Das European Data Protection Board (EDPB) hat das „Recht auf Löschung“ zum Schwerpunktthema der aufsichtsbehördlichen Kontroll- und Durchsetzungspraxis gemacht. Unternehmen sollten sich darauf vorbereiten, um nicht kalt erwischt zu werden.
Was ist das EDPB?
Das European EDPB ist ein unabhängiges Gremium, das die nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten sowie den Europäischen Datenschutzbeauftragten vereint. Seine zentrale Aufgabe besteht darin, die einheitliche Anwendung der Datenschutzvorschriften innerhalb der Europäischen Union zu gewährleisten. Dies geschieht insbesondere durch koordinierte Maßnahmen, Leitlinien und Empfehlungen, die darauf abzielen, die Effektivität der DSGVO in der gesamten EU zu maximieren. Durch diese supranationale Zusammenarbeit soll ein kohärentes und harmonisiertes Datenschutzniveau sichergestellt werden, das den Schutz personenbezogener Daten innerhalb des europäischen Rechtsraums optimiert.
Sinn der Maßnahme
Im Rahmen des “Coordinated Enforcement Framework” (CEF) wählt das EDPD jährlich ein spezifisches datenschutzrechtliches Thema aus, das den Schwerpunkt von unionsweit abgestimmten Durchsetzungsmaßnahmen bildet. Diese Initiative dient der harmonisierten Anwendung und effektiven Durchsetzung der Datenschutz-Grundverordnung (DSGVO) in den Mitgliedstaaten der Europäischen Union. Hierbei agieren die nationalen Datenschutzaufsichtsbehörden in enger Kooperation, um eine kohärente und konsistente Rechtsdurchsetzung sicherzustellen.
Schwerpunktthema „Recht auf Löschung“
Schwerpunktthema für 2025 ist das Betroffenenrecht auf Löschung aus Art. 17 DSGVO. Das Recht auf Löschung („Recht auf Vergessenwerden“) gemäß Artikel 17 der Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen die Befugnis, die unverzügliche Eliminierung ihrer personenbezogenen Daten zu verlangen. Doch auch unabhängig von Löschbegehren müssen Unternehmen für jeden Prozess zur Verarbeitung personenbezogener Daten ermitteln, wie lange personenbezogene Daten dafür benötigt und vorgehalten werden dürfen, bevor sie gelöscht werden müssen. Das für sämtliche Prozesse umzusetzen und in der gesamten Unternehmens-IT zu implementieren kann eine Mamutaufgabe sein und ist die Achillesferse vieler Unternehmen.
Es ist zu erwarten, dass die Datenschutzbehörden in Kürze verstärkt auf Unternehmen zugehen und dieses Thema prüfen werden. Dies kann sowohl durch die Einleitung neuer förmlicher Untersuchungen als auch durch gezielte Ermittlungen geschehen. In einigen Fällen sind Folgemaßnahmen nicht auszuschließen. Im Fokus steht insbesondere die Prüfung, wie Unternehmen mit eingehenden Löschungsanträgen umgehen und darauf reagieren. Dabei wird genau analysiert, ob und wie die gesetzlichen Anforderungen sowie die vorgesehenen Ausnahmen bei der Umsetzung des Rechts auf Löschung eingehalten werden.
Wirkung des CEF
Kernelement des CEF ist ein Fragebogen zur Umsetzung des „Rechts auf Vergessenwerden“. Damit soll bei den nationalen Behörden ermittelt werden, wie stringent und rechtswirksam das Betroffenenrecht umgesetzt wird. Die Ergebnisse der gemeinsamen Initiative werden im Rahmen des EDPB analysiert und nach Abschluss in einem Bericht veröffentlicht.
Die CEF-Initiative 2025 verdeutlicht, dass das Recht auf Löschung weiterhin eine zentrale Säule des Datenschutzes darstellt. Unternehmen sehen sich mit der Notwendigkeit konfrontiert, ihre Löschprozesse einer verstärkten behördlichen Kontrolle zu unterziehen. Die aus dieser Untersuchung gewonnenen Erkenntnisse könnten nicht nur zu einer präziseren Auslegung der rechtlichen Anforderungen beitragen, sondern zugleich den regulatorischen Druck auf Unternehmen erhöhen, um datenschutzkonforme Löschstrategien konsequent zu implementieren. In diesem Kontext dürfte die Diskussion über das angemessene Gleichgewicht zwischen individuellen Datenschutzrechten und wirtschaftlichen Interessen weiter an Bedeutung und zunehmend an Komplexität und Dynamik gewinnen.
In Deutschland nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil.
Das sollten Sie jetzt tun
Natürlich stellt sich im Anschluss daran die Frage, wie der Gegenstand der CEF, das „Recht auf Vergessenwerden“ in der Praxis umzusetzen ist. Unternehmen sollten vor allem Folgendes beachten.
- Prozesse für die Bearbeitung von Löschanträgen: Unternehmen sollten klare, effiziente Prozesse entwickeln, um Löschanfragen schnell und datenschutzkonform zu bearbeiten.
- Dokumentation: Jede Anfrage und die getroffenen Entscheidungen sollten gut dokumentiert werden, um im Falle einer Prüfung durch die Datenschutzbehörden nachweisen zu können, dass die Anfrage ordnungsgemäß bearbeitet wurde.
- Ausnahmefälle prüfen: Unternehmen müssen sorgfältig prüfen, ob die Daten unter die Ausnahmen fallen, und sicherstellen, dass keine rechtlichen Verpflichtungen oder legitimen Interessen der Verarbeitung entgegenstehen.
- Sicherstellung der Datenlöschung: Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Löschung der personenbezogenen Daten vollständig und unwiderruflich erfolgt, soweit dies erforderlich ist.
Insgesamt sollten Unternehmen proaktiv Maßnahmen ergreifen, um sicherzustellen, dass sie den Anforderungen des Art. 17 DSGVO gerecht werden, da Verstöße gegen die Löschungspflichten zu empfindlichen Bußgeldern führen können.
Fazit
Im Rahmen des „Coordinated Enforcement Framework“ (CEF) wird eine verstärkte Prüfung und Harmonisierung der Löschpraxis erwartet. Unternehmen sind daher zunehmend gefordert, ihre Löschprozesse nicht nur rechtlich, sondern auch organisatorisch und technisch auf höchstmögliche Effizienz und Compliance auszurichten.
In Anbetracht des wachsenden regulatorischen Drucks und der potenziellen Sanktionen im Falle von Verstößen, wird die präzise Einhaltung der datenschutzrechtlichen Löschanforderungen zunehmend zu einem zentralen Faktor im Risikomanagement von Unternehmen. Um den komplexen Anforderungen gerecht zu werden, müssen Unternehmen ihre internen Prozesse fortlaufend überprüfen und anpassen, wobei die sorgfältige Dokumentation sowie die unverzügliche und unwiderrufliche Löschung personenbezogener Daten essenzielle Voraussetzungen für die Wahrung der DSGVO-Compliance und das Vertrauen der betroffenen Personen darstellen.
Haben Sie Fragen zu den neuen Aufbewahrungsfristen oder benötigen Sie Unterstützung bei der Anpassung Ihrer Datenschutzdokumentation? Sprechen Sie uns an!
