DSGVO-Urteil: Maskieren von Daten reicht nicht – Löschung ist Pflicht
Georgine Mans
DSGVO-Urteil: Maskieren von Daten reicht nicht – Löschung ist Pflicht
Ein aktuelles Urteil des Düsseldorfer Sozialgerichts hat klarere Maßstäbe für die Löschung von Daten nach der Datenschutz-Grundverordnung (DSGVO) gesetzt. Die Richter stellten unmissverständlich fest, dass das bloße Verbergen personenbezogener Daten den gesetzlichen Anforderungen nicht genügt. Stattdessen müssen Organisationen sicherstellen, dass Daten auf Anfrage unwiderruflich gelöscht werden.
Im Mittelpunkt des Verfahrens stand die Nutzung einer Stammdaten-Software durch die Bundesagentur für Arbeit. Das Gericht urteilte, dass das Maskieren von Daten – selbst bei strengen Zugriffsbeschränkungen – nicht mit Artikel 17 der DSGVO vereinbar ist, der eine unwiderrufliche Löschung verlangt.
Laut Urteil sind technische Einschränkungen künftig kein akzeptables Argument mehr. Unternehmen müssen nun garantieren, dass ihre Systeme Daten vollständig löschen können und sie nicht nur verbergen. Dies gilt sowohl für bestehende Software als auch für zukünftige Beschaffungen. Organisationen, die veraltete Systeme nutzen, sollten prüfen, ob durch Updates die DSGVO-Konformität erreicht werden kann. Bei der Auswahl neuer IT-Lösungen müssen Verantwortliche von vornherein sicherstellen, dass echte Löschfunktionen integriert sind. Das Gericht betonte, dass auch Softwareanbieter in der Pflicht stehen, ihre Produkte DSGVO-konform zu gestalten.
Die Entscheidung unterstreicht, dass für die Bearbeitung von Löschanträgen halbherzige Lösungen nicht ausreichen. Systeme müssen so konzipiert oder angepasst werden, dass sie eine echte, unwiderrufliche Löschung ermöglichen. Andernfalls riskieren Organisationen rechtliche Konsequenzen nach den DSGVO-Vorgaben.
