Serie Betroffenen-Rechte: Das Recht auf Löschung gem. Art. 17 DSGVO

Nach der Einleitung zu allgemeinen Regelungen des Art. 12 DSGVO sowie den Artikeln zum Auskunftsrecht (Art. 15 DSGVO) und zum Recht auf Berichtigung (Art. 16 DSGVO) ist dies der vierte Beitrag unserer Reihe zu den Betroffenenrechten. In den nächsten Monaten folgen die Artikel zu den weiteren Rechten der betroffenen Personen, welche sich aus der DSGVO ergeben.

Dieser Artikel unserer Reihe befasst sich mit Art. 17 DSGVO: dem Recht auf Löschung, Vergessenwerden. Es handelt sich – anders als der Wortlaut zunächst vermuten lässt – nicht nur um ein Recht der betroffenen Person, wenn diese die Löschung verlangt, sondern auch um eine Pflicht des Verantwortlichen, wenn kein Grund (mehr) zur Verarbeitung vorliegt. In diesem Fall sind die Daten unverzüglich zu löschen. Dies erfordert insbesondere, dass Speicherfristen definiert und auf das erforderliche Minimum (bzw. gesetzliche Vorgaben) beschränkt sind. Diese Fristen sind auch Pflichtinhalt des Verzeichnisses von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO.

Nur für elektronische Daten?

Bei dem Begriff „Löschung“ könnte man zunächst denken, dass Art. 17 DS-GVO nur für elektronische Daten gilt, denn insbesondere umgangssprachlich assoziiert man mit „Löschung“ für gewöhnlich nur die elektronische Datenverarbeitung. Interessanterweise gelten die Regelungen nicht nur für die automatisierte Verarbeitung, sondern auch für die nicht automatisierte Verarbeitung, sofern zusätzlich die Voraussetzung gegeben ist, dass die Daten bereits in einem Dateisystem gespeichert sind oder zumindest dort gespeichert werden sollen. Der Begriff „Dateisystem“ bedeutet nicht, dass es sich ausschließlich um IT-Systeme handelt. Vielmehr umfasst der Begriff „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind.“ Das können zum Beispiel ein Aktenordner mit nach einem bestimmten System abgelegten Dokumenten oder Personalakten mit Schriftstücken aus Papier sein.

Was bedeutet „unverzüglich“?

Unverzüglich ist gemäß § 121 BGB als ein Handeln ohne schuldhaftes Zögern definiert. Die Rechtsprechung hat gezeigt, dass Zeitvorgaben zwar je nach Art der gespeicherten Daten unterschiedlich festgelegt werden, die Auslegung aber eher eng im Sinne einer schnellen Löschung erfolgt. Allerdings gilt die Pflicht zur unverzüglichen Löschung nur für die Löschpflicht des Verantwortlichen und nicht für die Erfüllung von Löschungsverlangen einer betroffenen Person. Hier bemisst sich die Frist nach 12 Abs. 3 DSGVO: Den Ansprüchen der betroffenen Person muss innerhalb eines Monats nachgekommen worden sein. Eine Verlängerung dieser Frist ist zwar einmalig möglich, wäre aber zu begründen.

Können betroffene Personen die Löschung jeglicher Daten verlangen?

Wir möchten in diesem Artikel auch auf eines der größten und häufigsten Missverständnisse der betroffenen Personen eingehen: Nein, das Recht auf Löschung personenbezogener Daten ist nicht bedingungslos. Es gibt sogar zahlreiche Einschränkungen dieses Rechts und häufig muss oder darf der Verantwortliche die Daten trotz eines entsprechend geäußerten Wunschs der betroffenen Person nicht löschen.

Um zu prüfen, ob Daten aufgrund einer Betroffenenanfrage gelöscht werden müssen, sind einige Punkte zu prüfen. Liegt beispielsweise ein Widerruf einer Einwilligung vor oder können die (legitimen) Zwecke, für die die personenbezogenen Daten erhoben worden sind, auch ohne Kenntnis dieser Daten bzw. ohne einen Personenbezug dieser Daten erfüllt werden, so sind die Daten in der Regel zu löschen. In Ausnahmefällen kann die Verarbeitung aufgrund einer zulässigen Zweckänderung auf eine andere Rechtsgrundlage gestützt werden, mit der Folge, dass die Pflicht zur Löschung nicht besteht.

Aber Vorsicht! Die Erforderlichkeit der Datenverarbeitung für die neuen Zwecke muss gegeben sein und alle weiteren Normen aus der DSGVO gelten weiterhin, wie beispielsweise die Informationspflichten gemäß Art. 13 und 14 DSGVO gegenüber den betroffenen Personen.

Der Verantwortliche stellt der betroffenen Person Informationen über die ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann nur in seltenen und der betroffenen Person gegenüber zu begründenden Fällen um weitere zwei Monate verlängert werden.

