Bei der Verarbeitung personenbezogener Daten gelten verschiedene Vorgaben und Fristen für Umfang und Dauer der Speicherung dieser Daten, die von einem Verantwortlichen im Auge behalten werden müssen. Massgeblich sind dafür einerseits die Grundsätze der Datenverarbeitung aus dem Art. 5 der DSGVO, nämlich die Zweckbindung, die Datenminimierung und die Speicherbegrenzung, sowie andererseits das Löschrecht des Betroffenen aus Art. 17 DSGVO bzw. das so genannte «Recht auf Vergessenwerden». Darüber hinaus sind gesetzliche Aufbewahrungspflichten zu beachten. Auf die rechtlichen Grundlagen des Löschrechts bzw. der Löschpflicht sowie auf ihre konkrete Umsetzung in der Praxis wird in den nachfolgenden Kapiteln eingegangen.
Löschpflicht – Grundsätze der Datenverarbeitung
-
Zweckbindung
Die Frist für die Speicherung personenbezogener Daten ergibt sich primär aus der Frage, ob die personenbezogenen Daten für die Erfüllung des Zwecks, für den sie erhoben wurden, noch notwendig sind (Art. 5 Abs. 1 Bst. b DSGVO). Wird der Zweck erfüllt oder ändert er sich, entfällt die Zweckbindung und damit auch die Erlaubnis zur Verarbeitung.
Es ist zudem zu prüfen, ob sich aus nationalen Gesetzen (z.B. Art. 1059 Abs. 1 PGR oder Art. 14 Ärztegesetz) eine Aufbewahrungspflicht ergibt, wegen der die Daten weiter gespeichert bleiben müssen, selbst wenn beispielsweise der eigentliche Zweck bereits erreicht ist. Gibt es keine gesetzliche Aufbewahrungspflicht, muss nach dem Erreichen des Zwecks entweder eine neue Rechtsgrundlage herangezogen werden oder die Daten müssen gelöscht werden.
Hinweis: Die Datenschutzstelle stellt eine Liste mit den gängigsten Lösch- und Aufbewahrungspflichten in Liechtenstein zur Verfügung. -
Datenminimierung
Art. 5 Abs. 1 Bst. c DSGVO schreibt den Grundsatz der Datenminimierung vor, nach dem die Verarbeitung personenbezogener Daten nur soweit erfolgen darf, als sie für die Erfüllung des Verwendungszwecks unvermeidbar ist. Die DSGVO verlangt, dass die Daten für den Zweck angemessen, erheblich und auf das notwendige Mass beschränkt sind. Angemessen sind Daten, die bei objektiver Wertung nicht zu beanstanden sind, erheblich bedeutet, dass sie für die Erreichung des Zwecks förderlich sind und notwendig, dass sie im konkreten Sachverhalt wichtig bzw. erforderlich sind. Eine bestimmte Datenverarbeitung muss daher auch im Umfang der verarbeiteten Daten immer den wichtigen Grundsatz der Verhältnismässigkeit wahren und das mildeste Mittel zur Zweckerreichung darstellen.
Hinweis: Wenn der Zweck ohne Verwendung der Daten oder mit Daten ohne Personenbezug (etwa in anonymisierter Form) ebenfalls erreicht werden kann, ist dies vorzuziehen und sind die nicht mehr benötigten Daten im Sinne der Datenminimierung zu löschen. Durch die Löschung wird einer nicht gesetzeskonformen Verarbeitung vorgebeugt. -
Speicherbegrenzung
Der Grundsatz in Art. 5 Abs. 1 Bst. e DSGVO begrenzt die Speicherung personenbezogener Daten auf die Dauer der Erfüllung des Verarbeitungszweckes. Ist die Speicherung nicht mehr notwendig, um den Verwendungszweck zu erfüllen, muss eine Identifizierung der Betroffenen durch die verarbeiteten personenbezogenen Daten unmöglich gemacht werden. Dies kann durch Löschung oder Anonymisierung der Daten erfolgen.
