Spätestens seit dem aufsehenerregenden Bußgeldverfahren gegen die Deutsche Wohnen SE muss für Unternehmen in der Wohnungswirtschaft ein besonderer Fokus auf die Entwicklung und Implementierung eines Löschkonzeptes für personenbezogene Daten gelegt werden.
Die brandenburgische Datenschutzaufsicht hat 2025 bei zehn größeren Wohnungsunternehmen eine anlasslose Prüfung des Umgangs mit Löschverlangen gem. Art. 17 DSGVO durchgeführt und die Ergebnisse nun veröffentlicht.
Die Prüfung offenbarte strukturelle Schwachstellen in mehreren Bereichen:
- Unzureichende Schulungen: Beschäftigte werden nicht regelmäßig zu datenschutzrechtlichen Pflichten geschult. Schriftliche Regelungen allein genügen nicht.
- Fristversäumnisse bei Löschanträgen: Art. 12 Abs. 3 DS-GVO schreibt die Beantwortung von Löschbegehren innerhalb eines Monats vor. Werden formlos geäußerte Anträge von Mitarbeitenden nicht als datenschutzrechtliches Begehren erkannt, beginnen interne Prozesse zu spät.
- Fragmentierte IT-Systeme und fehlende Datenbankübersicht: Es bestehen erhebliche Herausforderungen, die von einem Löschanspruch umfassten Datensätze überhaupt zu identifizieren und sodann Datensatzspezifisch zu löschen.Ohne klare Datenbankstrukturen und deren Abbildung im Verzeichnis der Verarbeitungstätigkeiten ist eine vollständige Löschung faktisch nicht möglich.
- Fehlerhaftes Verständnis der Rechtsgrundlagen: Mehr als die Hälfte der geprüften Unternehmen war nicht dazu in der Lage, Löschgründe (z. B. Widerruf einer Einwilligung vs. Widerspruch gegen die Verarbeitung) sowie die anwendbaren Ausnahmen von der Löschpflicht, etwa nach dem Geldwäschegesetz, ordnungsgemäß anzuwenden.
- Backup-Problematik: Datenlöschungen in Datensicherungen wurden von vielen Unternehmen nicht konsequent umgesetzt. Die Wiederherstellung von Daten aus einem Backup darf zuvor gelöschte Daten nicht wieder sichtbar machen – Backup-Zyklen und -Konzepte müssen datenschutzkonform gestaltet sein.
- Risiken bei der Anonymisierung: Anonymisierung ist kein pauschaler Ersatz für Löschung. Angesichts moderner Re-Identifizierungstechnologien bedarf sie einer sorgfältigen rechtlichen und technischen Prüfung im Einzelfall.
Die Prüfungsergebnisse machen deutlich: Der entscheidende Hebel zur Erfüllung datenschutzrechtlicher Löschpflichten liegt in der technischen und organisatorischen Infrastruktur. Klare Datenbankstrukturen mit nachvollziehbaren Löschpfaden, definierte Aufbewahrungsfristen mit automatisierten Löschroutinen sowie eine backup-konforme Löschstrategie und ein schlanker Prozess zum Umgang mit Löschverlangen Betroffener sind unverzichtbar.
Gerne unterstützen wir Sie dabei.