Als Unternehmen, das personenbezogene Daten verarbeitet, ist auch die Löschung eben dieser Informationen mit datenschutzrechtlichen Regelungen verbunden. Aus Art. 17 Abs. 1 DSGVO geht hervor, wann der Verantwortliche die personenbezogenen Daten des Betroffenen löschen muss. Das gilt unabhängig davon, ob der Betroffene eine Datenlöschung einfordert oder nicht. Obgleich die Erstellung eines Löschkonzepts nicht ausdrücklich in der DSGVO geregelt wird, ergibt sich dies aus der Pflicht zur Löschung personenbezogener Daten. Für Sie als Unternehmen ist ein Löschkonzept daher notwendig, um Aufbewahrungs- und Löschfristen einzutragen und eine fristgerechte Löschung einzuhalten. Dabei gilt grundsätzlich, dass aus einem Löschkonzept ersichtlich sein muss, wann personenbezogene Daten zu löschen sind und wie dies intern geregelt ist.
Die am 25. Mai 2018 in Kraft getretenen DSGVO statuiert den sogenannten Zweckbindungsgrundsatz. Demnach dürfen Unternehmen grundsätzlich nur diejenigen personenbezogenen Daten verarbeiten oder speichern, die der Erfüllung eines konkreten Zwecks dienen. Sobald dieser Zweck erfüllt ist und die Datenspeicherung daher nicht mehr notwendig ist, muss eine Löschung der personenbezogenen Daten erfolgen. Neben der Löschung bei Zweckerfüllung, sind in der Datenschutzgrundverordnung noch weitere Fälle geregelt, in denen Unternehmen die gesammelten Daten löschen müssen. Zu diesen zählen:
- Widerruf der Einwilligung zur Datenverarbeitung
- Fehlende Rechtsgrundlage zur Datenverarbeitung
- Betroffene Person hat Widerspruch gegen Datenverarbeitung eingelegt
- Einforderung der Löschung durch Betroffene
- Unrechtmäßige Datenverarbeitung
- Löschung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung ist nach Unionsrecht oder Recht des Mitgliedstaats erforderlich
- Erhebung personenbezogenen Daten erfolgte in Bezug auf angebotene Dienste einer Informationsgesellschaft gem. Art. 8 Abs. 1
Sollte ein Betroffener tatsächlich von seinem Recht Gebrauch machen und eine Löschung seiner personenbezogenen Daten verlangen, ist die Abweichung der vorher festgelegten Löschfrist unter Umständen notwendig.
Im Gegensatz dazu regelt der Art. 17 Abs. 3 DSGVO Ausnahmefälle, die mit einem Löschverbot bzw. einer Legitimierung einer nicht sofortigen Löschung einhergehen.