Logo der activeMind AG

Das Recht auf Löschung und das „Recht auf Vergessenwerden“ in der Praxis

Inhalt

Personen, deren personenbezogene Daten verarbeitet werden, haben vorbehaltlich der gesetzlichen Voraussetzungen in Art. 17 Datenschutz-Grundverordnung (DSGVO) das Recht, von dem für die Datenverarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Dieser Anspruch umfasst auch das „Recht auf Vergessenwerden“ bei der Verarbeitung von veröffentlichten personenbezogenen Daten. Für Unternehmen stellt sich die Frage, wann und in welchem Umfang personenbezogene Daten zu löschen sind und welche Anforderungen für die Gewährleistung des „Rechts auf Vergessenwerden“ erfüllt werden müssen.

Was bedeutet Löschung im Sinne der DSGVO?

Begrifflich ist wichtig, dass die Löschung von Daten eine unwiederbringliche Vernichtung von Daten meint. Hier sind alle Formate von Daten gemeint, ob elektronisch oder in Papierform. Die Löschung elektronischer Daten erfolgt im Regelfall also nicht durch das bloße Verschieben in den Papierkorb, sondern durch (mehrfaches) Überschreiben der Datensätze. Hier kann auf Softwaretools zurückgegriffen werden. Bei analogen Daten sollten Schredder eigesetzt werden. Alternativ besteht die Möglichkeit, die Vernichtung durch einen qualifizierten Dienstleister durchführen zu lassen. Hierzu bedarf es einer entsprechenden vertraglichen Verpflichtung des Dienstleisters, um Missbrauch vorzubeugen (siehe auch unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Die Löschung umfasst dabei sämtliche Informationssysteme des Verantwortlichen, einschließlich etwaiger Archivierungen oder Backups. Dabei ist stets Vorsicht gefragt! Es ergeben sich eingedenk der Löschung aus Archiven oder Backups in der Praxis Folgefragen. Denn oftmals liegt der Langzeitarchivierung ein eigner Zweck zugrunde (siehe das Praxisbeispiel unten).

Wann besteht ein Anspruch auf Löschung gemäß DSGVO?

Der Löschungsanspruch ist dann gegeben, wenn der Verantwortliche verpflichtet ist, personenbezogene Daten zu löschen. Die Voraussetzungen ergeben sich unmittelbar aus Art. 17 Abs. 1 lit a) – f) DSGVO. Die Aufzählungen der Norm besagen, dass eine Löschung immer dann durch den Betroffenen begehrt werden kann, wenn entweder keine Rechtsgrundlage für die Verarbeitung mehr vorliegt (diese also im Nachhinein weggefallen ist) oder es nie eine Rechtsgrundlage für die Verarbeitung gab. Denn eine Verarbeitung von personenbezogenen Daten ist vorbehaltlich einer gesetzlichen Erlaubnis (Rechtsgrundlage) generell verboten. Hieraus lässt sich ableiten, dass das Recht auf Löschung die notwendige Konsequenz und Rechtsfolge des Grundsatzes der Rechtmäßigkeit der Verarbeitung aus Art. 5 Abs. 1 lit a) DSGVO ist.

Im Idealfall werden personenbezogene Daten eigenverantwortlich und proaktiv durch den für die Verarbeitung Verantwortlichen gelöscht. Denn wenn es keine Rechtsgrundlage (mehr) für die Verarbeitung gibt, entfällt auch die Erlaubnis, die Daten weiterhin speichern zu dürfen.

Hier lassen sich zwei Fälle unterscheiden:

  • Die Rechtsgrundlage entfällt durch aktive Handlung des Betroffenen, beispielsweise durch den Widerruf einer Einwilligung oder den berechtigten Widerspruch gegen die Verarbeitung. Rechtsfolge ist, dass in diesen Fällen keine Rechtsgrundlage mehr besteht. Eine weitergehende Speicherung, die eine Verarbeitung im Sinne der DSGVO ist, stellt eine rechtswidrige Weiterverarbeitung dar.
  • Im andern Fall entfällt die Rechtsgrundlage durch Zweckfortfall rein faktisch und ohne Zutun des Betroffenen. Zum Beispiel durch Erfüllung eines Vertrages, der die Verarbeitung ursprünglich notwendig gemacht hatte. Rechtsfolge ist ebenfalls die Verpflichtung zur Löschung. Diese ergibt sich zusätzlich aus dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit e) DSGVO.

