§ 11 Datenschutz / c) Recht auf Löschung und Vergessenwerden, Art. 17–19 DSGVO

Rz. 46

Das Recht auf Löschung personenbezogener Daten ist nicht neu: Wenn der Zweck einer Datenverarbeitung erreicht ist, müssen die Daten gelöscht werden. Soweit Archivierungs- und Aufbewahrungspflichten bestehen,^[80] kann jedoch eine sog. Einschränkung der Verarbeitung (bislang als "Sperrung" bezeichnet) erfolgen, bei der die einschlägigen Daten entsprechend gekennzeichnet werden. Hierzu wird ein Sperrvermerk eingerichtet, bei Papierakten z.B. mittels des Aufdrucks "gesperrt" und dem Verschließen in einem Schrank. Bei gespeicherten Dateien müssen die personenbezogenen Daten aus dem operativen System entfernt und nur noch einem kleinen Personenkreis (bspw. Geschäftsführer, Kontaktpersonen für Steuerprüfer) zur Verfügung gestellt werden.^[81] Die Eingrenzung des Personenkreises und der Zugriffszwecke kann durch einen speziellen Passwortschutz und die Speicherung auf gesonderten IT-Systemen oder Festplatten erfolgen.

Rz. 47

Das sog. Recht auf Vergessenwerden, das für viele Diskussionen gesorgt hatte,^[82] kann aufgrund der eingeschränkten gesetzlichen Formulierung mit verhältnismäßig geringem Aufwand umgesetzt werden (und der im Rahmen der alten Rechtslage ähnlich in § 35 Abs. 7 BDSG a.F. enthalten war). Kern des "Rechts auf Vergessenwerden" – ergänzt durch die Mitteilungsverpflichtung nach Art. 19 DSGVO – ist, dass die Empfänger von Daten über eine verlangte oder erfolgte Löschung der personenbezogenen Daten informiert werden. Aufgrund der Bußgeldbewehr der Art. 13–22 DSGVO ist es für Unternehmen unumgänglich, entsprechende organisatorische Vorkehrungen zu treffen und diese Information ggf. nachweisen zu können.

Rz. 48

Das Recht auf Vergessenwerden mit Mitteilungspflichten ist von besonderer Bedeutung im Konzern: So werden Beschäftigtendaten regelmäßig zwischen Konzerngesellschaften weitergegeben, um die Arbeitsleistungen für alle Gesellschaften erbringen zu können. Wird das Arbeitsverhältnis beendet oder verlangt ein Betroffener die Berichtigung/Löschung von Informationen über ihn, muss eine entsprechende Mitteilung an alle beteiligten Konzerngesellschaften erfolgen. Die Mitteilungspflicht umfasst keine Prüfpflichten des mitteilenden Unternehmens, ob die Daten durch den Dritten tatsächlich geändert oder gelöscht wurden – ausreichend ist die Mitteilung als solche, die organisatorisch sichergestellt sein muss.

[80] Dazu z.B. Koreng/Lachenmann/Wehrmann, Formularhandbuch Datenschutzrecht, D. IV.

[81] Vgl. z.B. Katko/Knöpfle/Kirschner, ZD 2014, 238, 241.

[82] Koreng/Feldmann, ZD 2012, 311; Boehme-Neßler, NVwZ 2014, 825.