With the entry into force of the GDPR, every person has the right to have personal data concerning him or her deleted without undue delay if the collected data are no longer needed for the specified purposes, if the data subject revokes his or her consent to the processing or objects to the processing of his or her data, or if the personal data have been processed unlawfully (cf. Art. 17 GDPR). What does this mean for your company?
Es bedeutet, dass Personen Anfragen an Ihr Unternehmen stellen und ihr Recht auf Löschung, Berichtigung und Auskunft verlangen dürfen. Der Antrag kann formlos gestellt werden, auch mündlich, und hat unverzüglich erledigt zu werden, spätestens jedoch innerhalb eines Monats ab Aufforderung. Die Frist kann im zwei Monate verlängert werden, sofern die Bearbeitung des Antrags komplex ist und es eine große Anzahl an Anfragen zu bearbeiten gilt. In diesem Fall muss jedoch der Verantwortliche dem Antragsteller die Gründe für die Verzögerung mitteilen.
Um den Antrag ordnungsgemäß bearbeiten zu können, müssen alle Daten wie Name, Telefonnummer, E-Mail-Adresse, Kontaktdaten, Anschrift, der Schriftverkehr, Rechnungen, Verträge etc. ausfindig gemacht werden. Das kann teilweise sehr komplex sein, etwa dann, wenn die Daten unabhängig voneinander in mehreren Abteilungen und verschiedenen Systemen gespeichert sind. Besonders für große Unternehmen kann es sehr schwer sein, die geforderten Daten innerhalb der gesetzlichen Frist zur Gänze zu finden, da es oft mehrere Betriebsstandorte gibt. Eine manuelle Bearbeitung der Anfrage ist äußerst zeit- und kostenintensiv und birgt das Risiko, dass bei einer großen Anzahl an Anfragen zur gleichen Zeit Engpässe entstehen können.
Die Löschung hat grundsätzlich kostenlos zu erfolgen. Ein Entgelt darf nur dann in Rechnung gestellt werden, wenn es sich dabei um offenkundig unbegründete oder insbesondere wegen ihrer Häufigkeit exzessiven Anträgen verlangt werden kann.
Im Anschluss an das Löschungsverfahren ist die betroffene Person über die durchgeführte Maßnahme schriftlich zu informieren. Die Mitteilung muss für den Betroffenen kompakt, transparent und verständlich sein. Elektronische Medien wie z.B. E-Mail können dann verwendet werden, wenn der Antrag elektronisch gestellt wurde. Auf ausdrücklichen Wunsch jedoch ist die Mittelung auf Papier zu überbringen. Eine mündliche Verständigung ist nur dann zulässig, wenn die Identität der Person zweifelsfrei festgestellt wurde.
In case of violation of the rights face fines of up to EUR 20 million or 4% of its total of the annual sales generated worldwide in the previous fiscal year.