Das Recht auf Vergessenwerden bzw. die Löschungspflicht nach DSGVO

Fachbeitrag

Mit Art. 17 DSGVO findet das Recht auf Vergessenwerden kodifizierten Einzug in das europäische Datenschutzrecht. Dabei handelt es sich um ein umfassendes Recht auf Löschung. Das Recht auf Löschung ist zwar nicht neu, gleichwohl gibt es viel Neues zu beachten. Daher stellen wir die Einzelheiten zum Recht auf Vergessenwerden einmal übersichtlich dar. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Entscheidung des EuGH zum Recht auf Vergessenwerden

Das Recht auf Vergessenwerden ist mit der Entscheidung des Europäischen Gerichtshofs vom 13.05.2014 (EuGH C 131/12) stark in den Fokus der Öffentlichkeit gerückt.

Der Spanier Maria Costeja Gonzales bekam über die Suchmaschine Links zu zwei Seiten der Tageszeitung La Vanguardia vom 19. Januar bzw. 9. März 1998 angezeigt, die unter Nennung seines Namens auf die Versteigerung eines Grundstücks im Zusammenhang mit einer wegen Forderungen der Sozialversicherung erfolgten Pfändung hingewiesen hatte. Herr Costeja González beantragte bei der spanischen Datenschutzbehörde daraufhin, die aufgefundenen Seiten der Tageszeitung und Google zu löschen, so dass die ihn betreffenden personenbezogenen Daten dort nicht mehr angezeigt würden. Herr Costeja González behauptete in diesem Zusammenhang, dass die Pfändung, von der er betroffen gewesen sei, seit Jahren vollständig erledigt wäre und keine Erwähnung mehr verdiene.

Der EuGH gab ihm Recht, nachdem sich Google geweigert hatte, die Suchtreffer zu löschen. Der EuGH entschied u. a., dass die Nutzung von Suchmaschinen einen Eingriff in das Recht auf Achtung des Privatlebens darstellt, da jedermann ein mehr oder weniger detailliertes Profil zu einer gesuchten Person erstellen kann. Die Suchergebnisse müssen daher gelöscht werden können, wenn die Interessen des Betroffenen denen der Öffentlichkeit überwiegen.

Mit Inkrafttreten der Datenschutz-Grundverordnung am 28.05.2017 wird das Recht auf Vergessenwerden bzw. das Recht zur Löschung nun europaweit kodifiziert.

Voraussetzungen

Nach Artikel 17 Abs. 1 DSGVO sind personenbezogene Daten künftig unverzüglich zu löschen, wenn:

  • Die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind
  • Die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt
  • Die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen
  • Die personenbezogenen Daten unrechtmäßig verarbeitet wurden
  • Die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist
  • Die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft, d. h. Internetangebote, wie Medien, Webshops oder Online-Spiele, erhoben.

Inhalt des Löschungsanspruchs

Die Datenschutz-Grundverordnung definiert den Begriff „Löschen“ nicht. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen.

Ausreichend ist es,

  • die Datenträger sind physisch zu zerstören
  • Verknüpfungen oder Codierungen zu löschen
  • bei wiederbeschreibbaren Datenträgern (z. B. einer Festplatte) ggf. spezielle Löschsoftware einzusetzen

Nicht ausreichend ist es,

  • Datenträger einfach zu entsorgen, also in den Müll zu werfen
  • rein organisatorische Maßnahmen zu treffen

Wie ist der Löschungsanspruch geltend zu machen?

Zunächst muss die betroffene Person natürlich Kenntnis von den über sie gespeicherten Daten haben. Hier hilft ihr das Auskunftsrecht aus Art. 15 DSGVO weiter.

Sodann sollte die betroffene Person einen Antrag auf Löschung beim Verantwortlichen stellen. Nicht erforderlich, aber zu empfehlen ist es, den Antrag schriftlich oder zumindest per E-Mail zu stellen. Dabei muss die Identität der betroffenen Person in geeigneter Weise nachgewiesen werden, da anderenfalls erst noch zusätzliche Informationen vom Verantwortlichen angefordert werden können (Art. 12 Abs. 6 DSGVO) oder die Löschung sogar verweigert werden kann (Art. 12 Abs. 2 Satz 2 DSGVO).

Wird die Löschung abgelehnt, ist dies vom Verantwortlichen zu begründen. Auf die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde und auf einen gerichtlichen Rechtsbehelf ist hinzuweisen.

Wann ist zu löschen?

Die betroffenen Daten sind unverzüglich zu löschen, das bedeutet „ohne schuldhaftes Zögern“.

Die Löschung darf nach einem Antrag des Betroffenen bzw. bei Vorliegen des Löschungsgrundes folglich nicht länger als unbedingt nötig hinausgezögert werden. Dem für die Löschung Verantwortlichen steht damit nicht mehr Zeit zur Verfügung als es nötig ist, um zu prüfen, ob die Voraussetzungen für die Löschung vorliegen.

Bei einem Löschungsantrag des Betroffenen ist allerdings in jedem Fall zu beachten, dass spätestens innerhalb eines Monats nach Eingang des Löschungsantrags die betroffene Person über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung informiert werden muss. Gegebenenfalls müssen Verlängerungsmöglichkeiten ausgeschöpft werden.

Unabhängig von einem Löschungsantrag ist zukünftig aber auch zu beachten, dass zwischen der Kenntnisnahme vom Löschungsgrund und dem Tätigwerden des Verantwortlichen kein schuldhaftes Zögern vorliegen darf. Der Verantwortliche hat deshalb regelmäßig zu prüfen, ob ein Löschungsgrund vorliegt.

Mitteilungs- und Informationspflichten

Besteht die Löschungspflicht, so sind alle Empfänger von Daten über die Löschung zu informieren (Art. 19 DSGVO). Die Datenschutz-Grundverordnung normiert damit auch eine umfassende Mitteilungspflicht.

Soweit der Verantwortliche die personenbezogenen Daten veröffentlich hat und zur Löschung verpflichtet ist, sind zukünftig auch Informationspflichten zu beachten, damit die Rechte der betroffenen Person umfassend und effektiv gewahrt werden. Durch „angemessene Maßnahmen“ hat der Verantwortliche sicherzustellen, dass gegebenenfalls eine Vielzahl von unbestimmten Adressaten informiert wird, was sich im Einzelfall als schwierig gestalten kann. Auch Adressaten außerhalb der EU sind dabei zu informieren.

Eine Umsetzung ist insbesondere möglich:

  • durch Veröffentlichung der Löschung auf der Webseite des Verantwortlichen bzw. an der Stelle, an der die Daten zunächst veröffentlicht wurden
  • technisch, beispielsweise durch Meta-Tags
  • Techniken, die dem „Digital Rights Management“ (DRM) ähnlich sind (allerdings strittig)

Eine Konkretisierung wird gemäß Art. 70 Abs. 1 lit d) DSGVO durch den Europäischen Datenschutzausschuss erfolgen, der Leitlinien, Empfehlungen und bewährte Verfahren „für die Löschung gemäß Art. 17 Abs. 2 DSGVO von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten“ zur Verfügung stellen soll. Diese sind zwar für sich genommen unverbindlich, geben aber Anhaltspunkte dafür, welche Maßnahmen für die Umsetzung der Pflichten aus Art. 17 Abs. 2 DSGVO zur Verfügung stehen.

Ausnahmen von der Löschungspflicht

Von der Löschungspflicht gibt es allerdings auch Ausnahmen. Eine Löschungspflicht besteht nicht,

  • soweit die Verarbeitung erforderlich ist
  • bei Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  • bei im öffentlichen Interesse liegenden Archivzwecken, Forschungszwecken und statistischen Zwecken
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Probleme bei der Umsetzung des Rechts auf Vergessenwerden?

Schon die Umsetzung der eingangs erwähnten EuGH-Entscheidung bereitet Probleme. Suchergebnisse bei Google werden beispielsweise nur innerhalb Europas nicht mehr angezeigt. Durch das sog. Geoblocking verhindert Google, dass Nutzer gelöschte Suchergebenisse erhalten. Nutzer außerhalb Europas sehen damit alle Ergebnisse. Über Anonymisierungsdienste oder eine gewöhnlichen VPN-Verbindung lässt sich das Geoblocking auch innerhalb Europas umgehen. Den rechtlichen Anforderungen aus Art. 17 DSGVO genügt dies nicht.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

35 Kommentare zu diesem Beitrag

  1. Bei einem Werbewiderspruch nach Art. 21 Abs. 2 DS-GVO greift die 2. Alternative des Art. 17 Abs. 1 lit. c) DS-GVO, bei der es – anders als bei der auf Art. 21 Abs. 1 DS-GVO bezogenen 1. Alternative – dem Wortlaut nach nicht auf vorrangige berechtigte Gründe anzukommen scheint. Die personenbezogenen Daten des Betroffenen können bei einem Werbewiderspruch nicht mehr für Zwecke der Direktwerbung verwendet werden und sind daher, wenn dies der einzige Zweck der Speicherung war, zu löschen. Die bisher im Werbebereich praktizierte Aufnahme in eine Sperrliste, mit welcher bei neuen Werbeaktionen die eingesetzten (Fremd-)Adresslisten abgeglichen werden, ist neu zu überdenken, da es bei diesem Verständnis an einer Nachfolgeregelung für § 35 (3) Nr. 2 BDSG (Sperrung statt Löschung, wenn durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden) fehlt. Letztlich könnte hier nur Art. 17 Abs. 3 lit. e) DS-GVO dem Verantwortlichen helfen, wonach eine Löschpflicht entfällt, soweit eine Verarbeitung der Daten, also auch eine Speicherung, für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Der Verantwortliche muss in die Lage versetzt werden, dem Werbewiderspruch des Betroffenen in Zukunft Folge leisten zu können.

  2. Guten Tag. Soweit ich das sehe, sind nach den neuen Regelung nicht mehr ausdrücklich Löschfristen wie bisher in § 35 Abs. 2 Nr. 4 BDSG vorgegeben. Nach welcher Frist sind künftig von der Creditreform Einträge z.B. über die Aufhebung eines Insolvenzverfahren zu löschen oder muss die Creditreform diese Daten bei Widerspruch ggf. sofort löschen? Vielen Dank und beste Grüße

  3. Wir speichern im Rahmen der Verwaltung unserer Firmenwagen neben Vertragsdaten auch die Information, an wen ein Fahrzeug von wann bis wann überlassen war. Handelt es sich darum um „personenbezogene Daten“, die im Falle einer Löschanforderung gelöscht werden müssen?

    Wie sollte ich erklären, an wen der Wagen überlassen wurde, wenn die Polizei sechs Monate nach Löschung der Daten diese Auskunft verlangt, weil ein Personenschaden mit Fahrerflucht begangen wurde? Im Zweifel wäre ich dann in der Halterhaftung, wenn ich nicht nachweisen könnte, wer den Wagen zum Tatzeitpunkt nutzte.

    Oder kann ich die Löschaufforderung verweigern (respektive die Löschfrist angemessen verzögern), weil ich ein berechtigtes Interesse an der Datenhaltung (für eine gewisse Zeit) habe?

    Vielen Dank!

    • Einfach in den Vertrag schreiben, dass die Daten X Jahre gespeichert um für evtl. Straftaten oder Schäden das Fahrzeug dem Fahrer zuzuweisen ^^ Irgendwas so.

    • Sie sollten hier geeignete Löschroutinen prüfen lassen.

      Sobald eine Löschpflicht besteht, ist – unabhängig von einem Antrag der betroffenen Person- ohne schuldhaftes Zögern zu löschen. Um diese Anforderungen zu erfüllen, sollte regelmäßig geprüft werden, ob ein Löschgrund vorliegt – eine Prüfpflicht wird damit normiert (vgl. auch Erwägungsgrund 39). Im Rahmen der Prüfung ist – wie von Ihnen richtig angesprochen – zunächst festzustellen, ob es einen Löschgrund gibt und im Anschluss daran, ob Ausnahmen von der Löschpflicht vorliegen, weil die personenbezogenen Daten beispielsweise zur Erfüllung einer eigenen rechtlichen Verpflichtung oder zur Verteidigung von Rechtsansprüchen erforderlich sind.