Eine längere Speicherdauer ist explizit nur für Datenverarbeitungen für im öffentlichen Interesse liegende Archivierungen, wissenschaftliche und historische Forschungszwecke sowie Statistik gemäss Art. 89 Abs. 1 DSGVO erlaubt. Auch bei diesen Ausnahmen gelten aber die Grundsätze der Zweckbindung und der Datenminimierung und es müssen technische und organisatorische Massnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen ergriffen werden.
Hinweis: Dies bedeutet aber nicht, dass für Archivierungen notwendigerweise ein öffentliches Interesse vorhanden sein muss. Private Organisationen wie Unternehmen oder auch Vereine können ein Archiv führen gestützt auf Art. 6 Abs.1 Bst. f DSGVO (berechtigtes Interesse), wenn dafür ein eindeutiger und legitimer Zweck definiert wird, die Interessensabwägung gegenüber den Betroffenen sorgfältig vorgenommen wurde sowie technische und organisatorische Massnahmen zur Datensicherheit umgesetzt wurden.
Löschrecht – Geltendmachung, Umsetzung und Ablehnung
Das Löschrecht gehört zu den Betroffenenrechten der DSGVO, mit denen Personen, deren personenbezogene Daten verarbeitet werden oder wurden, gewisse Möglichkeiten der Information und Mitbestimmung über Art, Umfang und Dauer dieser Verarbeitung erhalten. Von der Verarbeitung personenbezogener Daten betroffene Personen können unter bestimmten Voraussetzungen die Löschung dieser Daten durchsetzen. Art. 17 DSGVO räumt ihnen ein Recht auf unverzügliche Löschung ein, das vom Verantwortlichen zu erfüllen ist (siehe auch Erw.Gr. 65).
Beim Recht auf Löschung handelt es sich um kein absolutes Recht, da bestimmte Voraussetzungen vorliegen müssen, um es gegenüber dem Verantwortlichen geltend machen zu können und der Verantwortliche den Antrag auf Löschung in ebenfalls bestimmten Ausnahmen ablehnen kann.
-
Geltendmachung durch die betroffene Person
Um von einem Verantwortlichen die Löschung der personenbezogenen Daten verlangen zu können, muss ein Betroffener zuerst überprüfen, ob die Voraussetzungen dafür gegeben sind. Diese widerspiegeln sowohl allgemeine Grundsätze der Datenverarbeitung als auch besondere Betroffenenrechte der DSGVO. Zumindest einer der sechs in Art. 17 Abs. 1 DSGVO angeführten Fälle muss vorliegen:
- Fehlende Notwendigkeit zur Zweckerfüllung (Bst. a): Die verarbeiteten Daten sind für den Verarbeitungszweck nicht mehr erforderlich.
In dieser Voraussetzung finden sich die Grundsätze der Datenminimierung und Speicherbegrenzung aus Art. 5 DSGVO wieder. Wenn Daten für die Zweckerfüllung nicht oder nicht mehr gebraucht werden, müssen diese (dem Antrag entsprechend) vom Verantwortlichen gelöscht werden. Zu beachten ist jedoch der Fall, dass der ursprüngliche Zweck zwar erfüllt wurde, aber eine zwischenzeitliche Zweckänderung zulässig war (Beispiel Aufbewahrung von Buchhaltungs-relevanten Unterlagen über die gesetzliche Aufbewahrungsfrist hinaus zur Verteidigung in einem Rechtsstreit (berechtigtes Interessen im Sinne des Art. 6 Abs. 1 Bst. f DSGVO)), womit wieder eine neue Zweckbindung vorliegt und auch eine neue Erforderlichkeit und Rechtsgrundlage dafür bestehen kann. Sollte dies der Fall sein, ist dies der betroffenen Person jedoch mitzuteilen.
- Widerruf einer Einwilligung (Bst. b): Es wurde die Einwilligung in die Verarbeitung nach Art. 6 Abs 1 Bst. a oder Art. 9 Abs. 2 Bst. a DSGVO widerrufen, wobei diese Einwilligung die einzige Rechtsgrundlage für die Verarbeitung war.