Schwierigkeiten bereitet Unternehmen in der Praxis insbesondere der zweite Fall. Denn dies setzt voraus, dass das Unternehmen den Zweckfortfall und damit die nicht mehr notwendige Speicherung eigenständig erkennt und die Löschung proaktiv realisiert.

Hält das Unternehmen die rechtlichen Voraussetzungen eigenständig ein, ist die Löschverpflichtung im Falle eines Löschbegehrens obsolet, da das Unternehmen keine Verpflichtung mehr trifft. In diesem Fall genügt die Auskunft an den Betroffenen, dass das Unternehmen zum Zeitpunkt der Anfrage keine personenbezogenen Daten ohne Rechtsgrundlage speichert. In der Praxis ist das Recht auf Löschung oft unmittelbare Folge des Rechts aus Auskunft bzw. wird hilfsweise zusammen mit diesem geltend gemacht.

Tipp: Hinterfragen Sie bei der Geltendmachung eines Rechts auf Löschung immer die Rechtsgrundlage nach Art. 6 DSGVO. Gehen Sie den Katalog sämtlicher Rechtsgrundlagen durch. Das, was durch Art. 6 DSGVO positiv abgegrenzt wird – wann ist eine Verarbeitung erlaubt –, grenzt Art. 17 DSGVO gleichermaßen negativ ab – ist eine Rechtsgrundlage entfallen oder lag nie eine Erlaubnis zur Verarbeitung vor?

Der Anspruch des Betroffenen auf Löschung resultiert immer aus der nicht eigenständig nachgekommenen Verpflichtung des Verantwortlichen und zielt daher immer auf die Beseitigung eines rechtswidrigen Zustandes ab!

“Praxisbeispiel: CRM vs. Buchhaltung”

Der Speicherung von Kundendaten in einer Adressdatenbank beziehungsweise einer CRM-Software liegt ein anderer Zweck zugrunde, als einem möglichen Langzeit-Archiv, in welchem das Unternehmen die Kundendaten zusätzlich speichert. Hier dürfen die Daten womöglich aus einer gesetzlichen, steuerrechtlichen Verpflichtung heraus länger aufbewahrt werden als in der CRM-Software.

Im Falle eines Löschbegehrens eines im CRM gespeicherten Kunden kann die Verpflichtung zur Löschung aus dem Zweckfortfall bestehen, wenn der Geschäftskontakt zum Erliegen kam und keine andere Rechtsgrundlage wie einer (Werbe-)Einwilligung zur längeren Speicherung vorliegt. Damit geht aber keine Löschung auch des personenbezogenen Datums zu Zwecken der Erfüllung buchhalterischer Pflichten im Rahmen der Faktura einher.

Für die Unternehmenspraxis liegt der entscheidende Unterschied darin, dass bei der rechtzeitigen Löschung der Daten aus der Kundendatenbank, diese rein faktisch nicht mehr zu anderen Zwecken durch die Mitarbeiter verarbeitet werden können. Die Löschung bezweckt also die Unmöglichkeit der Nutzung dieser Daten zu weiteren, nicht von der ursprünglichen Rechtsgrundlage gedeckten und damit rechtswidrigen Weiterverarbeitung.

Dieses Beispiel unterstreicht die Wichtigkeit, die Rechtmäßigkeit von Verarbeitungen einzeln anhand des zugrundeliegenden Zweckes zu beurteilen. Oftmals besteht für Unternehmen kein Mehrwert einer „Vorratsspeicherung“ an personenbezogenen Daten, da diese sowieso nicht mehr (weiter)verarbeitet werden dürfen.

Was umfasst das Recht auf Löschung?

Besteht der Anspruch auf Löschung, stellt sich die Folgefrage des Umfangs des Löschungsanspruchs. Der Anspruch enthält sowohl zeitliche als auch quantitative Vorgaben.

Hinsichtlich der zeitlichen Vorgabe muss der Verantwortliche der Löschung unverzüglich nachkommen. Die bedeutet, dass er unmittelbar zur Handlung aufgerufen ist. Sinn und Zweck ist nämlich die Beseitigung eines rechtswidrigen Zustandes. Als finale Grenze ist auch hier die Monatsfrist aus Art. 12 Abs. 3 DSGVO heranziehen, da dessen Text unter anderem auch auf Art. 17 DSGVO verweist.

Hinsichtlich des quantitativen Umfangs muss zwischen den zugrundeliegenden Zwecken unterschieden werden. Da grundsätzlich für jeden Verarbeitungszweck eine gesonderte Rechtsgrundlage vorliegen muss (Zweckbindung), umfasst der Anspruch all diejenigen personenbezogenen Daten, für deren Verarbeitung der Verantwortliche zum Zeitpunkt der Geltendmachung keine Rechtsgrundlage (mehr) hat. Da die Verpflichtung zur Löschung ohnedies unabhängig von einem Löschbegehren besteht, bedarf es auch keiner Konkretisierung des Löschungsanspruchs durch den Betroffenen. Die in der Praxis häufig zu lesenden Begehren der Betroffenen „alle sie betreffenden Daten gelöscht haben zu wollen“ ist zugunsten des Betroffenen dahingehend auszulegen, einen in welchem Umfang auch immer vorliegenden rechtswidrigen Zustand beseitigen zu wollen. Da dies nur der Verantwortliche selbst ermitteln kann, genügen solche Aussagen. Der Maßstab an die Bestimmtheit des Antrages ist also nicht hoch.

Das Recht auf Vergessenwerden

Das Recht auf Löschung umfasst zudem das „Recht auf Vergessenwerden“. Dieses kommt neben der Löschung dann in Betracht, wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat. Dies umfasst aus Sicht der Betroffenen sowohl Fälle, in welchen die Betreiber von Suchmaschinen etwa Verlinkungen zu Suchergebnissen löschen müssen, welche über die Suche zu der betroffenen Person angezeigt werden, als auch Fälle, wenn beispielsweise Mitarbeiterdaten durch den Arbeitgeber auf sozialen Netzwerken veröffentlicht werden.

In der Folge bedarf es alle möglichen Anstrengungen des Verantwortlichen, eine weitestgehende Löschung auch bei Dritten zu bewirken. Dieses Recht des Betroffenen auf „Vergessenwerden“ unterliegt ebenfalls den Voraussetzungen aus Art. 17 Abs. 1 DSGVO. Daher ist zunächst eine Verpflichtung nach obigem Maßstab zu hinterfragen. Besteht eine solche, bedarf es weiterer Anstrengungen, sollten die Daten öffentlich gemacht worden sein.

Die Besonderheit liegt hierbei in der dauerhaften Verpflichtung des Verantwortlichen, angemessene Maßnahmen dafür zu treffen, dass alle weiteren für die Datenverarbeitung Verantwortlichen darüber informiert werden, sowohl Verlinkungen zu personenbezogenen Daten, als auch Kopien oder anderweitige Vervielfältigungen von personenbezogenen Daten des Betroffenen löschen zu müssen. Dem Anspruch auf „Vergessenwerden“ wird folglich nicht mit der einmaligen Löschung abgeholfen, sondern es besteht eine Verpflichtung des Verantwortlichen, die Löschung dauerhaft zu gewährleisten. Das „Recht auf Vergessenwerden“ trägt damit insbesondere der leichten Verbreitung von Daten durch Onlinedienste Rechnung.

