Gemäß Art. 17 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Löschung von Daten bzw. nach Art. 18 DS-GVO die Einschränkung der Verarbeitung zu verlangen. Unabhängig davon besteht zudem auch nach dem Gewährleistungsziel der Begrenzung der Speicherdauer die Verpflichtung des Verantwortlichen, regelmässig zu prüfen, ob eine Löschung von personenbezogenen Daten oder eine Einschränkung der Verarbeitung dieser Daten erforderlich oder angezeigt ist.
Die Löschung oder die Einschränkung der Verarbeitung von personenbezogenen Daten ist ein ganz zentraler Punkt eines verantwortungsvollen Umgangs mit den Daten Betroffener. Es handelt sich insoweit um einen sehr komplexen und von vielfältigen Bestimmungen geregelten Sachverhalt.
Als Verantwortlicher müssen Sie durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Rechte und Freiheiten des Betroffenen nicht unverhältnismässig beeinträchtigt werden. Zudem müssen Sie über die von Ihnen getroffenen Maßnahmen einen geeigneten Nachweis führen können.
Es ist daher zu empfehlen, die Zuständigkeiten und den Ablauf des Prozesses zur Löschung von Daten und Einschränkung der Verarbeitung im Unternehmen zu definieren.
Insbesondere bei diesem äußerst komplexeren Sachverhalten empfiehlt sich zunächst die Erstellung eines allgemeinen Konzeptes, in dem das jeweilige Thema umfassend dargestellt wird. Aus einem solchen Konzept lassen sich dann zunächst Richtlinien und daraus sodann Einzelfallregelungen für die konkrete Umsetzung ableiten.
Weiterführende Unterlagen
Generisches Konzept (Prozessbeschreibung) zur Löschung und Einschränkung von Daten nach Artikeln 17, 18 DS-GVO
Richtlinie zur Erstellung von Standard-Lösch-Regeln
Formular zur Erfassung bzw. Dokumentation von Lösch-Regeln
Löschplan (Kalender) zur Erfassung und Planung von Prüfintervallen