- Art. 17 DSGVO Personen das Recht auf Löschung personenbezogener Daten unter bestimmten Umständen
- Das Recht ist nicht absolut — sechs spezifische Ausnahmen erlauben es Ihnen, die Löschung abzulehnen oder zu begrenzen
- AML-geförderte Unternehmen können KYC-Daten während der obligatorischen Aufbewahrungsfrist nicht löschen
- Erasure gilt für alle Kopien — einschließlich Backups und Daten von Prozessoren gehalten
Das Recht auf Löschung — manchmal auch das Recht auf Vergessenheit genannt — gibt dem Einzelnen das Recht, unter bestimmten Umständen ihre personenbezogenen Daten unverzüglich gelöscht zu haben. Art. 17 DSGVO legt sowohl das Recht als auch seine Grenzen fest. Beides zu verstehen ist für jedes geregelte Geschäft unerlässlich, das Löschanfragen von Kunden, ehemaligen Kunden, Mitarbeitern oder Perspektiven erhält.
Verwandter HubSecure-Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Wenn das Recht auf Löschung gilt
Eine Person kann die Löschung beantragen, wenn einer der folgenden Gründe zutrifft:
- Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich
- Die Person widerruft ihre Einwilligung (und es gibt keine andere Rechtsgrundlage für die Verarbeitung).
- Die Person widerspricht der Verarbeitung gemäß Artikel 21 und es liegen keine vorrangigen berechtigten Gründe vor
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
- Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
- Die Daten wurden im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft für ein Kind erhoben
Wenn Sie die Löschung ablehnen können
Das Recht auf Löschung besteht nicht, wenn die Verarbeitung für einen der folgenden Zwecke erforderlich ist (Artikel 17 Absatz 3):
- Ausübung des Rechts auf freie Meinungsäußerung und Information
- Einhaltung einer gesetzlichen Verpflichtung – zum Beispiel AML/KYC-Aufbewahrungsanforderungen, Steuerunterlagen oder arbeitsrechtliche Anforderungen
- Zwecke der öffentlichen Gesundheit (im öffentlichen Interesse)
- Archivierung im öffentlichen Interesse, zu wissenschaftlichen, historischen oder statistischen Zwecken – wenn eine Löschung diese Zwecke ernsthaft beeinträchtigen würde
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen – wenn Sie die Daten für laufende oder bevorstehende Rechtsstreitigkeiten benötigen
Für regulierte Unternehmen: Die am häufigsten anwendbare Ausnahme ist der gesetzliche Verpflichtungsgrund. AML-verpflichtete Unternehmen müssen KYC-Aufzeichnungen fünf Jahre nach der Geschäftsbeziehung aufbewahren. Ein Kunde, der Sie bittet, seine KYC-Datei während dieses Zeitraums zu löschen, kann auf dieser Grundlage abgelehnt werden – Sie müssen ihm dies jedoch mitteilen und erklären, welche rechtliche Verpflichtung gilt.
Die 30-tägige Antwortfrist
Ebenso wie DSARs müssen Löschanfragen innerhalb von 30 Kalendertagen nach Erhalt beantwortet werden. Sie müssen entweder bestätigen, dass die Löschung durchgeführt wurde, begründen, warum Sie dies ablehnen (einschließlich der konkreten Ausnahmeregelung) oder eine Verlängerung beantragen (maximal zwei Monate, mit Ankündigung innerhalb der ersten 30 Tage).
Welche Auslöschung tatsächlich bedeutet in der Praxis
Unter Löschung versteht man nicht einfach das Löschen des Primärdatensatzes. Es bedeutet, die personenbezogenen Daten der Person von allen Orten zu entfernen, an denen sie vorhanden sind:
- Ihre primären Systeme (CRM, Case Management, HR)
- E-Mail-Archive und Korrespondenz
- Sicherungskopien (Sicherungen sollten separat behandelt werden – ein sofortiges Löschen aller Sicherungen ist möglicherweise nicht verhältnismäßig, aber die Daten müssen gelöscht werden, wenn die Sicherung das nächste Mal wiederhergestellt oder überschrieben wird)
- Auftragsverarbeiter – Sie müssen alle Datenverarbeiter, die über die Daten verfügen, anweisen, diese zu löschen
- Drittempfänger – wenn Daten an Dritte weitergegeben wurden, müssen Sie angemessene Maßnahmen ergreifen, um diese über den Löschantrag zu informieren (Artikel 17 Absatz 2).
Löschentscheidungen dokumentieren
Dokumentieren Sie die Entscheidung unabhängig davon, ob Sie der Verpflichtung nachkommen oder sie ablehnen. Aufzeichnung: Wer hat wann die Anfrage gestellt, welche Daten waren betroffen, welche Entscheidung wurde getroffen, die Gründe für diese Entscheidung und welche Maßnahmen wurden ergriffen. Diese Dokumentation ist unerlässlich, wenn sich die Person bei einer Aufsichtsbehörde beschwert.
Wenn Sie sich weigern
Ihre Ablehnungsmitteilung muss: die Person über die konkreten Ablehnungsgründe informieren, sie auf ihr Recht hinweisen, sich bei einer Aufsichtsbehörde zu beschweren, und sie auf ihr Recht hinweisen, einen gerichtlichen Rechtsbehelf einzulegen. Geben Sie genau an, welche Ausnahme gilt – „wir benötigen sie aus rechtlichen Gründen“ reicht nicht aus.
Gilt die Löschung sowohl für Papierunterlagen als auch für digitale Unterlagen?
Ja. Das Recht auf Löschung gilt für alle personenbezogenen Daten, unabhängig davon, ob diese digital oder in physischer Form vorliegen. Papierunterlagen, die die personenbezogenen Daten der Person enthalten, müssen ebenfalls vernichtet werden – entsprechend Ihren sicheren Entsorgungsverfahren.
Was wäre, wenn durch das Löschen der Daten andere Aufzeichnungen unvollständig oder ungenau würden?
Das ist eine echte Spannung. Wenn eine vollständige Löschung andere Aufzeichnungen verfälschen würde (z. B. die Entfernung einer Partei aus einem Transaktionsdatensatz, der für Steuerzwecke aufbewahrt werden muss), sollten Sie überlegen, ob eine Einschränkung der Verarbeitung anstelle einer vollständigen Löschung angemessener ist. Einschränkung bedeutet, dass die Daten gespeichert, aber nicht verwendet werden – und das Anliegen des Einzelnen befriedigen kann, ohne dass gesetzlich vorgeschriebene Aufzeichnungen vernichtet werden müssen.
Löschen von Anfragen mit Vertrauen
Der Vault und das CRM von HubSecure bieten Ihnen einen vollständigen Überblick über alle über jeden Kunden gespeicherten Daten – wodurch Löschprüfungen, Schwärzungen und Löschungen schnell und vollständig dokumentiert werden.
Buchen Sie eine DemoÜberprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien