In unserer Beratungspraxis sind wir in letzter Zeit immer wieder auf Löschanfragen gestoßen, die unsere Mandaten über den Dienst Say Mine („Mine“) der Say Mine Technologies Ltd. erhalten haben. In diesem Beitrag möchten wir Sie darüber informieren, was sich hinter dem Dienst verbirgt und was Sie im Fall einer solchen Anfrage beachten müssen.

Bleistift

Was ist Mine?

Die Say Mine Technologie Ltd. ist ein Start-Up aus Israel, welches sich zur Aufgabe gemacht hat, Internetnutzern mehr Kontrolle über ihre Daten zu geben. Kernbestandteil von Mine ist die Geltendmachung von Löschbegehren gegenüber Unternehmen. Über Mine können Nutzer zunächst herausfinden, bei welchen Unternehmen personenbezogene Daten gespeichert sind und im Anschluss das Recht auf Löschung gegenüber diesen Unternehmen einfordern. Hierzu müssen die Nutzer Mine Zugang zu ihrem E-Mail-Account einräumen, damit die Software des Dienstleisters den sogenannten „digital footprint“ analysieren kann. Die Zustellung der Löschanfragen wird anschießend durch Mine im Namen des Nutzers übernommen.

Wie funktioniert Mine?

Update 19.08.2020:
Seit einigen Wochen hat Mine das Vorgehen verändert bzw. verbessert. Die Löschanfragen werden seitdem nicht mehr von request@saymine.com sondern direkt von der persönlichen E-Mail-Adresse des Nutzers an die Unternehmen gesendet.

Löschanfragen von Mine werden automatisiert erstellt und von request@saymine.com per E-Mail versendet. In der Überschrift der Anfragen befindet sich die Information, von welcher betroffenen Person die Löschanfrage initiiert wurde: „Personal data erasure from XXX“. Der Nutzer wird als zusätzlicher Adressat in CC angeschrieben. Weitere Korrespondenz soll anschließend allein an die E-Mail des Nutzer gesendet werden. Mine übernimmt somit allein die Löschanfrage im Namen des Nutzers.

Wie sollten Unternehmen auf die Löschanfrage reagieren?

Alle Betroffenenrechte, zu denen gemäß Art. 17 DSGVO auch das Recht auf Löschung gehört, sollten von Unternehmen sehr ernst genommen werden. Eine Nicht-Beantwortung kann nämlich dazu führen, dass die betroffene Person sich bei der zuständigen Aufsichtsbehörde beschwert, die wiederum das Versäumnis mit weiteren Sanktionen quittieren kann. Um Löschanfragen innerhalb der im Gesetz vorgegebenen Frist von einem Monat beantworten zu können, sollten Unternehmen feste Prozesse und klare Zuständigkeiten für die Beantwortung der Betroffenenrechte festlegen. Bei der Beantwortung von Löschanfragen von Mine gibt es zwei Besonderheiten, die Sie im Vergleich zu „üblichen“ Löschanfragen zusätzlich beachten sollten:

1. Prüfung der Berechtigung von Mine

Update 19.08.2020:
Dieser erste Schritt kann nun entfallen, da der Löschanspruch direkt vom Nutzer selbst und nicht mehr von Mine geltend gemacht wird.

Das Recht auf Löschung ist ein höchstpersönliches Recht, das in erster Linie nur von der betroffenen Person selbst wahrgenommen werden kann. Es besteht die Möglichkeit, Dritte mit der Geltendmachung zu beauftragen, hierzu ist allerdings eine gültige Vollmacht erforderlich. Hintergrund ist, dass der Wunsch auf Löschung dem tatsächlichen Willen der betroffenen Person entsprechen muss.Um nicht den komplizierten Weg der Prüfung dieser Vollmacht gehen zu müssen, empfehlen wir zunächst per E-Mail an den Antragsteller heranzutreten und um eine Bestätigung der Löschanfrage von Mine zu bitten. Achten Sie dabei darauf, dass Sie allein die Nutzer-E-Mail aus Ihrer Datenbank verwenden. Auf diese Weise kann sichergestellt werden, dass die Löschung der Daten tatsächlich gewünscht ist.

2. Prüfung der Identität des Antragstellers

Wenn Sie die Bestätigung der betroffenen Person erhalten haben, prüfen Sie im nächsten Schritt die Identität des Anfragenden, um sicherzustellen, dass kein Identitätsdiebstahl vorliegt. Wenn Zweifel an der Identität des Antragstellers bestehen, sollten Sie ggf. weitere Informationen beim Betroffenen abfragen (z.B. Kundennummer). Erst nach erfolgreicher Identifizierung kann die Bearbeitung der Löschanfrage Ihren gewohnten Gang gehen. Sind die Voraussetzungen für einen Löschanspruch tatsächlich erfüllt, müssen die Daten gelöscht werden. Dem Betroffenen ist die Löschung entsprechend zu bestätigen.

Vorsicht bei gesetzlichen Aufbewahrungspflichten

Sofern Sie mit dem Betroffenen eine laufende Vertragsbeziehungen pflegen oder Sie in der Vergangenheit Verträge mit der Person geschlossen haben, müssen Sie ggf. die gesetzlichen Aufbewahrungspflichten beachten. Alle darunterfallenden Informationen sind erst nach Ablauf der gesetzlichen Fristen zu löschen. Dies gilt auch dann, wenn der Betroffene explizit die Löschung von Daten einfordert. Halten Sie hierzu immer Rücksprache mit Ihrem Datenschutzbeaufgtragten.

Fazit

Löschanfragen sind, egal ob Sie vom Betroffenen selbst oder von Dritten gestellt werden, von jedem Verantwortlichen ernst zu nehmen. Insbesondere im B2C Geschäft ist ein fester Prozess zur Beantwortung von Löschanfragen unabdinglich. Bei Anfragen, die über Drittanbieter eingehen, muss geprüft werden, ob der Anbieter über die notwendige Berechtigung verfügt und die Löschung dem tatsächlichen Willen der betroffenen Person entspricht. Prüfen Sie daher immer die Identität des Antragstellers, um sicherzustellen, dass keine falschen Daten gelöscht werden.

Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.