässigkeit der Datenschutzinformationen für Betroffene aufwerfen und gegebenenfalls auch Zweifel an der korrekten Erfüllung der gesetzlichen Pflicht zur Löschung wecken.
Unter 1.9 wird der prozentuale Anteil abgelehnter Anträge abgefragt. Auch hier lassen sich an die Antwort möglicherweise Rückfragen knüpfen. Entsteht der Eindruck, als wären Betroffenen nicht ausreichend transparent und verständlich über ihre Rechte informiert? Legt der Prozentsatz nahe, dass die praktizierten Löschfristen vielleicht nicht korrekt sind?
Mit der Frage 1.10 wird ermittelt, wie hoch der Prozentsatz an Anträgen war, die in Verbindung mit der Ausübung des Widerspruchsrechts nach Art. 21 DSGVO standen. Ein auffällig hoher Prozentsatz könnte die Frage aufwerfen, ob die notwendige Abwägung der widerstreitenden Interessen gegebenenfalls die eigene Organisation zu sehr begünstigt hat.
Unter 1.11 wird nach den möglichen Kategorien von Antragstellern und deren Anteil an den Löschverlangen gefragt. Auch muss angegeben werden, ob Kinder oder sonst besonders schutzbedürftige Personen betroffen waren. Rückschlüsse auf die Funktionsfähigkeit der Prozesse werden möglich sein. Auch wird möglicherweise offensichtlich erkennbar sein, dass die hier gemachten Angaben zu Art und Größe der angeschriebenen Organisation nicht passen können.
Tipp: In unserem Schwerpunkt zu DSGVO-Betroffenenrechten lernen Sie alle wichtigen Grundlagen.
2. Kapitel Verfahrensablauf
Dieses Kapitel wird in 2.1 mit der fast wesentlichsten Frage im hier relevanten Zusammenhang eröffnet: Bestehen dokumentierte Vorgaben; ist der Prozess zur Löschung von Daten nachvollziehbar und klar definiert? Gibt es ein Löschkonzept? Der Prozess ist zu erläutern und es wird nahegelegt, die entsprechenden Dokumente oder ein Prozessdiagramm vorzulegen.
Unter 2.2 wird die Angabe erbeten, welche Einheit in der Organisation federführend für die Bearbeitung von Löschanfragen zuständig ist. Die gegebene Antwort erlaubt wieder diverse Rückschlüsse. Unter anderem darauf, wie standardisiert und verfestigt der Prozess zur Behandlung von Löschanfragen in der Organisation ist und nicht zuletzt sogar, ob der Datenschutzbeauftragte tatsächlich unabhängig arbeitet.
Bereich 2.3 ergänzt das gewonnene Bild durch die hier notwendigen Angaben, ob und wie häufig Schulungen des Personals in Bezug auf Löschanträge erfolgen. Wer hier mit „Nein“ antwortet, wird ebenso mit Rückfragen rechnen müssen, wie derjenige, dessen Antworten nahelegen, dass die Behandlung von Anträgen für die Organisation doch eine solche Herausforderung ist, dass nur Spezialisten sich damit befassen können.
Auch die Frage 2.4 wird für einige Verantwortliche nicht ganz einfach zu beantworten sein: Wie wird festgelegt, welche Daten auf Antrag gegebenenfalls zu löschen sind? Wenn überhaupt, ist in vielen Organisationen zumeist nur ein allgemeines Löschkonzept vorhanden, welches im Überblick Aussagen zu Löschfristen enthält. Ein Löschplan, aus dem sich schnell ersehen lässt, welche Daten wo gespeichert sind, welche Fristen gelten und wie diese technisch gelöscht werden, fehlt sehr oft. Regelmäßig wird es aber bereits auch schon an einem geplanten Vorgehen fehlen, das bei Erfassung und Verarbeitung der Daten dafür gesorgt hat, dass diese nur an möglichst wenigen klar definierten Speicherorten liegen. Solcherart Schwächen werden sich hier nun deutlich zeigen.
In 2.5 wird auf Kooperationen eingegangen. Wie verhält es sich bei der Löschung von Daten, die in gemeinsamer Verantwortung oder aber durch einen Auftragsverarbeiter verarbeitet werden? Die Frage ist offen gestellt, es sind also Ausführungen notwendig. Im Grunde muss dargelegt werden, dass der oben bereits angesprochene Löschprozess auch in der hier relevanten Hinsicht ausreichend definiert ist und kontrolliert umgesetzt wird.
Die anschließende Frage 2.6 fragt nach der Messung des Prozesses und damit letztlich nach der Fähigkeit, der eigenen Rechenschaftspflicht nachzukommen. Eine ungenügende Antwort wird Rückschlüsse auf ein mangelhaftes Datenschutz-Managementsystem (DSMS) zulassen.
Ob die gesetzlichen Vorgaben an die Bearbeitungszeit von Anträgen eingehalten werden, wird über 2.7 abgefragt. Ergänzend fragt 2.8 danach, wie häufig und aus welchen Gründen die gesetzlichen Fristen verlängert wurden. Dass die hier gegebene Antwort Folgen haben kann, liegt auf der Hand.
Das Kapitel schließt mit Frage 2.9 nach der Selbstüberprüfung und gegebenenfalls Korrektur, also mit den letzten Phasen in einem funktionsfähigen PDCA Zyklus. Erfolgen regelmäßige Überprüfung und notwendige Anpassungen? Direkte Rückschlüsse auf die Tauglichkeit und den Reifegrad des Datenschutzmanagementsystems sind möglich.
Tipp: Erfahren Sie mehr über den korrekten Umgang mit Betroffenenanfragen.