Was, wenn Gründe der Löschung entgegenstehen?

Viel häufiger ist es allerdings gar nicht möglich oder zulässig zu löschen, selbst wenn die betroffene Person dies wünscht. Das kann beispielsweise der Fall sein, wenn der Löschung gesetzliche Aufbewahrungsfristen entgegenstehen. Eine Möglichkeit, wie man aus dieser Zwickmühle herauskommt, lesen Sie übrigens in unserem nächsten Blog-Beitrag dieser Serie zum Thema „Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung“. Dort wird erläutert, unter welchen Umständen die Datenverarbeitung eingeschränkt wird und was diese „Einschränkung der Verarbeitung“ bedeutet.

Es gibt noch weitere Ausnahmen, die einer Löschung entgegenstehen können. So zum Beispiel, wenn die personenbezogenen Daten

zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
zur Erfüllung einer rechtlichen Verpflichtung,
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit,
für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke,
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

verarbeitet werden.

Ist eine Löschung nicht möglich, oder wird dem Löschungsverlangen aus anderen Gründen nicht nachgekommen, so muss dieses der betroffenen Person inklusive der Begründung mitgeteilt werden. Bedauerlicherweise ist vielen betroffenen Personen der Umstand, dass eine Löschung häufig nicht möglich ist, nicht bekannt, so dass es in der Folge zu eigentlich unnötigen Beschwerden bei den Aufsichtsbehörden kommt. Wir hoffen, mit diesem Artikel auch hier etwas Aufklärungsarbeit zu leisten.

Was bedeutet Vergessenwerden?

Wir kommen noch einmal zurück auf die Überschrift dieses Artikels, zum Recht auf Löschung und Vergessenwerden. Zum zweiten Teil des Themas „Vergessenwerden“ haben wir bislang noch nichts geschrieben.

Das Recht auf Vergessenwerden geht noch weiter als das (einfachere) Recht auf Löschung. Wenn der Verantwortliche Daten nämlich öffentlich gemacht hat, und zu deren Löschung verpflichtet ist, hat er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen, um die Empfänger dieser Daten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Hierzu hat der Europäische Gerichtshof mit der sogenannten „Google-Spain-Entscheidung“ den betroffenen Personen das Recht zugesprochen, sich unmittelbar an Suchmaschinenbetreiber wie Google zu wenden und die Entfernung des Links aus der Ergebnisliste zu erwirken.

Wichtig ist hier die Voraussetzung für das Recht auf Vergessenwerden: Der Verantwortliche muss die Daten öffentlich gemacht haben. Die Anforderungen an die „Öffentlichmachung“ sind niedrig anzusetzen. Es reicht vermutlich schon aus, die Daten an Dritte übermittelt zu haben. Es ist dabei aber auch zu beachten, dass die Ansprüche der betroffenen Person nicht gegenüber den Empfängern durchzusetzen sind, sondern diese müssen lediglich über den Löschungswunsch informiert werden. Den Verantwortlichen trifft hinsichtlich der Umsetzung der Löschung durch die Dritten keine Garantenstellung gegenüber der betroffenen Person.

Was bedeutet eigentlich „Löschen“?

Es gibt einen begrifflichen Unterschied zwischen dem Löschen und der Vernichtung der Daten. Bei der Vernichtung werden Daten rückstandslos beseitigt. Bei der Löschung können Rückstände erhalten bleiben. Es muss allerdings darauf geachtet werden, dass weder der Verantwortliche selbst noch ein Dritter, ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Das Löschen ist also sozusagen die kleine Schwester der Vernichtung.

Beim Löschen ist stets an alle Daten zu denken. Also auch an Daten aus Backups oder Daten auf mobilen Geräten.

Dokumentation und „Restarbeiten“

Auch bei dem Recht auf Löschung und Vergessenwerden sollte das Thema Dokumentationspflichten nicht außer Acht gelassen werden. Wir empfehlen neben einem definierten Prozess auch die zugehörigen Dokumentvorlagen für die Kommunikation, die eigentliche Löschung und Information des Betroffenen und auch für die Dokumentation vorzuhalten und zentral zur Verfügung zu stellen. Darüber hinaus müssen alle möglicherweise betroffenen Mitarbeiter sensibilisiert werden. Sofern dies noch nicht passiert ist, empfehlen wir dies so schnell wie möglich nachzuholen, denn jede Anfrage einer betroffenen Person birgt auch das Risiko einer Beschwerde bei einer Aufsichtsbehörde für den Datenschutz und als Folge die Prüfung durch die Behörde, sei die Beschwerde nun berechtigt oder nicht.

Sind Sie unsicher wie das Thema DSGVO-konform anzugehen ist? Dann kontaktieren Sie uns gerne!

Dieser Artikel ist Teil unserer Reihe zu den Betroffenen-Rechten. Die anderen finden Sie hier: