Das Recht auf Vergessenwerden bzw. die Löschungspflicht nach DSGVO

Fachbeitrag

Mit Art. 17 DSGVO findet das Recht auf Vergessenwerden kodifizierten Einzug in das europäische Datenschutzrecht. Dabei handelt es sich um ein umfassendes Recht auf Löschung. Das Recht auf Löschung ist zwar nicht neu, gleichwohl gibt es viel Neues zu beachten. Einzelheiten zum Recht auf Vergessenwerden finden Sie deshalb in diesem Artikel.

Entscheidung des EuGH zum Recht auf Vergessenwerden

Das Recht auf Vergessenwerden ist mit der Entscheidung des Europäischen Gerichtshofs vom 13.05.2014 (EuGH C 131/12) stark in den Fokus der Öffentlichkeit gerückt.

Der Spanier Maria Costeja Gonzales bekam über die Suchmaschine Links zu zwei Seiten der Tageszeitung La Vanguardia vom 19. Januar bzw. 9. März 1998 angezeigt, die unter Nennung seines Namens auf die Versteigerung eines Grundstücks im Zusammenhang mit einer wegen Forderungen der Sozialversicherung erfolgten Pfändung hingewiesen hatte. Herr Costeja González beantragte bei der spanischen Datenschutzbehörde daraufhin, die aufgefundenen Seiten der Tageszeitung und Google zu löschen, so dass die ihn betreffenden personenbezogenen Daten dort nicht mehr angezeigt würden. Herr Costeja González behauptete in diesem Zusammenhang, dass die Pfändung, von der er betroffen gewesen sei, seit Jahren vollständig erledigt wäre und keine Erwähnung mehr verdiene.

Der EuGH gab ihm Recht, nachdem sich Google geweigert hatte, die Suchtreffer zu löschen. Der EuGH entschied u. a., dass die Nutzung von Suchmaschinen einen Eingriff in das Recht auf Achtung des Privatlebens darstellt, da jedermann ein mehr oder weniger detailliertes Profil zu einer gesuchten Person erstellen kann. Die Suchergebnisse müssen daher gelöscht werden können, wenn die Interessen des Betroffenen denen der Öffentlichkeit überwiegen.

Mit Inkrafttreten der Datenschutz-Grundverordnung am 28.05.2017 wird das Recht auf Vergessenwerden bzw. das Recht zur Löschung nun europaweit kodifiziert.

Voraussetzungen

Nach Artikel 17 Abs. 1 DSGVO sind personenbezogene Daten künftig unverzüglich zu löschen, wenn:

  • Die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind
  • Die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt
  • Die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen
  • Die personenbezogenen Daten unrechtmäßig verarbeitet wurden
  • Die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist
  • Die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft, d. h. Internetangebote, wie Medien, Webshops oder Online-Spiele, erhoben.

Inhalt des Löschungsanspruchs

Die Datenschutz-Grundverordnung definiert den Begriff „Löschen“ nicht. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen.

Ausreichend ist es,

  • die Datenträger sind physisch zu zerstören
  • Verknüpfungen oder Codierungen zu löschen
  • bei wiederbeschreibbaren Datenträgern (z. B. einer Festplatte) ggf. spezielle Löschsoftware einzusetzen

Nicht ausreichend ist es,

  • Datenträger einfach zu entsorgen, also in den Müll zu werfen
  • rein organisatorische Maßnahmen zu treffen

Wie ist der Löschungsanspruch geltend zu machen?

Zunächst muss die betroffene Person natürlich Kenntnis von den über sie gespeicherten Daten haben. Hier hilft ihr das Auskunftsrecht aus Art. 15 DSGVO weiter.

Sodann sollte die betroffene Person einen Antrag auf Löschung beim Verantwortlichen stellen. Nicht erforderlich, aber zu empfehlen ist es, den Antrag schriftlich oder zumindest per E-Mail zu stellen. Dabei muss die Identität der betroffenen Person in geeigneter Weise nachgewiesen werden, da anderenfalls erst noch zusätzliche Informationen vom Verantwortlichen angefordert werden können (Art. 12 Abs. 6 DSGVO) oder die Löschung sogar verweigert werden kann (Art. 12 Abs. 2 Satz 2 DSGVO).

Wird die Löschung abgelehnt, ist dies vom Verantwortlichen zu begründen. Auf die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde und auf einen gerichtlichen Rechtsbehelf ist hinzuweisen.

Wann ist zu löschen?

Die betroffenen Daten sind unverzüglich zu löschen, das bedeutet „ohne schuldhaftes Zögern“.

Die Löschung darf nach einem Antrag des Betroffenen bzw. bei Vorliegen des Löschungsgrundes folglich nicht länger als unbedingt nötig hinausgezögert werden. Dem für die Löschung Verantwortlichen steht damit nicht mehr Zeit zur Verfügung als es nötig ist, um zu prüfen, ob die Voraussetzungen für die Löschung vorliegen.

Bei einem Löschungsantrag des Betroffenen ist allerdings in jedem Fall zu beachten, dass spätestens innerhalb eines Monats nach Eingang des Löschungsantrags die betroffene Person über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung informiert werden muss. Gegebenenfalls müssen Verlängerungsmöglichkeiten ausgeschöpft werden.

Unabhängig von einem Löschungsantrag ist zukünftig aber auch zu beachten, dass zwischen der Kenntnisnahme vom Löschungsgrund und dem Tätigwerden des Verantwortlichen kein schuldhaftes Zögern vorliegen darf. Der Verantwortliche hat deshalb regelmäßig zu prüfen, ob ein Löschungsgrund vorliegt.

Mitteilungs- und Informationspflichten

Besteht die Löschungspflicht, so sind alle Empfänger von Daten über die Löschung zu informieren (Art. 19 DSGVO). Die Datenschutz-Grundverordnung normiert damit auch eine umfassende Mitteilungspflicht.

Soweit der Verantwortliche die personenbezogenen Daten veröffentlich hat und zur Löschung verpflichtet ist, sind zukünftig auch Informationspflichten zu beachten, damit die Rechte der betroffenen Person umfassend und effektiv gewahrt werden. Durch „angemessene Maßnahmen“ hat der Verantwortliche sicherzustellen, dass gegebenenfalls eine Vielzahl von unbestimmten Adressaten informiert wird, was sich im Einzelfall als schwierig gestalten kann. Auch Adressaten außerhalb der EU sind dabei zu informieren.

Eine Umsetzung ist insbesondere möglich:

  • durch Veröffentlichung der Löschung auf der Webseite des Verantwortlichen bzw. an der Stelle, an der die Daten zunächst veröffentlicht wurden
  • technisch, beispielsweise durch Meta-Tags
  • Techniken, die dem „Digital Rights Management“ (DRM) ähnlich sind (allerdings strittig)

Eine Konkretisierung wird gemäß Art. 70 Abs. 1 lit d) DSGVO durch den Europäischen Datenschutzausschuss erfolgen, der Leitlinien, Empfehlungen und bewährte Verfahren „für die Löschung gemäß Art. 17 Abs. 2 DSGVO von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten“ zur Verfügung stellen soll. Diese sind zwar für sich genommen unverbindlich, geben aber Anhaltspunkte dafür, welche Maßnahmen für die Umsetzung der Pflichten aus Art. 17 Abs. 2 DSGVO zur Verfügung stehen.

Ausnahmen von der Löschungspflicht

Von der Löschungspflicht gibt es allerdings auch Ausnahmen. Eine Löschungspflicht besteht nicht,

  • soweit die Verarbeitung erforderlich ist
  • bei Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  • bei im öffentlichen Interesse liegenden Archivzwecken, Forschungszwecken und statistischen Zwecken
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Probleme bei der Umsetzung des Rechts auf Vergessenwerden?

Schon die Umsetzung der eingangs erwähnten EuGH-Entscheidung bereitet Probleme. Suchergebnisse bei Google werden beispielsweise nur innerhalb Europas nicht mehr angezeigt. Durch das sog. Geoblocking verhindert Google, dass Nutzer gelöschte Suchergebenisse erhalten. Nutzer außerhalb Europas sehen damit alle Ergebnisse. Über Anonymisierungsdienste oder eine gewöhnlichen VPN-Verbindung lässt sich das Geoblocking auch innerhalb Europas umgehen. Den rechtlichen Anforderungen aus Art. 17 DSGVO genügt dies nicht.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.