Artikel 5 Absatz 1 Buchstabe d) DSGVO

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden. Hierzu haben Verantwortliche angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke der Verarbeitung ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Dabei wird es weniger auf den Moment der Erhebung der Daten ankommen, als vielmehr auf den weiteren Verlauf, den ursprünglich richtige Daten, können unrichtig werden, so z.B. Kontakt- oder Bankdaten.

Von besonderer Bedeutung ist, dass die DSGVO den Verantwortlichen verpflichtet, Maßnahmen zu ergreifen, damit unrichtige Daten gelöscht oder berichtigt werden können. Wichtig ist insoweit, dass Sie die betroffene Person bei der Erhebung der Daten auffordern, Änderungen etc. mitzuteilen. Gleichzeitig sollten Sie Routinen festlegen, also z.B. regelmäßige Intervalle, in denen die Daten überprüft werden und ggf. korrigiert werden oder aber, wenn sie nicht mehr gebraucht werden und keine Aufbewahrungspflichten entgegenstehen, endgültig gelöscht werden. Nutzen Sie zu diesem Zweck regelmäßige Korrespondenz mit der betroffenen Person oder Hinweise in Newslettern o.ö.

Bedenken Sie auch, dass unrichtige Daten Kosten verursachen können, wenn aufgrund falscher Bankdaten Rücklastschriften entstehen.

Das klingt alles sehr banal, kann in der Praxis aber durchaus eine Herausforderung darstellen. Ich will Ihnen ein Beispiel nennen: Personenbezogene Daten dürfen nur solange verarbeitet werden, wie sie zur Zweckerreichung notwendig sind (es sei denn, es existieren verpflichtende Aufbewahrungsfristen z.B. aus dem Handels- oder Steuerrecht, doch das ignorieren wir an dieser Stelle mal). Angenommen eine Person interessiert sich für eine Mitgliedschaft in einem Verein und hat per E-Mail Kontakt mit dem Vorstand A aufgenommen und bestimmte Angaben zu seiner Person gemacht. Der Vorstand A leitet diese E-Mail an den Vorstand B weiter, um z.B. die Aufnahme des Mitgliedes zu besprechen. Dann kommt es nicht zur Mitgliedschaft und der Zweck (»Aufnahmeprüfung Neumitglied«) ist erledigt und der Vorstand muss die Daten löschen. Vorstand A tut dies auch auf seinem Rechner, doch was ist mit dem Vorstand B, dem die E-Mail weiter geleitet wurde? Weiß er Bescheid, dass er die Daten auch löschen muss? Hat er es getan? Was ist, wenn auf einem der Rechner ein Backup existiert und wegen eines Vorfalls ausgelöst werden muss? Vielleicht ist die zuvor gelöschte E-Mail jetzt nach dem Einspielen des Backups wieder auf dem System und die Vorstände haben es gar nicht bemerkt? Und das ist nur eine von vielen Fragen im Zusammenhang mit dem Löschen von personenbezogenen Daten. Merken Sie sich an dieser Stelle nur, dass das Thema Löschkonzept und Löschen allgemein im Datenschutz gerne unterschätzt wird.

Ich bereite gerade ein Webinar zum Thema »Löschen nach der DSGVO« vor. Wenn Sie über den Start unterrichtet werden wollen, dann tragen Sie sich einfach in meine Newsletterliste ein.

Newsletter abonnieren.