EuGH verpflichtet Unternehmen zu umfassenden Informationspflichten und organisatorischen Maßnahmen bei Löschbegehren im Datenschutz – Handlungsbedarf und Umsetzung in der Unternehmenspraxis

Überblick

Der Europäische Gerichtshof (EuGH) hat Unternehmen, die personenbezogene Daten verarbeiten
(= Verantwortliche im Sinne der DSGVO) auferlegt, angemessene technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass sie andere Verantwortliche über die Geltendmachung von Betroffenenrechten (Kapitel 3 der DSGVO) informieren.

Bisherige Praxis

Bislang wurden die Verpflichtungen gemäß Art. 19 DSGVO (Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten) eher restriktiv ausgelegt und eine nur begrenzte Verpflichtung der Verantwortlichen angenommen.

Auslegung nach Maßgabe des EuGH-Urteils

Nach dem am 27. Oktober 2022 ergangenen Urteil des EuGH erstreckt sich die Mitteilungspflicht des Art. 19 DSGVO auch auf solche Verantwortliche, von denen personenbezogene Daten empfangen wurden. Es ist dann Aufgabe dieses Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sowohl Empfänger von Daten als auch die ursprüngliche Quelle über den Widerruf zu informieren. Die Verantwortlichen trifft also eine umfassende Informationspflicht über das Löschbegehren eines Betroffenen. Er hat praktisch alle weiteren Beteiligten in der Informationskette über das Löschungsgehren beziehungsweise einen Widerruf der datenschutzrechtlichen Einwilligung in die Verarbeitung und Weitergabe von personenbezogenen Daten einzubinden.

Den Betroffenen steht umgekehrt ein Wahlrecht zu, an welchen Verantwortlichen sie innerhalb einer Verarbeitungskette eine Anfrage richten.

Umsetzung

Diese weite Interpretation des EuGH hat zur Folge, dass Verantwortliche die Einhaltung von der Betroffenenrechten in „alle Richtungen“ sicherstellen müssen. Faktisch bedeutet das eine umfassende Erfassung, woher personenbezogene Daten kommen und an wen sie weitergegeben werden.

Diese Anforderungen lassen sich nur durch eine präzise und aktuelle Dokumentation der fraglichen Prozesse (Daten-Mapping) in einem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und einer begleitenden Organisationsrichtlinie sicherstellen und nachweisen.

Wir haben umfassende Erfahrung in der Gestaltung der vorgeschriebenen Dokumente und wissen wie man diese gesetzeskonform und effektiv – passend zu Ihrer Unternehmenskultur – umsetzen können.

Sprechen Sie uns jederzeit gerne an.