Vom Betroffenenrecht zur Rechtspflicht – Das Recht auf Löschung auf dem Prüfstand

Bereits im Jahr 2020 hat der Europäische Datenschutzausschuss („EDSA“) in seiner EDSA-Strategie 2021-2023 erstmals einen koordinierten Rahmen für die Durchsetzung der Datenschutz-Grundverordnung („DSGVO“) verabschiedet. Seit jeher wird dieser fortgeführt. Kernelement dieses koordinierten Rahmens (engl.: Coordinated Enforcement Framework; „CEF“) ist eine jährliche europaweit-koordinierte Maßnahme, um die Umsetzung der DSGVO in den Mitgliedsstaaten zu evaluieren. Dabei konzentrieren sich der EDSA und die kooperierenden nationalen Datenschutzbehörden stets auf einen ausgewählten Aspekt.

Nachdem im vergangenen Jahr 2024 die koordinierte Maßnahme das Recht auf Auskunft gemäß Art. 15 DSGVO betraf, analysieren die Datenschutzbehörden in diesem Jahr wie Verantwortliche das Recht auf Löschung („Recht auf Vergessenwerden“) gemäß Art. 17 DSGVO umsetzen. 2024 werteten die Datenschutzbehörden europaweit Angaben zum Recht auf Auskunft von 1185 Unternehmen aus – 116 davon in Deutschland.

Grund für die Maßnahme ist, dass das Recht auf Löschung als ein zentrales Betroffenenrecht der DSGVO gilt und eines der am häufigsten, ausgeübten Betroffenenrechte ist, zugleich aber die Bearbeitung von Löschanträgen eine häufige Ursache für Beschwerden bei den Datenschutzbehörden darstellt. Vor allem im Fokus ist die praktische Umsetzung.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, sowie Vorsitzende der Datenschutzkonferenz, äußerte sich hierzu wie folgt:

„Das Recht auf Löschung ist ein zentraler Pfeiler des Datenschutzes, da es Personen die Möglichkeit in die Hand gibt, die weitere Verarbeitung ihrer Daten beim Verantwortlichen tatsächlich zu beenden. Mit der koordinierten Prüfung nehmen die europäischen Datenschutzaufsichtsbehörden in den Blick, wie gut das wichtige Recht auf Löschung in der Praxis umgesetzt wird und wo es noch hakt.“

Wer beteiligt sich?

Der EDSA leitet federführend und koordinierend das CEF. Insgesamt beteiligen sich europaweit 32 Datenschutzbehörden an der koordinierten Maßnahme und ermöglichen so eine flächendeckende Prüfung der Umsetzung des Rechts auf Löschung. Als Anhaltspunkt: Bei der letztjährigen Maßnahme zum Recht auf Auskunft nahmen „nur“ 30 mitgliedsstaatliche Datenschutzbehörden teil.

In Deutschland sind allein sieben Datenschutzbehörden involviert: auf Bundesebene die Bundesbeauftragte für Datenschutz („BfDI“), auf Länderebene die Datenschutzbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen und Rheinland-Pfalz.

Wie wird die Initiative ablaufen?

Die 32 Datenschutzbehörden werden Unternehmen aus verschiedenen Sektoren befragen. Schlüsselelement ist dabei ein einheitlicher Fragebogen, der zur Evaluation der praktischen Umsetzung des Rechts auf Löschung dient.

Die Datenschutzbehörden können im Zuge des CEF förmliche Untersuchungen einleiten oder Ermittlungen durchführen. Außerdem ist ihnen vorbehalten, notwendige Folgemaßnahmen zu treffen. Erkennen die Datenschutzbehörden einen defizitären Umgang mit dem Recht auf Löschung, drohen Sanktionen. Unternehmen – gleich welchen Sektors – sollten sich auf die Abfrage durch die zuständigen Datenschutzbehörden vorbereiten.

Am Ende der Initiative wird ein Abschlussbericht veröffentlicht, bei dem Analyse- und Evaluationsergebnisse mitgeteilt werden. Damit ist im Frühjahr 2026 zu rechnen.

Was droht bei Nichteinhaltung des Rechts auf Löschung?

