Der Europäische Datenschutzausschuss (EDSA) plant für das erste Halbjahr 2025 eine koordinierte Durchsetzungsmaßnahme zur Überprüfung der Umsetzung des Rechts auf Löschung (auch bekannt als „Recht auf Vergessenwerden“) gemäß Artikel 17 der Datenschutz-Grundverordnung (DSGVO).
Hintergrund
Das Recht auf Löschung ist eines der am häufigsten genutzten Datenschutzrechte und führt häufig zu Beschwerden bei Datenschutzbehörden. Ziel der koordinierten Aktion ist es, die praktische Umsetzung dieses Rechts durch Verantwortliche zu bewerten. Dies soll unter anderem durch die Analyse und den Vergleich der von verschiedenen Verantwortlichen eingerichteten Verfahren erfolgen, um die wichtigsten Herausforderungen bei der Einhaltung dieses Rechts zu identifizieren und bewährte Praktiken zu ermitteln.
Ablauf
Die Datenschutzbehörden der EU-Mitgliedstaaten werden sich dieser Aktion auf freiwilliger Basis anschließen. Die Ergebnisse der nationalen Maßnahmen werden anschließend zusammengeführt und gemeinsam analysiert, um tiefere Einblicke in das Thema zu gewinnen und gezielte Folgemaßnahmen auf nationaler und EU-Ebene zu ermöglichen.
Bedeutung für Unternehmen
Unternehmen sollten sicherstellen, dass sie effektive Verfahren zur Umsetzung des Rechts auf Löschung etabliert haben. Dies umfasst klare Prozesse für die Entgegennahme und Bearbeitung von Löschanfragen sowie Mechanismen zur regelmäßigen Überprüfung und Löschung nicht mehr benötigter personenbezogener Daten. Die bevorstehende koordinierte Durchsetzungsmaßnahme unterstreicht die Bedeutung dieses Themas und die Notwendigkeit für Unternehmen, ihre Datenschutzpraktiken entsprechend zu überprüfen und anzupassen.
Bedeutung für Schnittstellen
▶️ Implementierung automatisierter Lösch- und Anonymisierungsprozesse
Das User Interface jeder byteLoop Schnittstelle ermöglicht es Benutzern mit entsprechenden Rechten nachzuvollziehen, welche Datenlieferungen und Datensätze verarbeitet werden. Bei jedem unserer Interfaces gibt es daher die Möglichkeit, in den Datenmodellen die einzelnen Informationen/Felder bezüglich der Datensensibilität zu klassifizieren. So ist es möglich, z.B. die Einsicht dieser Daten im User-Interface an Berechtigungen zu knüpfen und es ist jederzeit möglich, über eine API oder zeitgesteuert sensible (oder auch alle) Informationen zu löschen oder zu pseudonymisieren.
▶️ Integrierte Datenschutz und Sicherheitsfunktionen (z.b. Pseudonomysierung für Testsysteme)
Standardmäßig ist es möglich, für bestimmte Szenarien Filter auf die sensiblen Informationen anzuwenden. Beispielsweise lässt es sich für die Schnittstelle zu Testsystemen definieren, dass bestimmte Felder eines Personalstamms pseudonymisiert oder mit Zufallswerten an ein anderes System übermittelt werden.
▶️ Datenschutz Auditing Tools zur Nachverfolgung, welche personenbezogenen Daten verarbeitet werden
Über das User Interface ist stets einsehbar, bei welchen Schnittstellen personenbezogene Daten verarbeitet werden und wer darauf Zugriff hat.
▶️ Monitoring und Log Management mit Möglichkeit zur Markierung/Löschung personenbezogener Daten
Standardmäßig enthalten Logs keine personenbezogenen Daten. Die Information darüber, was personenbezogene Daten sind, erhalten unsere Schnittstellen automatisch aus der einmalig bereitgestellten Klassifizierung der Daten auf Feldebene.
▶️ Backups und Disaster Recovery mit DSGVO Fokus
Auch Schnittstellen benötigen Backups. Die meisten persistenten Daten sind allerdings nicht personenbezogen sondern betreffen Einstellungen und Konfigurationen. Sollte es in Ausnahmefällen nötig werden, personenbezogene Daten persistent zu speichern, z.B. um die Schnittstelle zu befähigen, Datenveränderungen im Vergleich zu einem anderen Zeitpunkt festzustellen, dann stellen wir sicher, dass sensible Informationen auch aus Backups gemäß Artikel 17 gelöscht werden können.
Unser Versprechen: Bei jeder bei uns beauftragten Schnittstelle kümmern wir uns proaktiv um diese Punkte! Sie bekommen ein Interface, welches nicht nur sicher und zuverlässig ist, sondern den Vorgaben von Artikel 17 der DSGVO entspricht.
▶️ Schnittstellen zur gezielten Umsetzung des „Rechts auf Vergessenwerden“
Unabhängig von bereits fertig implementierten Schnittstellen unterstützen wir Sie dabei, gezielte Löschanfragen auf verschiedenste Systeme zu verteilen um das „Recht auf Vergessenwerden“ systemübergreifend umzusetzen.
Mehr zur koordinierten Aktion des European Data Protection Board:
CEF 2025: EDPB selects topic for next year’s Coordinated Action | European Data Protection Board