Diese Voraussetzung verwirklicht das Widerrufsrecht von Betroffenen bezüglich einer Einwilligung in die Verarbeitung personenbezogener Daten. Werden Daten deshalb verarbeitet, weil der Betroffene zugestimmt hat, endet die Erlaubnis der Verarbeitung, sobald der Betroffene seine Einwilligung widerruft. Vom Zeitpunkt des Widerrufs an ist somit jede weitere Datenverarbeitung, auf die sich der Widerruf bezieht, unrechtmässig.
- Widerspruch (Bst. c): Es wurde einer Datenverarbeitung aufgrund eines «öffentlichen» oder «berechtigten Interesses» (einschliesslich Direktwerbung) des Verantwortlichen (Art. 6 Abs. 1 Bst. e und f DSGVO) mittels des entsprechenden Rechts in Art. 21 Abs. 1 oder Abs. 2 DSGVO widersprochen.
Diese Voraussetzung verwirklicht somit das Widerspruchsrecht von Betroffenen. Wird ein wirksamer Widerspruch gesetzt, also ein Widerspruch aufgrund der besonderen Situation eines Betroffenen, dem keine überwiegenden Berechtigungsgründe des Verantwortlichen entgegenstehen, wird eine weitere Verarbeitung unrechtmässig.
- Fehlende Rechtmässigkeit (Bst. d): Es liegt zum gegenwärtigen Zeitpunkt eine unrechtmässige Verarbeitung der Daten vor.
Das Rechtmässigkeitskriterium steht als Grundsatz in Art. 5 Abs. 1 Bst. a der DSGVO. Generelle Rechtsverletzungen sind damit nicht gemeint, sondern nur das fehlende Vorliegen einer Rechtsgrundlage nach Art. 6 (und ggf. Art. 9) DSGVO.
Zu beachten ist ferner der Fall unrichtiger Daten, deren Verarbeitung ebenfalls zumeist nicht auf eine der oben genannten Rechtsgrundlagen gestützt werden kann. In Frage kommt hier neben der Löschung jedoch auch eine Berichtigung der Daten, was mit dem Betroffenen vorgängig zu klären ist.
- Rechtliche Verpflichtung (Bst. e): Die Löschung ist anderweitig rechtlich vorgeschrieben.
Solche rechtlichen Pflichten müssen sich entweder aus dem Unionsrecht oder aus dem nationalen Recht der Mitgliedstaaten des EU/EWR-Raumes ergeben, dem der Verantwortliche unterliegt. Dies können objektiv-rechtliche Normen oder auch die Rechtsprechung sein. Vertragliche Pflichten kommen dagegen nicht zum Tragen.
- Dienst der Informationsgesellschaft (Bst. f): die Daten wurden durch einen Dienst der Informationsgesellschaft gemäss Art. 8 Abs. 1 DSGVO von einem Kind mit dessen Einwilligung erhoben.
In der Praxis findet sich diese Konstellation beispielsweise bei Lern-Apps, aber auch bei sozialen Medien, Webshops oder Online-Spielen. Kinder sind aufgrund ihrer fehlenden Einsichtsfähigkeit und Lebenserfahrung häufig nicht in der Lage, die Konsequenzen einer Einwilligung einzuschätzen. Gerade bei Diensten, die direkt an sie gerichtet sind, sollen sie Daten löschen können, auch wenn sie zum Zeitpunkt des Löschwunsches nicht mehr Kind sind. Diese Bestimmung gilt unabhängig von der Rechtmässigkeit, Zulässigkeit oder sich nachträglich ergebenden anderen Rechtsgrundlage der Datenverarbeitung.1
Nachdem feststeht, dass eine der oben genannten Voraussetzungen erfüllt ist und die fraglichen Daten nicht auch noch für andere, rechtmässige Datenverarbeitungen verwendet werden dürfen, besteht ein Löschungsanspruch gegenüber dem Verantwortlichen und kann ein Antrag auf Löschung gemäss Art. 17 DSGVO gestellt werden. Obwohl dafür keine spezielle Form verlangt wird, empfiehlt sich aus Gründen des besseren Nachweises eine schriftliche Form der Antragstellung, etwa per Email oder Brief. Wenn vorhanden, kann der Antrag direkt an den Datenschutzbeauftragten des Verantwortlichen gerichtet werden.
