Löschen oder nicht löschen, das ist hier die Frage

Wann kann eine Privatperson die Löschung Ihrer Daten fordern?

Gemäss revDSG kann das Recht auf Löschung nur dann ausgeübt werden, wenn die massgeblichen Personendaten nicht mehr für den Zweck, für den sie erfasst wurden, benötigt werden, und dem Recht keine anderen gesetzlichen Aufbewahrungspflichten entgegenstehen (z.B. Steuerdaten, Rechnungsverfolgung, Meldepflichten und Archivierung). 

Wie ist mit Löschanträgen umzugehen?

Natürliche Personen können eine Löschung mündlich oder schriftlich verlangen. Im Allgemeinen muss das Verfahren innerhalb von 30 Tagen abgeschlossen werden. Der Zeitraum wird um 30 Tage verlängert, wenn ein Unternehmen bei der Bereitstellung der Daten noch nicht erfolgreich war.

Wenn das Löschrecht ausgeübt wird, müssen die Unternehmen in der Lage sein, die massgeblichen Daten zu löschen (sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen). Aufgrund beschränkter Systemkapazitäten ist diese Anforderung jedoch nicht immer so leicht zu erfüllen. Tatsächlich gibt es in den bestehenden Systemen häufig Beschränkungen im Hinblick auf die Löschung von Daten, was daran liegen kann, dass die massgeblichen Daten gegebenenfalls eine bedeutende Rolle in der Datenintegrität spielen. Die Komplexität der Systemarchitektur des Unternehmens sowie die Zahl der betroffenen Systeme kann die Erfüllung derartiger Anträge ausserdem erschweren.

Die meisten Unternehmen nutzen fragmentierte Systemarchitekturen und verfügen nicht über einheitliche und/oder ganzheitliche Systembestände. Daten werden nicht nur auf der lokalen Hardware gespeichert, sondern auch in Cloud-Diensten. Aufgrund dessen ist der exakte Ort, an dem die Daten gespeichert und bearbeitet werden (z.B. die genauen Datenquellen sowie Art und Zeitpunkt der Archivierung von veralteten Daten) häufig nicht offensichtlich. Daher birgt die Möglichkeit zur Ausübung des Rechts auf Vergessenwerden einige Herausforderungen.

Eine strategische und automatische Löschfunktion erfordert aus diesem Grund Folgendes:

1. Bestimmung, welche Anwendungen welche Daten-Attribute verarbeiten
2. Verlinkung der Attribute mit der Datensystematik, um Zweck und Rechtsgrundlage zu bestimmen
3. Identifizierung der Datenquelle jeder Anwendung
4. Bereinigung der Archive
5. Aktualisierung der Datenrichtlinien
6. Festlegung der Anforderungen, um sicherzustellen, dass Daten bei Archivierung gelöscht werden
7. Festlegung der Anforderungen für das Archiv, sodass der gesetzliche Aufbewahrungszeitraum der Attribute berücksichtigt wird und auf den Zweck und die Rechtsgrundlage für die Bearbeitung/Speicherung angepasst wird
8. Festlegung der Anforderungen für die Löschung von Personendaten im Archivsystem
9. Gewährleistung, dass es keine Überschneidung von Personendaten zwischen dem Archiv und den betrieblichen Anwendungen gibt

Haben Sie Fragen?

https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de