Besteht das Recht des Betroffenen oder auch die gesetzliche Verpflichtung, die personenbezogenen Daten zu löschen, muss dies nachweisbar dokumentiert werden und dem Betroffenen auf Nachfrage auch zur Verfügung gestellt werde können.
Doch wie zeige ich einem Betroffenen in der Praxis, dass seine E-Mails oder andere seiner personenbezogenen Daten tatsächlich aus den Systemen und Anwendungen gelöscht wurden?
Aufsichtsbehörden und Gerichte erwarten, dass angemessene Maßnahmen ergriffen werden. Im Vorfeld müssen Einstellungen getätigt werden, die die tatsächliche Löschung und nicht nur die Sperrung von Daten und Usern ermöglicht. Nicht ausreichend als Nachweis sind jedenfalls Schreiben die lediglich Sätze wie „Wir haben gelöscht…“ ohne einen Nachweis enthalten.
Folgende Nachweise können rechtlich ausreichend sein:
1. Systeminterne Löschlogs mit Zeitstempel und User-ID
2. Screenshots aus Admin-Panels, die zeigen, dass der Datensatz nicht mehr existiert (vorher/nachher)
3. Konfigurationsdokumentation: „Automatic Purge nach 90 Tagen aktiviert“ + Screenshot
4. Bestätigung vom Cloud-Anbieter
5. Backup-Strategie-Dokument: „Backups werden nach 30 Tagen überschrieben, nicht archiviert“)
6. Versicherung an Eides Statt (als ultima ratio)