Hinweis: Die Identität der betroffenen Person sollte im Löschantrag in geeigneter Weise nachgewiesen werden, um die Berechtigung zur Antragsstellung direkt zu klären und eine effizientere Bearbeitung zu ermöglichen. Wenn der Verantwortliche begründete Zweifel an der Identität hat, kann er Massnahmen zur Identitätsüberprüfung ergreifen und kann den Antrag auch ablehnen. Wenn eine der oben aufgeführten Voraussetzungen erfüllt ist, besteht in den meisten Fällen auch unabhängig von der expliziten Geltendmachung eines Löschanspruchs eine unverzügliche Löschpflicht des Verantwortlichen. Dies insbesondere in den Fällen der Bst. a, d und e (fehlende Notwendigkeit, Unrechtmässigkeit und Rechtspflicht), in denen eine betroffene Person womöglich gar nicht über die relevanten Informationen zur Beurteilung verfügt. Und auch in den Fällen der Bst. b und c, wo eine betroffene Person bereits ihr Widerrufs- oder Widerspruchsrecht geltend gemacht hat, erscheint ein zusätzlicher Antrag auf Löschung überflüssig. Allerdings ist in bestimmten Fällen die Beteiligung der betroffenen Person durchaus sinnvoll, um ein sachgerechtes Ergebnis zu erreichen und ihre Rechte zu wahren. So könnte etwa im Falle der Bst. a und d anstelle der Löschung auch eine Einschränkung der Verarbeitung gemäss Art. 18 DSGVO die Rechtmässigkeit der Verarbeitung wiederherstellen oder vom Betroffenen gar gewünscht sein. Der Verantwortliche hat dies in derart gelagerten Fällen mit den Betroffenen vor einer allfälligen Löschung zu klären. Im Fall der Bst. b und c kann ebenfalls eine Klärung des genauen Umfangs des Widerrufs oder Widerspruchs angezeigt sein. Im Fall des Bst. f ist ein eigentlicher Antrag auf Löschung durch die betroffenen Person unumgänglich.
1 Bei Vorliegen eines Dienstes der Informationsgesellschaft gemäss Art. 8 Abs. 1 DSGVO ist die Altersgrenze für ein Kind in Liechtenstein die Vollendung des 16. Lebensjahrs. -
Umsetzung durch den Verantwortlichen
Wenn das Löschrecht von einer betroffenen Person geltend gemacht wird und die Voraussetzungen dafür erfüllt sind, müssen die Daten grundsätzlich unverzüglich gelöscht werden. Auf jeden Fall muss der Verantwortliche den Antrag allerspätestens nach einem Monat beantworten. In Ausnahmefällen, wenn der Antrag sehr komplex oder umfangreich ist, darf die Frist bis zur Löschung um zwei Monate verlängert werden (Art. 12 Abs. 3 DSGVO).
Die Bearbeitung des Antrags bzw. die Löschung der Daten muss ausserdem unentgeltlich sein. Falls ein Antrag, der einen unverhältnismässig grossen Aufwand verlangt, gleichzeitig von Vornherein offensichtlich unbegründet ist, so kann es sich um eine missbräuchliche Rechtsausübung seitens des Betroffenen handeln. Ebenso missbräuchlich ist ein exzessiver Antrag, der unverhältnismässig häufig oder nur als Schikane gestellt wird. In diesen Missbrauchsfällen darf vom Verantwortlichen ein dem Aufwand angemessenes Entgelt verrechnet werden oder die Bearbeitung verweigert werden. Die Annahme einer missbräuchlichen Rechtsausübung ist jedoch sehr eng auszulegen und vom Verantwortlichen nachzuweisen.
