Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Das „Recht auf Vergessenweden“ erhielt spätestens mit dem „Google-Spain-Urteil“ nicht nur mediale Aufmerksamkeit, sondern auch den entgültigen Einzug in die Datenschutzlandschaft. Mit dem Start der DS-GVO steht dieses Recht in einer Reihe mit dem Recht auf Löschung in Art. 17. Dabei regelt die entsprechend benannte Norm primär Löschpflichten.
RECHT AUF LÖSCHUNG
Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, bzw. die betroffene Person ihre Einwilligung widerrufen hat und kein sonstiger Rechtfertigungsgrund einschlägig ist, die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist. Daneben sind die Daten selbstverständlich zu löschen, wenn bereits die Verarbeitung an sich unrechtmäßig war.
Der Verantwortliche unterliegt also einerseits automatisch einer gesetzlichen Löschungspflicht und muss andererseits den Löschungsbegehren der Betroffene nachkommen. Wie die Daten im Einzelfall gelöscht werden sollen, wird vom Gesetz nicht weiter beschrieben. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen. Als ausreichend wird es daher angesehen, die Datenträger physisch zu zerstören oder die Daten unter Verwendung spezieller Software endgültig zu überschreiben.
RECHT AUF VERGESSENWERDEN
Neben dem Recht auf Löschung findet das Recht auf Vergessenwerden Einzug in Art.17 Abs.2 DS-GVO:
Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Ein Löschantrag steht unter keinerlei Formvoraussetzungen und darf durch den Verantwortlichen auch nicht an solche geknüpft werden. Dennoch muss die Identität des Betroffenen in geeigneter Weise nachgewiesen werden. Anderenfalls kann der Verantwortliche erst noch zusätzliche Informationen anfordern oder das Löschen sogar verweigern. Liegt ein Antrag auf Löschung oder eine gesetzliche Löschpflicht vor, hat die Umsetzung unverzüglich zu erfolgen. Das bedeutet, dass dem Verantwortlichen nur eine angemessene Zeit zur Prüfung der Voraussetzungen einer Löschung zur Verfügung steht. Im Falle eines Löschungsantrags ist der Betroffene spätestens innerhalb eines Monats über ergriffene Maßnahmen oder über die Gründe der Ablehnung zu informieren.
Liegen gesetzliche Aufbewahrungsfristen vor, können die Daten nach dem Einhalt dieser Fristen gelöscht werden.
LÖSCHUNG UND VERNICHTUNG
In Art.4 lit. 2 DS-GVO wird zwischen „Löschen“ und „Vernichten“ unterschieden, es erfolgt jedoch keine spezifische Determinierung der Begriffe:
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Unter Löschung versteht man jegliche Art der Unkenntlichmachung der betroffenen Daten. Dass auch Sicherheitskopien der Daten zu löschen sind, ist in der DS-GVO nicht geregelt, war jedoch eigentlich in Art.17 Abs. 4 vorgesehen. Jedoch wurde dies letzten Endes nicht realisiert.
RECHTMÄßIGKEIT DER VERARNBEITUNG IN SICHERHEITSKOPIEN
In Art. 6 Abs. 1 sind die einzelnen Rechtsgrundlagen für die Erhebung personenbezogener Daten beschrieben und definiert. In lit. f beruft sich die Rechtsgrundlage auf das „Berechtigte Interesse“, sofern die Grundrechte der Betroffenen nicht überwiegen sollten. In ErwGr 49 DS-GVO wird auf den IT-Sicherheits-Aspekt verwiesen, der hier als berechtigtes Interesse gesehen werden kann. Die Verarbeitung darf jedoch nur erfolgen, wenn diese ausschließlich im Rahmen des notwendigen und für den Zweck angemessenen Umfangs erfolgt. Der Zweck bezieht sich in diesem Fall auf die Sicherstellung der Informationssicherheit. Art. 4 Z 12 besagt folgendes:
Im Sinne dieser Verordnung bezeichnet der Ausdruck: Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Ergo kann aus diesem Absatz ableiten, dass der Verlust von personenbezogenen Daten als Verletzung der Sicherheit anzusehen ist und damit auch mit einen Datenschutzverstoß gleichgesetzt werden muss. Die Datensicherung muss in Bezug auf die gesicherten personenbezogenen Daten jedoch „unbedingt notwendig und verhältnismäßig“ sein, um ein berechtigtes Interesse darstellen zu können und die Interessen und Grundrechts der natürlichen Personen dürfen nicht überwiegen.
Man kann also zusammenfassen, dass IT-Sicherheit ein berechtigtes Interesse für die Verarbeitung in Backups ist.
EIN DATENSICHERUNGSKONZEPT IST DIE GRUNDLAGE FÜR DIE RECHNTMÄIGKEIT DER SPEICHERUNG
Eine Organisation, die das „berechtigte Interesse“ als Grundlage für die Rechtmäßigkeit der weiteren Verarbeitung personenbezogener Daten in Datensicherungen heranziehen möchte, muss ein angemessenes Datensicherungskonzept erarbeiten und beschreiben, wie die Sicherung erfolgt. Diese Sicherung erfolgt pseudonymisiert. Die Daten können ohne weitere Zwischenschritte nicht direkt ausgelesen werden.
- Eingeschränkter Personenkreis führt die Sicherung durch
- Backups sind räumlich getrennt von den normalen Rechnern und der Zugriff ist eingeschränkt.
- Mitarbeiter, die personenbezogene Daten verarbeiten, haben keinen Zugriff.
- Der Restoreablauf (Datenwiederherstellung) ist Bestandteil im Datensicherungskonzept.
- Sicherungskopien erfolgen in mäßigen Abständen. Sicherungskopien werden regelmäßig überschrieben/vernichtet und haben kein Ablaufdatum
Kommt es zu einem Löschersuchen, muss man die Sicherungskopien/Backups nicht löschen, solange man ein geeignetes Datensicherungskonzept besitzt. Die Rechtsgrundlage stützt sich hierbei auf das berechtigte Interesse. Bei der Widerherstellung von Daten aus den Backups sind im aktiven System, die Daten die bereits daraus gelöscht wurden, erneut zu löschen/vernichten. Somit ist eine erneute Nutzung der Daten ausgeschlossen.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz