Inhaltsverzeichnis
Auf den Punkt gebracht: Recht auf Löschung
- Artikel 17 Abs. 1 der DSGVO gibt an, wann Daten durch den Verantwortlichen gelöscht werden müssen.
- Es bestehen auch Ausnahmen von der Pflicht auf Löschung der Daten. Diese werden in Artikel 17 Abs. 3 DSGVO genannt. Ebenfalls nennt §35 BDSG-neu Gründe für die Einschränkung der Löschpflicht.
- Das Recht auf Vergessenwerden hat zum Ziel, personenbezogene Daten auf Wunsch des Betroffenen zu löschen, die zum Beispiel im Internet einer großen Öffentlichkeit zugänglich sind.
- Nichtbeachtung von Löschanfragen und Löschpflichten kann zu hohen Bußgeldern führen, wie bereits Urteile zeigen.
Mit einem Kurzpapier gibt die DSK Hilfestellung auf ein weiteres Betroffenenrecht: Das Recht auf Löschung. Die zentralen Fragen werden hier erläutert: Wann sind Daten zwingend zu löschen? Wann bestehen Ausnahmen der Löschpflicht?
In welchen Fällen müssen Daten gelöscht werden?
Nach Art. 17 Abs. 1 DSGVO müssen die Daten seitens des Verantwortlichen ohne Aufforderung des Betroffenen unverzüglich gelöscht werden, wenn mindestens einer der folgenden Punkte zutrifft:
- Notwendigkeit der Zweckerreichung ist weggefallen
- Die Einwilligung seitens des Betroffenen wurde widerrufen und es besteht keine anderweitige Rechtsgrundlage
- Widerspruch gem. Art. 21 DSGVO wurde eingelegt, sofern keine vorrangigen berechtigten Gründe vorliegen (Interessensabwägung). Ausnahme ist Direktwerbung: hier sind die Daten ohne Interessensabwägung zu löschen
- Unrechtmäßige Verarbeitung der Daten
- Die Löschung wird durch Unionsrecht oder Bundesrecht verlangt
- Datenerhebungen nach Art. 8 Abs. 1 DSGVO (angebotene Dienste der Informationsgesellschaft) liegt vor, der Betroffene fordert die Löschung (es müssen keine weiteren Voraussetzungen zur Löschung eingehalten werden)
Was bedeutet das „Recht auf Vergessenwerden“?
Es bedeutet die Rücknahme, also die Löschung von personenbezogenen Daten. Im Erwägungsgrund 65 werden „Löschung“ und „Vergessenwerden“ als Synonyme dargestellt.
Es fallen darunter auch Spuren von personenbezogenen Daten, die einer breiten Öffentlichkeit zugänglich sind (z.B. persönliche Daten im Internet).
Wie ist bei einem Löschantrag vorzugehen?
Der Betroffene muss einen Antrag beim Verantwortlichen stellen. Für die Antragsform gibt es keine Vorgaben.
Sie als Datenverantwortlicher müssen im Rahmen der Betroffenenanfragen die Löschanfrage prüfen. Bei Gültigkeit muss die Anfrage auch an weitere Verantwortliche und Auftragsverarbeiter weiter geleitet werden.
Gibt es Ausnahmen von der Löschpflicht?
Eine Löschung hat nicht zu erfolgen, wenn nach Art. 17 Abs. 3 DSGVO:
- die Ausübung des Rechts auf freie Meinungsäußerung und Information wahrgenommen wird,
- die Erfüllung einer rechtlichen Verpflichtung, Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt vorliegt,
- Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit vorliegen,
- im öffentlich liegende Interesse für Archivzwecke, wissenschaftliche oder historische Forschungszwecke vorliegen, sofern die Löschung diese erheblich beeinträchtigt
- die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen angestrebt wird
Auch bei den Ausnahmen ist keine unbegrenzte Verarbeitung möglich. Sobald der Zweck nicht mehr gegeben ist, müssen Sie die Daten trotzdem löschen.
Kann der Löschanspruch eingeschränkt werden?
§35 BDSG-neu schreibt folgendes vor:
Im Fall nicht automatisierter Datenverarbeitung und unter den weiteren dort genannten Voraussetzungen ist statt des Löschungsanspruchs der betroffenen Person ein Anspruch auf Einschränkung der Verarbeitung gemäß Art. 18 DS-GVO vorgesehen.
Anmerkung der Datenbeschützerin
Das heißt, die Daten müssen nicht gelöscht werden. Bestimmte Daten sind nur für bestimmte Verarbeitungszwecke einzuschränken.
Was ist die Folge bei Nichtbeachtung der Löschanfrage?
Es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden.
Hinweis der Datenbeschützerin: Löschkonzept erstellen!
Es empfiehlt sich daher ein ordnungsgemäßes Löschkonzept zu erstellen und auch regelmäßig zu prüfen und zu aktualisieren. Als Zeitpunkt für die Erstellung eines Löschkonzepts sollten Sie starten, wenn der Ist-Stand erfasst ist. Ebenfalls sollten Sie die Handlungsbedürfnisse definiert haben.
Sofern eine Löschanfrage eintrifft, müssen Sie eine Prüfung durchführen. Sie müssen klären, ob die Daten überhaupt gelöscht werden dürfen (z.B. gesetzliche Aufbewahrungspflicht).
Ein weiteres Recht der Betroffenen ist das Auskunftsrecht. Die DSK hat hierzu ebenfalls ein Kurzpapier veröffentlicht.
Quelle:
„Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_11.pdf
Hinweis: Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.