  4. Guten Tag,

    sind Teillöschungen von personenbezogenen Daten möglich?

    Als Beispiel:
    Ich habe bei einem Anbieter einen Account und nutze einen Dienst für ein gewisses Entgelt. Nun lösche ich mein Konto und will sichergehen, dass innerhalb dieses Dienstes meine personenbezogenen Daten gelöscht werden.

    Da ich ja einen Vertrag mit dem Anbieter abgeschlossen und Geld bezahlt habe, gibt es eine 10 Jahre Aufbewahrungsfrist von Geschäftsunterlagen.

    Ist der Anbieter trotzdem verpflichtet Teile der personenbezogenen Daten zu löschen? (Benachrichtigungen, Einträge, Kommentare, etc.) Außer es handelt sich um Daten, welche für die Aufbewahrungsfrist der Geschäftsunterlagen relevant sind.

    Vielen Dank !!

  5. Ich kann als Fotograf die Urheberrechte nur mit dem Bild nachweisen. Ist damit die Ausnahme „Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“ erfüllt?

    • Das Verhältnis zwischen KUG, UrhG und DSGVO und den verschiedenen Rechten an Bildnissen von Menschen ist ziemlich komplex. Ihre Frage kann daher auch nicht pauschal mit einem Kommentar auf einen Blogbeitrag beantwortet werden.

    • Die Nutzung eines Werks gemäß einer nach KUG bzw. UrhG erteilten Lizenz stellt in meinen Augen ein berechtigtes Interesse dar. Bei berechtigtem Interesse besteht kein Recht auf Vergessenwerden. Die DSGVO würde sonst KUG und UrhG unterlaufen, da der Lizenzgeber de facto die Lizenz entgegen den Lizenzbedingungen unbrauchbar machen könnte, indem er sich auf das Recht auf Vergessenwerden beruft. Das Recht auf Vergessenwerden hat seinen Ursprung bei Suchmaschinen, die gerade keine Lizenz für die von ihnen indizierten Inhalte besitzen.

  6. Hallo,
    verstehe ich das richtig, dass ich als Verantwortlicher gem. Art. 17 I DSGVO unabhängig von einem Löschantrag des Betroffenen dazu verpflichtet bin, Daten zu löschen, wenn wenigstens einer der Löschgründe des Art. 17 I a)-f) DSGVO vorliegt? D.h. ich müsste in regelmäßigen Abständen selbständig alle von mir gespeicherten Daten auf das Vorliegen dieser Voraussetzungen prüfen?
    Und wenn dies so ist, welchen eigenständigen Anwendungsbereich hat denn dann der Anspruch des Betroffenen auf Löschung? Denn die Anspruchsvoraussetzungen wären dann ja die gleichen, die bereits so eine Löschpflicht begründen würden?!

    Vielen Dank

    • Liegt ein in Art. 17 Abs. 1 lit. a-f DSGVO genannter Löschgrund vor, hat der Verantwortliche unabhängig von einem Löschantrag des Betroffenen die Daten zu löschen – da liegen Sie richtig. Der Verantwortliche hat intern Löschfristen zu erstellen, nach deren Ablauf er die Daten auch tatsächlich löscht. In der Regel werden diese somit zusammenfallen. Beantragt der Betroffene die Löschung, hat er darin den Löschgrund zu nennen.

  7. Hallo,
    gibt es irgendwo eine Liste oder Orientierungshilfe wie lange welche Daten in welchen Mitgliedsländern gespeichert werden dürfen/müssen.
    Zum Beispiel Speicher und Aufbewahrungsfristen in jedem EU Land für:
    – Arbeitsverhältnisse (Vorstellungskosten,Schadenersatz,Abfertigungen,Betriebspensionen etc)
    – Verträge (Gewährleistung,Kaufpreisforderungen,Miete/Pacht, Schadenersatz etc)
    – Steuern (steuerrechtl Aufbewahrungspflichten,unternehmensrechtl Aufbewahrungspflichten etc)

    usw. usw.

    Gibt es da irgendeine Tabelle die zumindest die wichtigsten Fristen nach Mitgliedsstaat aufgeschlüsselt enthält?

    Vielen Dank

  8. Hallo,
    wir verwenden in unseren (Bau)Projekten zur orts-, Team und Firmen übergreifenden Zusammenarbeit sogen. „Projekträume“. Diese werden von den Auftraggebern gestellt. Dort werden neben den Kontaktdaten auch Nachrichten, Prüf- und Freigabevermerke, u.ä. der Projektbeteiligten geführt und gespeichert.
    Habe ich das Thema richtig verstanden,
    – dass die dort gespeicherten Zuständigkeiten und Verantwortlichen mit ihren Daten nur bis zur vorgeschriebenen Aufbewahrungspflicht zum Zwecke der Nachvollziehbarkeit gespeichert werden dürfen?
    – Dass, wenn der Auftraggeber das Projekt dann weiter als „Wissensspeicher“ nutzen möchte, er sämtliche personengebundenen Daten löschen bzw. neutralisieren muss?
    – Dass wir unser vom Auftraggeber bzw. Systemanbieter bekommene Archiv für unsere Unterlagen, dann nach der Aufbewahrungspflicht für unser Unternehmen nicht mehr vorhalten dürfen, wenn wir die personenenbezogenen Daten nicht löschen können?

    Vielen Dank vorab!

    • Vielen Dank für Ihre interessante Frage. Diese lässt sich leider in diesem Umfang und auch nur auf den konkreten Einzelfall bezogen beantworten, wozu Rücksprache gehalten werden sollte. Eine Antwort ist im Rahmen unserer Kommentarfunktion leider nicht möglich.

  9. Hallo,
    kann ich mittels eines Vertrags die Löschpflicht umgehen. Also so das ich reinschreibe das mit unterzeichenen des Vertrags, eine zustimmung erfolgt die mir erlaubt Kundenbezogenedaten länger als üblich oder unbefristet aufzubewahren. Und wen ja wäre das Rechtens, so wohl für Mitarbeiter als auch für Vertragskunden ?

    • Eine Rechtsberatung ist uns leider, insbesondere hinsichtlich einer Ausgestaltung von vertraglichen Vereinbarungen, nicht möglich. Wir bitten um Ihr Verständnis. Sie können sich diesbezüglich von einem Rechtsanwalt beraten lassen.

    • Nein, eine solche gekoppelte Einwilligung ist nicht zulässig. Das steht ausdrücklich in Erwägungsgrund 43. Lustigerweise wird das in genau diesem Kommentarfeld missachtet, das ich hier gerade ausfülle, da die E-Mail unzulässigerweise Pflichtgeld ist und weder „bestimmte Zwecke“ im Sinne des Art. 6 Abs. 1 lit a für diese Angabe genannt werden, noch dafür getrennte, freiwillige Einwilligungen mit Opt-In-Ankreuzfeld eingeholt werden.

  10. Guten Abend,
    danke für Ihren interessanten Beitrag zum Recht auf Vergessenwerden bzw. der Löschungspflicht nach DSGVO.
    In diesem Zusammenhang würde mich interessieren, wie sich die DSGVO auf den Betrieb von Diskussionsforen auswirkt. Ein Mitglied entschließt sich beispielsweise, der Plattform den Rücken zu kehren. Er verlangt die Löschung seines Benutzerkontos und all seiner Beiträge. Besonders zweiter Punkt ist kritisch: Durch die Beitragslöschungen fehlt in Diskussionen der kausale Zusammenhang zu Folgebeiträgen. Schlimmstenfalls gehen ganze Diskussionsstränge verloren, falls es sich um Initialbeiträge handelt. Auch das Interesse des Betreibers, ein Wissensarchiv zu schaffen, wird dadurch ad absurdum geführt.