3. Kapitel Fallkonstellationen
In diesem Kapitel werden viele der relevanten Details und Besonderheiten eines Löschprozesses abgefragt. Die Fragen sind allesamt offen gestellt. Es sind Ausführungen gefordert.
In 3.1 muss dargelegt werden, wie die fortbestehende bzw. entfallene Erforderlichkeit einer Verarbeitung bestimmt wird. Die von der befragten Organisation gegebene Antwort wird vertiefte Schlussfolgerungen auf die gesamte Datenschutz-Compliance zulassen; immerhin hängt die Rechtsgrundlage einer Verarbeitung regelmäßig ebenfalls von der Frage der Erforderlichkeit ab.
3.2 und 3.3 erfragen den Prozess für Fälle, in denen Betroffene ihre gegebene Einwilligung widerrufen oder aber der Verarbeitung widersprechen. Zum Widerspruch ist in 3.4 anzugeben, ob Löschungen aus „vorrangigen berechtigten Gründen“ verweigert wurden. Bei Beantwortung der Fragen muss unvermeidlich auf die Frage der Rechtmäßigkeit der Datenverarbeitung an sich eingegangen werden. Erkennbare Mängel könnten damit weiterreichende unangenehme Folgen haben.
Die Gewährleistung des Rechts auf Vergessenwerden ist Thema der Frage 3.5. An dieser Stelle sind Ausführungen für Fälle notwendig, in denen die Daten veröffentlicht wurden. Neben Schwächen des Löschprozesses könnten hier auch Probleme aufgedeckt werden, die mit der rechtmäßigen Offenbarung von Daten an sich zusammenhängen.
Die denkbaren Ausnahmen vom Recht auf Löschung werden in 3.6 bis 3.9 behandelt. Darzulegen ist der Umgang mit Löschanfragen in diesen Fällen. Erfolgt dieser nicht korrekt, kann dies natürlich zu weiteren Aktionen der Aufsichtsbehörde führen.
In 3.10 wird abgefragt, ob im relevanten Prozess auch die Pflicht berücksichtigt ist, Empfängern von personenbezogenen Daten die erfolgte Löschung gegebenenfalls mitteilen zu müssen.
3.11 schließt das Kapitel mit der Frage ab, wie mit der Kombination von Anträgen auf Auskunft und Löschung umgegangen wird. Dass die wiederum notwendigen Ausführungen hier ebenfalls auch Rückschlüsse auf zusätzliche Aspekte des Datenschutzes zulassen, ist offenkundig.
4. Kapitel Kommunikation mit Betroffenen
Ob es betroffenen Personen möglichst leicht gemacht wird, ihre Rechte auszuüben, wird in 4.1 abgefragt.
In 4.2 wird nun schließlich ganz konkret nach der Brauchbarkeit der Angaben zur Speicherdauer in Datenschutzhinweisen gefragt. Die in der Praxis weitverbreiteten Angaben, die völlig allgemein und offengehalten sind und keine klare Einschätzung der Speicherdauer erlauben, dürften zu Beanstandungen führen.
Frage 4.3 erfordert Angaben zu den eröffneten Kommunikationskanälen für Betroffenenanfragen. Antworten könnten möglicherweise Rückschlüsse darauf zulassen, ob Betroffenen die Ausübung ihrer Rechte erleichtert oder aber erschwert werden.
Die Wege, über die Anträge auf Löschung beantwortet werden, sind in 4.4 zu nennen. Ob Empfangsbestätigungen für Löschanträge verschickt werden, wird in 4.5 abgefragt. Falls Empfangsbestätigungen verschickt werden, gibt es die Zusatzfrage nach der Angabe einer voraussichtlichen Bearbeitungszeit.
5. Kapitel technische Aspekte
In diesem Kapitel geht es um die Frage, ob die Löschungen tatsächlich so erfolgen, wie es notwendig ist.
In 5.1 bis 5.4 werden Details zum gewählten Löschverfahren, beachteten Standards und zum Einsatz von Dienstleistern bei der Löschung von Daten abgefragt. Die in der Praxis häufig zu findenden Mängel bei der vermeintlichen Löschung von Daten treten hier schnell zutage.
Ob statt der Löschung gegebenenfalls eine Anonymisierung von Daten erfolgt, fragt 5.5 ab. Falls, müssen hierzu Details genannt werden.
5.6 stellt die für einige Verantwortliche unangenehme Frage, ob auch Daten aus Backups oder verschiedenen Datenbanken gelöscht werden und wenn ja, wie. Dies sind Probleme, welche erfahrungsgemäß etliche Organisationen noch nicht gelöst haben.
6. Kapitel Ihre Erfahrungen
Am Ende des Fragebogens werden Adressaten noch gebeten, Angaben zu den diversen Herausforderungen zu machen, die im Bereich Löschanfragen bestehen und welche Hilfsmittel von Wert wären.
Fazit
Der Fragebogen dürfte etliche Verantwortliche in Organisationen vorhersehbar vor Probleme stellen bzw. diesen auch selbst Mängel in der eigenen Datenschutzkonzeption aufzeigen.
In der Praxis sind zu häufig sehr pauschal gehaltene kurze Löschkonzepte verbreitet. Diese beschränken sich oft auf praktisch wenig hilfreiche Aussagen zu möglichen Löschfristen. Von einem Löschplan mit den tatsächlichen und technischen Details haben selbst vermeintlich professionell beratene Organisationen noch nie etwas gehört.
Vor allem aber versäumen es Verantwortliche häufig schon bei der Erfassung und allerersten Verarbeitung von Daten, die richtigen Wege einzuschlagen. Den Löschprozess am Ende dann ohne zu stolpern korrekt zu Ende zu gehen, wird so fast unmöglich.