Das Recht auf Löschung (Art. 17 DSGVO), auch als „Recht auf Vergessenwerden“ bekannt, ist eines der am häufigsten ausgeübten Betroffenenrechte – und führt bedauerlicherweise regelmäßig zu Beschwerden bei den Datenschutzbehörden. Um die praktische Umsetzung dieses Rechts zu untersuchen und wie etwa Unternehmen mit Löschanfragen umgehen, hat der Europäische Datenschutzausschuss (EDSA) daher nun eine europaweite koordinierte Durchsetzungsmaßnahme, „Coordinated Enforcement Framework“ (CEF), für das Jahr 2025 gestartet. Insgesamt nehmen 32 europäische Datenschutzaufsichtsbehörden, darunter mehrere aus Deutschland, daran teil.
Dazu analysieren die Behörden die eingesetzten Verfahren und vergleichen sie anhand eines europaweit abgestimmten Fragebogens. So sollen Herausforderungen identifiziert, Best Practices ermittelt und Verbesserungen vorgeschlagen werden. Für Unternehmen mit umfangreichen Datenbeständen und komplexen IT-Strukturen kann die datenschutzkonforme Löschung eine echte Herausforderung sein. Wie können Daten klassifiziert werden und wie stellt man sicher, dass Daten wirksam und dauerhaft gelöscht sind? Wie geht man mit Sicherungskopien um? Welche gesetzlichen Aufbewahrungsfristen sind zu berücksichtigen und zu welchem Zeitpunkt müssen welche Daten gelöscht werden? Erst kürzlich haben wir in unserem Blog auf die Herabsetzung der handels- und steuerrechtlichen Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre hingewiesen.
Nach Abschluss der Prüfaktion sollen die gesammelten Erkenntnisse im Rahmen eines Berichts veröffentlicht werden. Die Ergebnisse könnten dazu führen, dass Datenschutzbehörden entsprechende Maßnahmen ergreifen oder Handlungsempfehlungen für Löschverfahren aussprechen, um sicherzustellen, dass das „Recht auf Vergessen“ nicht nur auf dem Papier, sondern auch in der Praxis existiert.
Ihnen als Verantwortliche empfehlen wir die praktische Umsetzung Ihres Löschkonzeptes sicherzustellen und gerne unterstützen wir Sie dabei, dieses aufzusetzen. Denn eine lückenhafte Umsetzung des Rechts auf Löschung könnte bald nicht nur ein Datenschutzproblem, sondern auch ein Compliance-Risiko werden.