    • In diesem Fall dürfte es genügen, dass Sie den Beiträgen dieser Mitgliedes den Personenbezug nehmen. Dies kann dadurch erfolgen, dass Sie den Namen oder das Pseudonym der Person löschen oder so anonymisieren, dass kein Rückschluss möglich ist. Auch im Rahmen des geposteten Textes kann ein Personenbezug bestehen, der zu beachten ist. Je nach Ausgestaltung des Forums trifft dies selbstverständlich auch auf etwaige Fotos oder andere Merkmale zu, die die Zuordnung ermöglichen. Es kommt aber auf Ihr Forum und den Beitrag im Einzelfall an.

      • Bislang gab es es keine gesetzliche Verpflichtung für Forenbetreiber zur Löschung von sämtlichen Forenbeiträgen, sondern es gab Urteile, dass dies nicht zumutbar wäre. Sehr persönliche Beiträge, Bilder mit Personenaufnahmen, etc. werden üblicherweise bei Beendigung der Mitgliedschaft gelöscht, die sonstigen Diskussons- und Fachbeiträge bleiben aber oft stehen. Bei einer Accountlöschung/Profillöschung bleibt – wenn Beiträge nicht mitgelöscht werden – der Nickname des Users lesbar. Eine Anonymisierung ist via Datenbank wohl möglich.

        Dem „Recht auf Vergessenwerden“ stehen andere Rechte gegenüber, z.B. die persönlichen Rechte der anderen User, die Wert darauf legen, dass ihre Beiträge nicht gleichfalls mitgelöscht werden, falls ein ehemaliges Mitglied ganz in Vergessenheit geraten will. Oder z.B. das Urheberrecht. (Auch wenn Forenbeiträge zumeist nicht Schöpfungshöhe haben, fände ich ein Anonymisieren von Beiträgen und Zitaten da nicht fair)

        Auch hat ein Mitglied bei der Registrierung dem Forenbetreiber zumeist ein einfaches und zeitlich nicht begrenztes Nutzungsrecht an seinen Beiträgen im Rahmen des Forums erteilt und sich damit einverstanden erklärt, dass seine Beiträge bearbeitet, gelöscht und gespeichert werden dürfen. Es war bei der Registrierung damit einverstanden, dass es auch nach Beendigung der Mitgliedschaft keinen Anspruch auf Löschung oder Erhalt seiner Beiträge hat. Hat dieses Recht des Forenbetreibers nun keine Gültigkeit mehr? Oder ist es gar rechtswidrig?

        Nicht der Admin hat die Beiträge des Mitglieds veröffentlicht, sondern das Mitglied selbst war es, völlig freiwillig. Bei Forenbeiträgen sind fast immer Rückschlüsse auf bestimmte User möglich, auch wenn persönliche Inhalte entfernt werden.

        Der Anspruch, nun eventuell regelmäßig sämtliche Mitgliedsbeiträge löschen zu müssen – mit Löschnachweis und „Mitnahmerecht“ dieser „Daten“ – ist völlig absurd. Das sind u.U. tausende von Beiträgen bei einem einzigen Mitglied. Das kann im Arbeitsumfang nicht geleistet werden. Es kommt mir vor, als würde ein Autor von einem Verlag verlangen, sämtliche Bücher zu verbrennen, die er dort mal publiziert hat.

        Ich kann mir nicht vorstellen, dass dies im Sinne des Erfinders ist. Man macht ja wirklich alles für ein gepflegtes Forum und seine Mitglieder und ich finde Datenschutz auch sehr wichtig. Aber die privaten Betreiber von harmlosen Internetforen, die sich dort nur mit anderen z.B. über ihre Hobbys austauschen wollen, keinerlei kommerziellen Absichten verfolgen, nicht Teil von irgendwelchen sozialen Netzwerken sind oder irgendwelche Daten weitergeben, haben jetzt wirklich ein Problem. Einige denken ans Aufhören, andere hoffen, dass ihnen nichts geschieht, auch wenn hier oder da noch ein kleiner Fehler in der Datenschutzerklärung sein sollte. Das Schlimmste ist, dass wohl keiner ganz genau weiß, was Sache ist und wie was mal ausgelegt wird.

