Recht auf Löschung 1

Recht auf Löschung (Art. 17 DS-GVO)

Mehr und mehr Daten werden von uns erhoben, gespeichert und gelangen in Umlauf. Dies geschieht bei der eigenen Nutzung von Smartphones, Computern, Navigationsgeräten oder Sprachassistenten, aber auch wenn Geräte anderer uns erfassen. Wir sind auf Fotos oder Videos im Hintergrund zu sehen oder werden durch Überwachungskameras erfasst. Unsere Daten werden im Alltag abgefragt und dokumentiert (z. B. bei einem Arztbesuch oder einer Warenbestellung). Oft werden dabei Daten auch an Dritte weitergegeben, beispielsweise wenn Unternehmen für verschiedene Aufgaben externe Dienstleister einsetzen. Umso wichtiger ist es, dass die Möglichkeit besteht, diese Daten wieder löschen zu lassen. Und genau deswegen haben Personen, deren personenbezogene Daten verarbeitet werden, ein Recht auf Löschung ihrer Daten (Art. 17 DS-GVO). In diesem Blogbeitrag informieren wir, was das Recht auf Löschung in der Datenschutz-Grundverordnung (DS-GVO alles mit sich bringt und worauf unbedingt zu achten ist. Nicht jedem Löschverlangen kann oder darf dabei nachgegangen werden.

Wann sind personenbezogene Daten zu löschen (Art. 17 DS-GVO)?

Personenbezogene Daten sind unverzüglich zu löschen, wenn…

… Daten unrechtmäßig verarbeitet wurden

Eine unrechtmäßige Verarbeitung liegt dann vor, wenn keine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO vorliegt.

… der Zweck, für den die Daten erhoben wurden, nicht mehr vorhanden ist

Beispiel: Die Daten wurden erhoben, da sich eine Person im Unternehmen beworben hat. Die Stelle wird aber anderweitig besetzt. Demnach sind die Daten zu löschen, sofern keine explizite Einwilligung des Bewerbers zur Aufnahme in einen Bewerberpool, eine weitere Aufbewahrung, vorliegt. Ein Bewerberpool enthält die Daten ehemaliger Bewerber und erlaubt, dass die Daten zu einem späteren Zeitpunkt nochmals angesehen und der Bewerber kontaktiert werden darf.

… Die Erlaubnis zur Verarbeitung auf einer Einwilligung beruhte, die der Betroffene nun widerrufen hat und keine Rechtsgrundlage vorliegt, die die weitere Verarbeitung erlaubt oder verlangt

Beispiel: Eine Person hat eingewilligt, einen Newsletter zu erhalten. Seine Einwilligung widerruft die Person, indem sie auf den Abmelde-Link am Ende des Newsletters geklickt hat. Dadurch liegt keine Erlaubnis zur rechtmäßigen Verarbeitung der Daten mehr vor.

… der Betroffene Widerspruch gegen die Verarbeitung einlegt (Art. 21 DS-GVO)

… und keine anderweitige Rechtsgrundlage nach Art. 6 DS-GVO und Art. 9 DS-GVO vorliegt und die Verarbeitung nicht erforderlich ist nach Art. 17 Abs. 3 DS-GVO.

… die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist

Beispiel: Eine Person kauft in einem Onlineshop ein und gibt dabei personenbezogene Daten, wie z. B. Name, Adresse, E-Mail-Adresse an. Der Betreiber des Onlineshops hat seinen Unternehmenssitz in Deutschland. Nach Abschluss der Bestellung und Ablauf der gesetzlichen Aufbewahrungsfrist, ist der Shop-Betreiber verpflichtet, diese Daten unverzüglich zu löschen.
Da der Betreiber des Onlineshops seinen Unternehmenssitz in Deutschland hat, muss er sich sowohl an die Gesetze in Deutschland, als auch an Vorgaben auf europäischer Ebene halten.
Die europäische DS-GVO gibt vor, dass die Daten zu löschen sind, sobald der Zweck entfallen ist, für welchen sie erhoben worden sind. Das in Deutschland – also auf nationaler Ebene – geltende Bundesdatenschutzgesetz, schreibt jedoch vor, dass einzelne Daten eine bestimmte Zeit lang aufzubewahren sind: Die Aufbewahrungsfrist für Rechnungen beträgt in Deutschland 10 Jahre. Der Shop-Betreiber kann die Daten also nicht direkt nach Kauf löschen, sondern muss sie 10 Jahre lang aufbewahren. Grund dafür ist, dass die DS-GVO sogenannte Öffnungsklauseln hat, die es erlauben, nationalen Gesetzgebern an konkreten Stellen speziellere Normen zu verabschieden.

… es sich um ein Kind im Zusammenhang mit Onlinediensten handelt

Dienste der Informationsgesellschaft umfassen unter anderem Internetdienste, Online-Dienste, Social Medien oder E-Commerce-Angebote. Wenn in diesem Zusammenhang personenbezogene Daten eines Kindes verarbeitet werden, sind besondere rechtliche Bedingungen zu beachten (Art. 8 DS-GVO). Liegen diese nicht mehr vor, sind die Daten zu löschen.

