§§ 20, 35 BDSG: Recht auf Löschung & Sperrung von Daten
Von bussgeldkatalog.org, letzte Aktualisierung am: 16. November 2020
§§ 20, 35 BDGS: Berichtigung, Löschung und Sperrung von Daten
Wenn öffentliche oder nicht-öffentliche Stellen wie Unternehmen und Behörden personenbezogene Daten erheben, verarbeiten oder nutzen, müssen sie dabei den Datenschutz einhalten.
Dabei regelt das Bundesdatenschutzgesetz nicht nur, unter welchen Voraussetzungen Daten erhoben und verarbeitet werden dürfen, sondern auch wann die verantwortlichen Stellen verpflichtet sind, diese Informationen unter bestimmten Voraussetzungen zu löschen oder zu sperren.
Dieser Ratgeber befasst sich insbesondere mit den folgenden Fragestellungen: Wann müssen datenverarbeitende Stellen personenbezogene Daten berichtigen? Wann besteht im Datenschutz ein Recht auf Löschung der Daten? Und wie unterscheidet sich die Löschung von der Sperrung?
Inhaltsverzeichnis:
FAQ: Recht auf Sperren & Löschen von Daten
Bei der Löschung von etwa personenbezogene Daten werden diese tatsächlich gelöscht. Handelt es sich lediglich um eine Sperrung, bleiben die Daten erhalten, werden aber unzugänglich gemacht. Denn einige Informationen müssen für eine bestimmte Aufbewahrungsfrist erhalten bleiben, wie bspw. Rechnungen.
Das BDSG schreibt vor, dass Daten gelöscht werden müssen, wenn der Zweck, zu dem sie abgespeichert wurden, erfüllt ist oder diese etwa unzulässig erhoben wurden.
Ja! Sie können Ihr Recht auf das Löschen oder Sperren von Daten auch im Online-Bereich durchsetzen.
Wann besteht ein Recht auf Datenlöschung und Sperren von Daten?
In bestimmten Fällen müssen gespeicherte personenbezogene Daten gesperrt oder gelöscht werden. Denn grundsätzlich dürfen Daten nicht unbegrenzt gespeichert werden.
In welchen Fällen datenverarbeitende Stellen personenbezogene Daten sperren oder löschen müssen, ist für nicht-öffentliche Stellen in § 35 Bundesdatenschutzgesetz (BDSG) und für öffentliche Stellen im BDSG in § 20 geregelt.
Berichtigung falscher oder veralteter Daten
Wenn die Daten offensichtlich falsch oder veraltet sind, muss die verantwortliche Stelle diese gemäß Absatz 1 der §§ 20, 35 BDSG korrigieren.
Recht auf Löschung personenbezogener Daten
In folgenden Fällen müssen die Daten gelöscht werden:
- bei einer unzulässigen Erhebung, wenn der Betroffene der Erhebung oder Datenverarbeitung nicht zugestimmt hat, wenn eine Rechtsgrundlage für die Erhebung fehlt oder wenn eine Zweckbindung fehlt
- wenn der Zweck der Datenerhebung und Speicherung erfüllt wurde
- Nicht-öffentliche Stellen müssen „besondere Arten personenbezogener Daten“ im Sinne von § 3 Abs. 9 BDSG löschen. Hierunter fallen z. B. die rassische und ethnische Herkunft, politische und religiöse Auffassungen.
- Nicht-öffentliche Stellen müssen die Daten auch dann löschen, wenn sich der Zweck der Datenerhebung erledigt hat (Zweckentfremdungsverbot).
- Daten, die zum Zweck der Übermittlung erhoben wurden, müssen nach Ablauf der Speicherfrist gelöscht werden. In der Regel endet diese Frist mit Ablauf des dritten oder vierten Kalenderjahres.
Allerdings müssen nicht alle Daten unverzüglich gelöscht werden. Verschiedene Gesetze schreiben den verantwortlichen Stellen eine bestimmte Aufbewahrungsfrist vor. Solange diese Frist läuft, besteht keine gesetzliche Pflicht zur Löschung.
Hierzu gehören zum Beispiel Aufbewahrungsfristen für:
- Jahresabschlüsse und Bilanzen (10 Jahre)
- ärztliche Dokumente (10 Jahre, teilweise sogar bis zu 30 Jahre)
- Rechnungen (2 Jahre)
Sperrung statt Löschung von Daten
Im Falle einer Sperrung bleiben die Daten bestehen. Sie werden nicht gelöscht. Stattdessen haben die Verantwortlichen diese unzugänglich aufzubewahen, sodass Mitarbeiter keinen Zugfriff mehr haben. Die Daten werden entsprechend gekennzeichnet und ihre weitere Verarbeitung eingeschränkt.
Eine solche Sperrung hat nicht in Bezug auf die erwähnten Aufbewahrungsfristen zu erfolgen, sondern auch in folgenden Fällen:
- Es ist anzunehmen, dass eine Löschung eine Beeinträchtigung schutzwürdiger Interessen des Betroffenen nach sich zieht oder
- die Löschung aufgrund der besonderen Speicherart nicht möglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde.
Zwar sind die öffentlichen und nicht-öffentlichen Stellen verpflichtet, von sich aus zu prüfen, ob die Daten datenschutzkonform genutzt werden und ob Verjährungsfristen und die Zweckbindung eingehalten werden. Trotzdem soll dem Betroffenen mit diesen Regelungen eine gewisse Kontrolle über die Einhaltung des Datenschutzes gegeben werden.
Verfasse einen neuen Kommentar