Werden personenbezogene Daten dann vom Verantwortlichen gelöscht, müssen auch alle gegebenenfalls vorhandenen Empfänger der Daten von ihm darüber informiert werden, sofern dies nicht unmöglich ist oder mit einem unverhältnismässigen Aufwand einhergehen würde (Art. 19 DSGVO). Diese sind sodann jedoch selbst für die Löschung der Daten in ihren Speichersystemen verantwortlich. Wenn sie es verlangt, sind all diese Empfänger auch der betroffenen Person mitzuteilen.
Hinweis: Es empfiehlt sich aus Nachweisgründen (insb. für ein allfälliges nachgelagertes Rechtsverfahren), die Ausführung eines Löschantrags zu dokumentieren (z.B. welche Datensätze wann gelöscht wurden) und diese Dokumentation während einer gewissen Zeit aufzubewahren. Diese Speicherdauer ist im Einzelfall vom Verantwortlichen selbst zu bestimmen. -
Spezialfall: «Recht auf Vergessenwerden» bei veröffentlichten Daten
Veröffentlichte sensible und personenbezogene Daten können insbesondere im Internet unbefristet zu finden sein, lange nachdem sie an Aktualität verloren oder aus dem Bereich des öffentlichen Interesses verschwunden sind. Werden Daten vom Verantwortlichen etwa auf einer Webseite (oder auch anderswo) publiziert, können sie von Dritten dort kopiert, gespeichert oder weiterverlinkt werden und dadurch zum Beispiel auf anderen Webseiten oder in den Trefferlisten von Suchmaschinen wiederum auftauchen. Eine Löschung nach Art. 17 Abs. 1 DSGVO durch einen Verantwortlichen bleibt in so einem Fall auf die eigene Webseite begrenzt, während die Daten im Internet vielfach weiter abrufbar bleiben.
Um der weiterwährenden öffentlichen Verfügbarkeit von in der Vergangenheit publizierten Daten entgegenzuwirken, wurde das «Recht auf Vergessenwerden» in Art. 17 Abs. 2 DSGVO speziell für veröffentlichte Daten normiert. So haben Betroffene mit einem gerechtfertigten Löschanspruch ausser der Löschung der veröffentlichten Daten durch den Verantwortlichen selbst (z.B. auf dessen Webseite) auch Anspruch auf weitergehende Massnahmen von ihm. Konkret muss sich der Verantwortliche (auf entsprechenden Antrag der betroffenen Person) auch darum bemühen, allfällige Dritte bzw. andere Verarbeiter der fraglichen Daten – unabhängig davon, wie sie an die Daten gelangt sind – über das Löschbegehren zu informieren. Das Löschbegehren (Löschung aller Links zu den fraglichen Daten, aber auch von Kopien oder Replikationen (z.B. Screenshots) der Daten) betrifft also nicht nur den Verantwortlichen, bei dem es eingegangen ist, sondern richtet sich auch an alle weiteren Verarbeiter der fraglichen Daten. Diese stellen einen unbestimmten (grossen) Kreis an Adressaten dar, die in den meisten Fällen dem Verantwortlichen gar nicht bekannt sein dürften; im Gegensatz zu den unmittelbaren Empfängern der Daten, welche diese direkt vom Verantwortlichen erhalten haben und von diesem bereits nach Art. 19 DSGVO über die Löschung zu informieren sind.
Die Massnahmen des Verantwortlichen zur Information dieser Dritten bzw. anderen Verarbeitern der fraglichen Daten müssen «angemessen» sein, wobei auch die verfügbare Technologie und die Implementierungskosten berücksichtigt werden dürfen. Eine direkte Ansprache aller Dritten wird vielfach unmöglich sein, weswegen auch ein entsprechender Hinweis auf der eigenen Webseite bzw. an der Stelle der ursprünglichen Veröffentlichung der Daten genügen kann, oder andere technische Massnahmen, welche beispielsweise Webcrawler von Suchmaschinen dazu bringen, die fraglichen Daten in ihren Indexdateien und Caches zu löschen.2
Die Dritten bzw. anderen Verarbeiter der fraglichen Daten (z.B. auch Suchmaschinen) sind ihrerseits zur Löschung der fraglichen Daten in all ihren Speichermedien aufgefordert und müssen dies, soweit sie der DSGVO unterliegen und eine der Löschungsvoraussetzungen nach Art. 17 Abs. 1 erfüllt ist sowie kein Ablehnungsgrund nach Abs. 3 vorliegt, auch umsetzen. Allerdings trifft den Verantwortlichen keine Pflicht, die Löschung der Daten bei all diesen anderen Verarbeitern auch durchzusetzen. Wenn die betroffene Person hingegen sichergehen will, dass auch die anderen Verarbeiter ihre Löschpflicht jeweils erfüllen, so muss sie allfällige Dritte, die ihre Daten trotz des Löschbegehrens weiterhin verarbeiten, selbst ausfindig machen und die Löschung bei diesen mittels Beschwerde bei einer Datenschutzaufsichtsbehörde oder auf dem gerichtlichen Rechtsweg durchsetzen. Nur zu den unmittelbaren Empfängern der Daten vom Verantwortlichen, kann die betroffene Person bei diesem Auskunft nach Art. 15 und Art. 19 DSGVO verlangen.
Hinweis zu Suchmaschinen: Die Auslistung, (engl. Delisting), beschreibt die besondere Löschung, die von Internet-Suchmaschinen durchgeführt wird und vom Europäischen Gerichtshof bestätigt wurde.3 Damit ist gemeint, dass bei einer Suchanfrage mit dem Namen einer bestimmten Person, die ein begründetes Löschbegehren gestellt hat, alle Links zu Webseiten, die zu löschende Daten dieser Person enthalten, aus der Trefferliste von Suchmaschinen entfernt bzw. nicht angezeigt werden. Wird also der Name dieser Person in das Suchfeld, bspw. von Google, eingegeben, scheinen damit zusammenhängende Links in der Ergebnisliste nicht mehr auf und erschweren so das Auffinden derartiger Webseiten. Mittels anderer Suchanfrage, also ohne den Namen der betroffenen Person, könnten die Links zu diesen Webseiten jedoch dennoch angezeigt werden.
→ Eine Auslistung muss direkt beim jeweiligen Suchmaschinen-Anbieter beantragt werden.
2 Siehe dazu auch die Leitlinien 5/2019 des Europäischen Datenschutzausschusses zu den Kriterien des Rechts auf Vergessenwerden in Fällen in Bezug auf Suchmaschinen gemäss der DSGVO, Teil 1. 3 EuGH-Urteil vom 13.5.2014 – C-131/12 («Google Spain») sowie EuGH-Urteile vom 24.9.2019 – C-136/17 und C507/17. -
Ablehnung durch den Verantwortlichen
In Abs. 3 des Art. 17 DSGVO werden Ausnahmen aufgezählt, bei denen der Verantwortliche der Forderung auf Löschung von personenbezogenen Daten gemäss Abs. 1 oder 2 nicht nachkommen muss. Liegt eine dieser Ausnahmen vor, kann der Verantwortliche den Antrag auf Löschung ablehnen, auch wenn die obigen Voraussetzungen für den Antrag eigentlich gegeben wären.
Das Recht auf Löschung gilt entsprechend nicht, wenn die Verarbeitung der fraglichen Daten aus einem der folgenden Gründe erforderlich ist:
- Ausübung der Informations- und Meinungsfreiheit (Bst. a).
Die Meinungs- und Informationsfreiheit ist ebenso geschützt wie die personenbezogenen Daten, deshalb muss im Einzelfall abgewogen werden, welches Recht stärkeres Gewicht hat. In den Geltungsbereich eingeschlossen sind dabei nicht nur Presseunternehmen, sondern auch soziale Medien und Blogbeiträge.
- Erfüllung einer rechtlichen Verpflichtung, Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Bst. b).
Rechtlichen Verpflichtungen aus dem Unionsrecht oder dem Recht der Mitgliedsstaaten des EU/EWR-Raumes können etwa in Form bestimmter gesetzlicher Aufbewahrungspflichten bestehen (z.B. Grundbuchseintragungen, buchhaltungsrelevante Aufzeichnungen und Belege, Arbeitszeugnisse, etc.). Öffentliche Aufgaben wiederum sollen nicht durch Löschpflichten behindert werden. Für die einzelnen öffentlichen Aufgaben können aber Löschpflichten bestehen, die in den Vorschriften zur Aufgabenerfüllung enthalten sind.
- Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Bst. c).
Für die Verarbeitung von personenbezogenen Daten besonderer Kategorien, wie etwa Gesundheitsdaten, gelten strenge Vorgaben. Im Bereich der Gesundheitsversorgung dürfen die Daten ausnahmsweise gemäss Art. 9 Abs. 2 Bst. h und i sowie Abs. 3 DSGVO verarbeitet werden. Es ist dafür jedoch eine eigene Rechtsgrundlage im Unionsrecht oder im nationalen Recht vonnöten, welche auch spezielle Löschpflichten vorsehen kann. Ein Löschbegehren kann in solchen Fällen entsprechend abgelehnt werden.
- Im öffentlichen Interesse liegende Archivzwecke, Zwecke im Bereich der wissenschaftlichen und historischen Forschung oder statistische Zwecke (Bst. d).
Damit in solchen Fällen eine Ausnahme von der Löschpflicht gemacht werden kann, muss feststehen, dass die Datenverarbeitung für den Zweck so wichtig ist, dass seine Erfüllung ohne sie verunmöglicht oder zumindest ernsthaft beeinträchtigt würde. Zusätzlich muss die Datenverarbeitung, wenn sie erfolgt, alle Grundlagen der Datenminimierung, die üblicherweise für die Datenverarbeitung gelten, einhalten.
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Bst. e).
Diese Bestimmung gilt als Begründung für die Ablehnung von Löschbegehren in Zusammenhang mit gerichtlichen und aussergerichtlichen Verfahren, die bereits stattfinden oder höchstwahrscheinlich stattfinden werden. Die Geltendmachung von Rechtsansprüchen geht dem Löschrecht dabei nicht automatisch vor, sondern erfordert eine Abwägung im Einzelfall, wie wahrscheinlich ein Rechtsstreit ist und wie schwerwiegend der Eingriff in die Interessen der betroffenen Person im Verhältnis dazu ist.
Die DSGVO erlaubt den Mitgliedstaaten in Art. 23, in ihren Gesetzen weitere Einschränkungen des Löschrechts wahrzunehmen. Eine solche Einschränkung ergibt sich für Liechtenstein aus Art. 35 des liechtensteinischen Datenschutzgesetzes (DSG): Liegt grundsätzlich eine rechtmässige Datenverarbeitung vor und ist das Interesse der betroffenen Person an der Löschung ihrer Daten als gering zu werten, so kann die Löschung unterbleiben, wenn sie aufgrund der Speicherungs- oder Verarbeitungsart unmöglich oder unverhältnismässig aufwändig wäre. Anstelle der Löschung tritt in solch einem Fall die Einschränkung der Verarbeitung gemäss Art. 18 DSGVO. Zudem erweitert Art. 35 DSG die in Art. 17 Abs. 3 DSGVO aufgelisteten Ablehnungsgründe des Verantwortlichen auf Fälle, in denen durch die Löschung eine Beeinträchtigung von schutzwürdigen Interessen der betroffenen Person anzunehmen ist oder satzungsgemässe oder vertragliche Aufbewahrungsfristen bestehen.
Achtung: Lehnt der Verantwortliche den Löschungsantrag über die personenbezogenen Daten ab, ist er dazu verpflichtet, der betroffenen Person so schnell wie möglich, allerhöchstens einen Monat nachdem er den Antrag erhalten hat, die Gründe für die Ablehnung detailliert mitzuteilen. Neben den einzelnen Gründen muss er auch angeben, dass gegen die Ablehnung ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde besteht oder dass die betroffene Person auf dem gerichtlichen Rechtsweg dagegen vorgehen kann, wenn sie meint, dass die Ablehnung zu Unrecht erfolgt ist (Art. 12 Abs. 4 DSGVO).
Weitere Informationen
-
Gesetzliche Aufbewahrungs- und Löschfristen
Neben der «allgemeinen» Löschfrist, die mit Ende der Notwendigkeit für die Zweckerfüllung eintritt und daher im Einzelfall zu bestimmen ist, bestehen auch gesetzliche Aufbewahrungspflichten und -rechte sowie Löschvorschriften. Diese legen fest, wie lange bestimmte personenbezogene Daten aufbewahrt werden müssen oder maximal aufbewahrt werden dürfen. Muss bei ersteren sichergestellt werden, dass sie über diese ganze Zeit gespeichert bleiben, so ist bei den letzteren denkbar, dass sie im Sinne der Datenminimierung bei Zweckwegfall schon früher gelöscht werden. Eine Liste der gängigsten gesetzlichen Lösch- und Aufbewahrungspflichten in Liechtenstein stellen wir Ihnen hier zur Verfügung.
Ein Verantwortlicher muss entsprechend nicht nur darauf achten, dass er personenbezogene Daten nicht zu lange speichert und zu spät löscht, sondern er muss bei bestehenden gesetzlichen Aufbewahrungspflichten auch darauf achten, dass er sie nicht zu früh löscht. Die Umsetzung eines umfassenden Löschkonzepts kann hierbei unterstützen.
-
Löschen vs. Anonymisieren
Das «Löschen» von Daten bedeutet in der DSGVO, dass die Daten so verändert werden, dass keine Informationsentnahme in Bezug auf die betroffene Person mehr möglich ist. Die Umsetzung dieser Löschung ist daher auf verschiedene Arten möglich, solange am Ende keine personenbezogene Information mehr ableitbar ist. Eine mögliche Variante ist die physische Zerstörung von Datenträgern, auf denen die Daten gespeichert sind, eine andere die Überschreibung der Daten. Nicht ausreichend im Sinne einer Löschung wäre dagegen der blosse Hinweis, dass Daten nicht mehr gelten oder die Entsorgung eines Speichermediums im allgemeinen Müll, wo die Daten nach wie vor von einem möglichen Finder eingesehen werden könnten.
Eine weitere Möglichkeit zur Löschung von Daten ist auch deren Anonymisierung. Dabei wird der Personenbezug so weit entfernt, bis keine Identifizierbarkeit einer Person mehr möglich ist. Die Anonymisierung geht dabei jedoch zumeist über eine Entfernung direkter Identifikatoren wie beispielsweise Name, Adresse, Telefonnummer einer Person hinaus. Sie ist erst dann gelungen, wenn keine Verbindung von den Daten zur betroffenen Person mehr erkennbar oder herleitbar ist.
Hinweis: Bei der Anonymisierung von Daten ist zu beachten, dass unter Umständen neue technische Entwicklungen eine Wiederherstellung des Personenbezugs ermöglichen können. Eine regelmässige Überprüfung der anonymisierten Daten in dieser Hinsicht ist zu empfehlen. In Liechtenstein ergibt sich ausserdem eine besondere Problematik bei der Anonymisierung: Aufgrund der kleinräumigen örtlichen Verhältnisse kann es Fälle geben, in denen vermeintlich alle Personenbezüge gelöscht wurden, die betroffene Person aber weiterhin, z.B. aufgrund ihrer Standortdaten, identifizierbar ist. Es ist im Hinblick auf die Spezialität von Liechtenstein deshalb immer zu überlegen, ob eine Anonymisierung überhaupt möglich ist.
-
Löschkonzept
Um bei den verschiedenen Datenverarbeitungen und gespeicherten Daten in einer Organisation zu vermeiden, dass sich mit der Zeit viele nicht mehr benötigte personenbezogene Daten ansammeln und womöglich eine nicht gesetzeskonforme Verarbeitung dieser Daten stattfindet, empfiehlt es sich, ein umfassendes Aufbewahrungs- und Löschkonzept zu erarbeiten. Mit einem solchen Konzept und der entsprechenden (ggf. automatisierten) Umsetzung in den Prozessen und Systemen einer Organisation kann einer allfälligen unrechtmässigen Datenverarbeitung wirksam vorgebeugt werden.