Wann sind Daten nicht zu löschen?

Es gibt diverse Ausnahmen, wann Daten nicht zu löschen sind (Art. 17 Abs. 3 DS-GVO):

  • Die Daten sind weiterhin zur Erfüllung einer rechtlichen Verpflichtung erforderlich, 
    (siehe dazu oben genanntes Beispiel Onlineshop – Aufbewahrungsfrist Rechnungen).
  • Die Daten werden zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
  • Der Verantwortliche hat Grund zur Annahme, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt werden.
  • Die weitere Verarbeitung der Daten ist erforderlich, um das Recht auf freie Meinungsäußerung und Information auszuüben zu können.
  • Die Daten werden benötigt, um öffentliche Gewalt auszuüben, die dem Verantwortlichen übertragen wurde. (Beispiel: Verarbeitung von personenbezogenen Daten durch die Polizei zur Aufrechterhaltung der öffentlichen Sicherheit.)
  • Die Daten werden benötigt, um eine Aufgabe im öffentlichen Interesse im Gesundheitsbereich wahrzunehmen. (Beispiel: Verarbeitung von Gesundheitsdaten durch das Gesundheitsministerium, um die Ausbreitung einer schwerwiegenden Krankheit zu überwachen und Maßnahmen zur öffentlichen Gesundheit zu ergreifen.)
  • Weitere Gründe des öffentlichen Interesses: Archivzwecke, wissenschaftliche oder historische Forschungszwecke, statistische Zwecke (Näheres hierzu ergibt sich aus Art. 89 DS-GVO in Kombination mit Art. 17 DS-GVO).
  • Es kann auch davon abgesehen werden, Daten zu löschen, wenn aufgrund der besonderen Art der Speicherung, die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand durchgeführt werden könnte und das Interesse der betroffenen Person als gering zu werten ist (§ 35 BDSG). Die Regelung gilt nicht für automatisierte Datenverarbeitungen.

Eben solche Ausnahmen erschweren die praktische Umsetzung in Organisationen.

Wer muss über die Löschung informiert werden?

Müssen die personenbezogenen Daten gelöscht werden, so muss der Verantwortliche prüfen, ob er die Daten öffentlich gemacht hat.

Ist dies der Fall, so muss er angemessene Maßnahmen treffen, um andere Verantwortliche, welche die personenbezogenen Daten ebenfalls verarbeiten, darüber zu informieren, dass eine betroffene Person die Löschung dieser personenbezogenen Daten verlangt hat.

Die Maßnahmen, welche der Verantwortliche dazu ergreifen muss, sind unter Berücksichtigung der verfügbaren Technologie und angemessener Implementierungskosten zu wählen (Art. 17 Abs. 2 DS-GVO).

Wie können Betroffene von Ihrem Recht Gebrauch machen?

Es gibt hier keine Vorschriften bezüglich der Form: Betroffene können sich per E-Mail, Brief oder mündlich an den Verantwortlichen wenden und die unverzügliche Löschung ihrer Daten fordern.

Der Verantwortliche sollte jedoch darauf achten, dass er nachweisen kann, dass er fristgerecht und gesetzeskonform gehandelt und mit dem Betroffenen kommuniziert hat (z. B. Versand einer Eingangsbestätigung, Mitteilung der Fristverlängerung). Angesichts dessen empfiehlt sich der Weg per Post oder E-Mail.

Wichtig ist, dass der Verantwortliche fristgerecht und korrekt agiert.

Nur in Ausnahmefällen (wie z. B. exzessiven Anfragen) können Kosten geltend gemacht werden.

Wie sollte vorgegangen werden?

Beim Eingang von Löschverlagen ist zunächst zu prüfen, ob die anfragende Person, tatsächlich auch die betroffene Person ist, für welche sie sich ausgibt.

Anschließend ist zu prüfen, ob die Daten wirklich gelöscht werden dürfen. Wenn dies der Fall ist, sind die Daten unverzüglich zu löschen. Wurden Daten veröffentlicht oder an Dritte weitergegeben, so sind diese ebenfalls über das Löschverlangen zu informieren.

Die Löschung ist zu dokumentieren, da eine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO vorliegt.

Unabhängig davon, ob Betroffene ihre Rechte geltend machen oder nicht, müssen Verantwortliche in den oben aufgeführten Fällen personenbezogene Daten löschen. 

Kommen Verantwortliche dem nicht nach, drohen empfindliche Bußgelder. Angesichts dessen ist empfehlenswert, dass Verantwortliche ein Löschkonzept für ihr Unternehmen erstellen. Hierbei unterstützt die Norm DIN 66398.

Termin zu Cookie-Banner vereinbaren

Interesse an mehr Information? Dann vereinbaren Sie hier einfach einen für Sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.