Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass personenbezogene Daten unter bestimmten Umständen gelöscht werden müssen. Aber was passiert, wenn ein Unternehmen behauptet, die Daten seien gelöscht, und dies nicht nachweisen kann? Das Verwaltungsgericht (VG) Bremen hat in einem Urteil vom 17. Dezember 2024 (Az. 4 K 2298/23) klargestellt, welche Anforderungen an den Nachweis einer Datenlöschung gestellt werden.
Dieser Beitrag beleuchtet die Hintergründe des Falls, die rechtlichen Anforderungen und die Auswirkungen für Unternehmen.
Der Fall: Datenschutzbehörde vs. MarketingunternehmenIm Mittelpunkt des Verfahrens stand ein Marketingunternehmen, das bis November 2023 zahlreiche Werbe-E-Mails verschickt hatte. Eine Empfängerin beschwerte sich bei der Datenschutzaufsicht Bremen darüber, dass sie ohne ihre Zustimmung Werbe-E-Mails erhalten habe.
Die Datenschutzbehörde forderte das Unternehmen auf, folgende Informationen bereitzustellen:
- Welche personenbezogenen Daten verarbeitet wurden.
- Welche Einwilligungen für den Versand der Werbe-E-Mails vorlagen.
Das Unternehmen reagierte zunächst nicht und ließ mehrere Fristen verstreichen. Im Dezember 2023 erließ die Behörde daraufhin eine förmliche Anordnung, die detaillierte Informationen verlangte. Zusätzlich wurde ein Zwangsgeld in Höhe von 5.000 Euro pro nicht erfüllter Anforderung angedroht.
Das Unternehmen behauptete, die Daten inzwischen gelöscht zu haben, legte jedoch keinen Nachweis dafür vor. Im Oktober 2024 wurde schließlich ein Zwangsgeld von 10.000 Euro festgesetzt.
Argumentation des UnternehmensDas Marketingunternehmen versuchte, sich mit verschiedenen Argumenten gegen die Maßnahmen der Behörde zu wehren:
- Datenlöschung: Die fraglichen Daten seien bereits gelöscht, und eine Erfüllung der behördlichen Anforderungen sei daher nicht möglich.
- Unverhältnismäßigkeit: Die Anforderungen der Behörde seien überzogen und führten selbst zu Datenschutzrisiken.
- Unzuständigkeit der Behörde: Aufgrund eines geänderten Geschäftszwecks und Sitzes sei die Bremer Datenschutzaufsicht nicht länger zuständig.
Das VG Bremen wies die Klage ab und bestätigte die Rechtmäßigkeit der behördlichen Maßnahmen. Es stellte klar, dass die Datenschutzaufsicht im Rahmen ihrer gesetzlichen Befugnisse gehandelt habe.
Besonders wichtig war die Aussage des Gerichts zur Nachweispflicht bei der Löschung personenbezogener Daten:
- Beweis der Löschung: Unternehmen müssen nicht nur angeben, dass Daten gelöscht wurden, sondern auch nachweisen können, wann und wie die Löschung erfolgt ist.
- Keine pauschalen Angaben: Allgemeine Aussagen wie „Daten wurden gelöscht" reichen nicht aus, um den Anforderungen nach Art. 17 Abs. 1 und Art. 5 Abs. 2 DSGVO gerecht zu werden.
Die pauschale Behauptung einer Datenlöschung verletze die Rechenschaftspflicht, die ein zentraler Bestandteil der DSGVO sei.
Was bedeutet das für Unternehmen?Das Urteil verdeutlicht, dass Unternehmen ihre Prozesse zur Datenlöschung dokumentieren müssen. Folgende Maßnahmen sollten Unternehmen ergreifen, um rechtskonform zu handeln:
- Datenlöschprotokoll: Halten Sie fest, welche Daten gelöscht wurden, wann die Löschung erfolgte und welche Methode verwendet wurde.
- Transparenz bei Löschvorgängen: Entwickeln Sie interne Richtlinien, die klare Prozesse für die Löschung personenbezogener Daten definieren.
- Technische und organisatorische Maßnahmen: Nutzen Sie Systeme, die eine Nachverfolgung und Dokumentation von Löschvorgängen ermöglichen.
- Schulung der Mitarbeiter: Stellen Sie sicher, dass alle Mitarbeiter die Anforderungen der DSGVO verstehen und wissen, wie Löschungen zu dokumentieren sind.
Das Urteil passt zu den angekündigten europaweiten Prüfungen der Datenschutzbehörden zur Löschpflicht. Unternehmen müssen sich darauf einstellen, dass Datenschutzaufsichtsbehörden künftig verstärkt prüfen, wie sie ihrer Nachweispflicht bei der Löschung personenbezogener Daten nachkommen.
Das Urteil des VG Bremen ist ein deutlicher Weckruf für Unternehmen. Die Nachweispflicht bei der Löschung personenbezogener Daten ist ein zentraler Bestandteil der DSGVO und darf nicht auf die leichte Schulter genommen werden.
Durch klare Dokumentation und Transparenz können Unternehmen sicherstellen, dass sie den Anforderungen gerecht werden und nicht Gefahr laufen, hohe Bußgelder zu riskieren.
Wenn Sie sicherstellen möchten, dass Ihr Unternehmen DSGVO-konform handelt, sollten Sie Ihre Prozesse zur Datenlöschung und -dokumentation regelmäßig überprüfen und optimieren.
Benötigen Sie Unterstützung bei der Umsetzung der DSGVO-Vorgaben? Kontaktieren Sie uns – wir helfen Ihnen, datenschutzkonform zu arbeiten und Ihre Unternehmensprozesse zu stärken.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz