Die DSGVO und das Recht auf Vergessen – die Pflichten des Unternehmers

DSGVO -
Personenbezogene Daten müssen auf Verlangen unverzüglich gelöscht werden. Jede Verarbeitung von Daten muss den Bestimmungen der DSGVO und dem österreichischen Datenschutzgesetz (DSG) entsprechen. Bei Verstößen drohen dem Unternehmer Bußgelder bis zu 20 Mio. Euro.


Rechte von Kunden, Mitarbeitern und Kontakten Werden personenbezogene Daten gespeichert, hat die betroffene Person ein Recht auf Berichtigung bzw. Ergänzung der verarbeiteten Daten. Hinzu kommen ein Recht auf Einschränkung der Verarbeitung sowie ein Löschungsrecht. Die Datenschutz-Grundverordnung (DSGVO) sowie das Datenschutzgesetz (DSG) sind damit für jeden Unternehmer verpflichtend, sofern personenbezogene Daten gehalten werden – und dazu gehört oftmals bereits der Kundenstamm. Wer kann Rechte nach der DSGVO durchsetzen? Die DSGVO gilt gemäß Art 4 Z 1 für natürliche Personen und ihre personenbezogenen Daten. Für anonyme Informationen, die Daten verstorbener Personen oder für juristische Personen gelten die Grundsätze des Datenschutzes nicht. Personenbezogen sind Daten immer dann, wenn eine Person identifizierbar wird. Dies liegt vor, sofern mindestens ein besonderes Merkmal hinterlegt ist, das Ausdruck der physischen, psychischen, physiologischen, kulturellen, genetischen sozialen oder wirtschaftlichen Identität der natürlichen Person ist. Bei jedem Datensatz einer natürlichen Person, in dem Name, Adresse und Geburtsdatum hinterlegt sind, handelt es sich somit um personenbezogene Daten. Auch beim Speichern eines Fingerabdrucks, Irisscans oder der Krankengeschichte, zusammen mit anderen identifizierenden Merkmalen, liegen personenbezogene Daten vor.

Wer ist zuständig für Einhaltung der DSGVO?

Zuständig für die Datenhaltung und demnach auch Einhaltung der DSGVO und insbesondere der Löschung sind nach Art 4 Z 7 und 8 sind der “Verantwortliche” und der “Auftragsverarbeiter”. Dabei kann es sich um natürliche oder juristische Personen, Einrichtungen, Behörden und andere Stellen handeln, sofern sie über Zweck und Verarbeitung der Daten entscheiden können. Der Unternehmer, der einen Kundenstammsatz anlegt, ist damit verantwortlich für die Daten. Über einen Tresor kann auch die Sicherheit solcher persönlichen Daten gewährlistet werden. Über Gaerner ist es möglich sich einen Überblick über verschiedene Tresor-Varianten zu machen. Möchte der Unternehmer aus den vom Kunden überlassenen persönlichen Daten einen Kundenstammsatz anlegen, muss er gemäß der DSGVO dessen Einwilligung einholen (Art 4 Z 11). Diese Zustimmung kann z. B. durch Anklicken eines Kästchens durch den Kunden erfolgen – etwa beim Absenden der Bestellung. Die Form des Löschungsantrags Ein formloser Antrag (auch mündlich) der betroffenen Person genügt, um eine Löschung herbeizuführen. Nur wenn berechtigte Zweifel an der Identität des Betroffenen bestehen, kann um einen Nachweis der Identität gebeten werden. Voraussetzungen für eine Löschung Zusätzlich zum Antrag des Betroffenen muss einer der aufgeführten Gründe zutreffen, um die Löschung durchzusetzen:
  • der Zweck, der zur Erhebung der personenbezogenen Daten geführt hat, ist entfallen. Die Daten sind nicht mehr notwendig.
  • der Betroffene hat seine Einwilligung zur Datenverarbeitung widerrufen
  • der Betroffene hat Widerspruch gegen die Verarbeitung eingelegt und Gründe gegen eine Löschung liegen nicht vor.
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet.Zu beachten ist, dass etwa im Personalwesen eine längerfristige Speicherung personenbezogener Daten (auch nach Beendigung eines Arbeitsverhältnisses oder Abschluss des Auswahlverfahrens) gerechtfertigt sein kann. Eine Löschung kann auch durch Anonymisierung der Daten erfolgen.
Fristen des Unternehmers Der Löschungsantrag ist unverzüglich, in jedem Fall aber innerhalb eines Monats ab Eingang zu erledigen und zu beantworten. Eine Verlängerung um zwei Monate ist möglich, muss dann aber speziell begründet werden.