  11. Guten Abend,
    habe ich das richtig gelesen, daß es auch eine Dokumentation bzw. Nachweispflicht über die Löschung selbst geben muss? Ich habe Gesundheitsdaten in Papierform. Reicht es aus wenn ich diese mit einem dafür vorgesehenen Shredder zerkleinere und entsorge und die jeweilige Person darüber informiere?

    • Eine Dokumentation ist nicht zwingend aber sinnvoll und empfehlenswert. Ihr Vorschlag ist daher ausreichend, wenn der Schredder die Dokumente ausreichend zerkleinert. Dies wäre bspw. bei einem nach DIN 66399 der Fall.

      Bitte beachten: Art. 19 DSGVO bestimmt, dass alle Empfänger der Daten (s. auch Art. 4 Nr. 9 DSGVO) informiert werden müssen. Wenn die Daten also weitergegeben wurden, sind die Empfänger entsprechend zu benachrichtigen, sodass sie selbiges veranlassen können.

  12. Guten Abend!
    Verstehe ich es richtig, dass der Antrag zur Löschung und die Löschung selbst dann auch nicht mehr mit den personenbezogenen Daten des Antragststellers protokolliert werden darf? Hypothetisches Beispiel für einen Abmahnanwalt: ich registisriere mich in einem Shop und abonniere einen Newsletter (per DOI). Kurz darauf lasse ich meine Daten durch den Shop löschen. Dann mahne ich zu einem späteren Zeitpunkt ab, weil ich einen Newsletter erhalten habe (vor der Löschung, noch auf Basis des gültigen DOI) und der Versender mir den gegebenen Opt-In nun nicht mehr nachweisen kann. Sehe ich das richtig?

    Vielen Dank!

    • Nein. Selbstverständlich wird der Antrag zur Löschung protokolliert. Dazu gibt es sogar die rechtliche Verpflichtung, so dass Sie die Löschung dieser Protokolle nicht erwirken können. Diese Löschung erfolgt erst nach der gesetzlichen Löschfrist. Zudem verwechseln Sie auch materielles und formelles Recht. Materiell hätten Sie die Einwilligung erteilt, lediglich formell könnte der Betreiber das nicht mehr nachweisen wenn er kein Protokoll hätte. Jedoch würde es aller Wahrscheinlichkeit nach Zeugen geben, die sich an Ihren Löschantrag erinnern. Diese können gegen Sie aussagen. Sie hätten sich dann nämlich des Prozessbetrugs schuldig gemacht.

  13. Guten Tag,
    sobald ein Vertrag zustande kommt, unterliege ich den gesetzlichen Aufbewahrungsfristen von 10 Jahren. Wie ist das mit einem Angebot, das der Kunde nicht annimmt. Darf ich den
    nach 6 Monaten löschen oder bin ich auch hier an die 10 Jahre gebunden?
    Herzlichen Dank
    Sonnenblume

  14. Servus,
    bei einem Shop gibt es für eine erst-Anmeldung ein Präsent. Kurze Zeit nach der Anmeldung will der Kunde seine Daten gelöscht wissen. Gut – er bekommt die Bestätigung. Nun meldet er sich später wieder an, evtl. mit den selben Daten. Wie kann ich das nun erkennen? Gibt es eine Möglichkeit, die Daten länger als vom Kunden gewünscht aufzubewahren – evtl. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen?

  15. Hallo!
    Es gibt Dienste für Familienstammbäume, die anschließend mehr oder weniger öffentlich einsehbar sind. Diese Dienste kann man missbrauchen, indem man einen Stammbaum einer Familie erstellt und sich als Teil der Familie (z. B. Ehemann) ausgibt, der man gar nicht ist. Die noch einzig lebende Person in diesem Stammbaum hat und will keinen Kontakt zum Ersteller des Stammbaums. Möchte diesen aber gelöscht haben.
    Greift hier die DSGVO? Wenn ja, was kann man unternehmen, wenn der Betreiber der Seite diesen nicht löscht?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.