Neben dem potenziellen Reputationsschaden drohen Unternehmen, die das Recht auf Löschung nicht datenschutzkonform umsetzen, empfindliche Geldbußen sowie Schadensersatzansprüche der Betroffenen: Die Geldbußen können gemäß Art. 83 Abs. 3 DSGVO bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Hohe sechsstellige Beträge sind bei Bußgeldern keine Seltenheit mehr. Seit Verabschiedung der finalen Version der Leitlinien zur Bußgeldzumessung vom EDSA am 24. Mai 2023 ist vielmehr eine stetige Erhöhung der verhangenen Geldbußen zu beobachten. Auch steigt die Anzahl der in den Tätigkeitsberichten aufgelisteten Verwarnungen, auch wegen Nichteinhaltung des Rechts auf Löschung.

Außerdem sind die Datenschutzbehörden nach Art. 58 Abs. 2 lit. g DSGVO befugt die Löschung personenbezogener Daten anzuordnen, selbst wenn der Betroffene keinen eigenen Löschungsantrag gestellt hat. Handeln die Unternehmen der Anordnung zuwider, drohen ebenfalls Bußgelder.

Wie sollte ein Unternehmen deshalb bei Eingang des Fragebogens reagieren?

Ist ein Unternehmen Adressat eines solchen Fragebogens, sollte es nicht vorschnell und unkoordiniert oder sogar falsch hierauf antworten. Vielmehr sollte der Datenschutzbeauftragte oder die für den Datenschutz verantwortliche Stelle im Unternehmen gemeinsam mit der IT und den weiteren zuständigen Bereichen die Fragen durchgehen und die Antworten mit Bedacht formulieren. Denn sollte das Unternehmen die Löschanforderungen nicht datenschutzkonform umsetzen und sollte dies aus den Antworten erkennbar sein, können weitere Nachfragen seitens der Datenschutzbehörde und im schlechtesten Fall sogar ein Verwaltungs- und Bußgeldverfahren drohen. Hier gilt es zu beachten, dass sich nach herrschender Ansicht auch Unternehmen auf das Nemo-Tenetur-Prinzip stützen dürfen, wonach sie sich nicht selbst belasten und die Auskunft verweigern dürfen (vgl. § 40 Abs. 4 S. 2 BDSG). Hier gilt es die Rechtsabteilung oder eine externe Rechtsberatung zwecks Taktik hinzuziehen.

Compliance durch datenschutzkonformes Löschkonzept

Wenn nicht jetzt, wann dann? Spätestens das CEF sollte Anreiz genug sein, ein Löschkonzept zu etablieren und die festgelegten Löschfristen einzuhalten.

Das Löschkonzept sollte nicht nur die Bearbeitung von Löschanträgen gemäß Art. 17 DSGVO regeln, sondern auch die proaktive Löschung von personenbezogenen Daten nach Wegfall des Zwecks oder Ablauf von Speicherfristen (vgl. Art. 5 Abs. 1 lit. e DSGVO). Das Löschkonzept sollte Löschpflicht, -verlauf und -fristen, sowie Ausnahmen von der Löschpflicht und den Lebenszyklus personenbezogener Daten beschreiben. Darüber hinaus sollte definiert werden, unter welchen Umständen bestimmte personenbezogene Daten und Protokolle über den Lebenszyklus von Daten aufbewahrt werden dürfen. Es sollte eng mit dem Verzeichnis von Verarbeitungstätigkeiten verknüpft sein und idealerweise auf Standards wie der DIN 66398 basieren. Klare Verantwortlichkeiten und regelmäßige Überprüfungen sind ebenfalls essenziell.

Eine große Herausforderung für ein kohärentes Löschkonzept ist dessen Praxistauglichkeit, insbesondere im Umgang mit Daten in Backup-Systemen, der korrekten Definition von Speicherfristen unter Berücksichtigung gesetzlicher Aufbewahrungspflichten und der technischen Umsetzung der Löschung über heterogene Systemlandschaften hinweg. Zum einen müssen die Anforderungen an ein datenschutzkonformes Löschkonzept eingehalten werden, zum anderen darf das Löschkonzept nicht so hinderlich sein, dass zulässige Verarbeitungstätigkeiten erschwert werden.

Fazit

Ein durchdachtes Löschkonzept kann zu einer datenschutzkonformen Umsetzung des Rechts auf Löschung beitragen. Ob der Querschnitt der europäischen Unternehmen eine datenschutzkonforme Umsetzung gewährleisten kann, wird in diesem Jahr von den Datenschutzbehörden evaluiert. Ratsam ist, nicht erst auf den Fragebogen der zuständigen Datenschutzbehörde zu warten, sondern sich bereits jetzt mit dem Recht auf Löschung auseinanderzusetzen. Auch hier gilt: Vorbereitung ist die halbe Miete.