Schlagwort: Löschungsbegehren

Recht auf Löschung – Bewerbungsunterlagen dürfen 7 Monate aufbewahrt werden

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, DSGVO

Von Franz J Heidinger / Laurin Maran – Der Beschwerdeführer behauptete eine Verletzung im Recht auf Löschung und brachte vor, dass er per E-Mail die Löschung seiner personenbezogenen Daten aus der Bewerberdatenbank der Beschwerdegegnerin beantragt habe. Die Beschwerdegegnerin hätte jedoch mitgeteilt, dass sie diesem Antrag auf Löschung nicht entsprechen werde. Zwar werde die gegenständliche Bewerbung des Beschwerdeführers nicht mehr für die ausgeschriebene Stellen der Beschwerdegegnerin in Erwägung gezogen, doch ergebe sich eine gesetzliche Aufbewahrungspflicht nach dem Gleichbehandlungsgesetz (GlBG) von sechs Monaten. Das Recht auf Löschung bestehe gemäß Art 17 Abs 3 lit e DSGVO nämlich dann nicht, soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sei. Die Bewerbungsunterlagen könnten daher erst nach 7 Monaten gelöscht werden, da noch ein Monat für den Postweg einer potentiellen Klage eingerechnet wurde.

§ 29 Abs 1 GlBG: Ansprüche nach § 26 Abs. 1 und 5 sind binnen sechs Monaten gerichtlich geltend zu machen. Die Frist zur Geltendmachung der Ansprüche nach § 26 Abs. 1 und 5 beginnt mit der Ablehnung der Bewerbung.“

Die Datenschutzbehörde hat dazu ausgeführt, dass der allgemeine Hinweis auf potenziell zukünftige, noch nicht anhängige bzw. nicht sicher bevorstehenden (Gerichts-) Verfahren nicht ausreichend ist, um dem Löschbegehren nicht entsprechen zu müssen. Vielmehr muss der Verantwortliche darlegen, welche konkreten zukünftigen Verfahren auf welcher Grundlage anhängig gemacht werden könnten und inwiefern durch derartige Verfahren eine Notwendigkeit zur weiteren Speicherung der personenbezogenen Daten begründet wird.

Im vorliegenden Fall bezog sich die Beschwerdegegnerin  aber nicht allgemein auf ein potenziell zukünftiges Verfahren, sondern benannte einen konkreten Anspruch, der ihr gegenüber innerhalb eines konkreten Zeitraumes geltend gemacht werden könnte. Ferner benannte die Beschwerdegegnerin einen konkreten Zeitpunkt, ab wann sie die Bewerberdaten löschen werde. Für den Beschwerdeführer war somit klar erkennbar, ab welchem Zeitpunkt seine Bewerberdaten gelöscht werden. Der zusätzliche Monat zur Einberechnung eines Klageweges ist angemessen. Die Frist von 7 Monaten beginnt mit der Ablehnung der Bewerbung.

TIPP: Unternehmen sollten bei einem Löschungsantrag zuerst prüfen, ob eine der Ausnahmebestimmungen des Art 17 Abs 3 DSGVO greift. Sollte dies der Fall sein, ist dem Antragsteller genau mitzuteilen, weshalb dem Löschungsbegehren nicht entsprochen werden kann und wie lange die Daten noch gespeichert werden müssen. Beruft man sich beispielsweise darauf, dass die Daten noch zur Verteidigung von Rechtsansprüchen gebraucht werden könnten, ist auszuführen, welche konkreten Rechtsansprüche gemeint sind.

Recht auf Löschung – Anonymisierung ist ausreichend

am von Alix Frank Rechtsanwälte GmbHin Allgemein

Von Franz J Heidinger / Laurin Maran – Die Österreichische Datenschutzbehörde hat in einer Beschwerde wegen Verletzung im Recht auf Löschung von personenbezogen Daten festgehalten, dass die Entfernung des Personenbezuges von personenbezogenen Daten ein mögliches Mittel zur Löschung im Sinne der EU-DSGVO sein kann. Es muss jedoch sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden.

Im vorliegenden Fall hat die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“. Der Anonymisierungsprozess wurde mit folgenden Schritten umgesetzt:

  1. Löschung des Offerts: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt wurde, wurden gelöscht.
  2. Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.
  3. Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse wurden durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben.
  4. Die nun inhaltsleere Kundenverbindung wurde nur mehr Max Mustermann zugeordnet.
  5. Der mit einer Kundenverbindung automatisch gestartete interne Ablauf wurde sofort gestoppt.
  6. Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
  7. Löschen des Kunden im Elektronischen Akt (Historie).

Die Daten des Betroffenen wurden durch einen „Dummy Kunden“ ersetzt. Dieser „Dummy Kunde“ wurde mit einem weiteren, nicht zuordenbaren Eintrag zusammengelegt, wodurch auch der Änderungsverlauf nachhaltig nicht mehr rekonstruierbar ist. Logdaten waren nicht mehr vorhanden.

Bei Papierakten wird auch eine „Schwärzung“ als Form der Löschung angesehen. Durch die Unkenntlichmachung des Namens des Betroffenen sowie aller anderer seine Person betreffende Daten kann einem Löschungsbegehren entsprochen werden.

Durch die Entfernung des Personenbezugs wurde das Löschungsbegehren erfüllt und die Beschwerde somit abgewiesen.