“Exkurs: Google und das „Recht auf Vergessenwerden“”

Einer der bekanntesten Fälle zum „Recht auf Vergessenwerden“ ist die Entscheidung des EuGH vom 13. Mai 2014 gegen Google.

Der EuGH hatte hier aufgrund einer Betroffenenanfrage an Google über die Entfernung von Verlinkungen zu entscheiden, die aus Sicht des Betroffenen persönlichkeitsverletzende Berichte einer spanischen Tageszeitung aus 1998 enthielten. Google führte die von dem Betroffenen begehrte Löschung seinerzeit im Hinblick auf die Informationsfreiheit und das Informationsinteresse der Öffentlichkeit nicht durch, weshalb der Betroffene sich an die spanische Aufsichtsbehörde wandte.

Google wurde in diesem Fall durch die Aufsichtsbehörde zur Löschung der in Rede stehenden Verlinkungen verpflichtet. Auch die im Nachgang durch Google eingereichte Klage gegen diese Entscheidung führte zu keinem anderen Ergebnis. Der allgemeine Persönlichkeitsschutz wurde gegenüber der Informationsfreiheit und dem Informationsinteresse der Öffentlichkeit als vorranging erachtet.

Gilt das „Recht auf Vergessenwerden“ für Verlinkungen weltweit?

Das „Recht auf Vergessenwerden“ gilt nur innerhalb der EU. Mit aktuellem Urteil vom 24. September 2019 wurde hier durch den EuGH geklärt, dass Google seine Suchergebnisse nicht weltweit löschen muss, wenn ein EU-Bürger sein „Recht auf Vergessenwerden“ geltend macht. Der Geltungsbereich der Löschpflicht erstreckt sich danach grundsätzlich nur auf alle Staaten innerhalb der EU und auf EU-Bürger.

Ausnahmen hiervon können allerdings dann gelten, wenn das Interesse der Öffentlichkeit am Zugang zu Suchergebnissen aufgrund anderweitiger journalistischer Regeln für die Datenverarbeitung dem Recht betroffener Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten überwiegt.

Uneingeschränktes Auslistungsbegehren gegen Internet-Suchdienst?

In einem aktuellen Urteil des Bundesgerichtshofs (BGH) vom 23. Mai 2023 (VI ZR 476/18) werden Auslistungsbegehren von Betroffenen hinsichtlich eines „Rechts auf Vergessenwerden“ aber nicht schrankenlos gewährleistet. Wer versucht, kritische Einträge klageweise versucht löschen zu lassen, muss die Unrichtigkeit der Angaben hinreichend nachweisen können. Denn andernfalls kann die Informations- und Meinungsfreiheit im Einzelfall höher wiegen als die informationelle Selbstbestimmung des Betroffenen. Stehen Einträge aber ausschließlich kontextlos in einer Vorschau, so sind diese Einträge für sich genommen nicht aussagekräftig. Sie dienen keinem Informationsinteresse, welches dem Betroffenen entgegengehalten werden kann. Eine Veröffentlichung von Fotos mittels Vorschaubildern oder sogenannter Thumbnails in der Google Trefferliste, ist daher grundsätzlich nicht gerechtfertigt. Einem vom Grundsatz her bedingungslosen Anspruch auf Löschung selbiger muss der Suchmaschinenbetreiber nachkommen.

Folge für Suchmaschinenbetreiber und hiervon Betroffene

Betreiber von Suchmaschinen wie z.B. Google müssen im Rahmen der Umsetzung der Datenlöschung dauerhaft dafür Sorge tragen, dass Nutzer nicht von einem Mitgliedstaat aus auf die entsprechenden Verlinkungen auf Nicht-EU-Versionen der Suchmaschine zugreifen können und damit keine Verarbeitung von personenbezogenen Daten, die sich auf diesen Webseiten befinden, erfolgen kann. So wären zum Beispiel über Social Media veröffentlichte Mitarbeiterbilder auf Antrag des Betroffenen durch den Verantwortlichen innerhalb der EU derart zu löschen, dass über den Einsatz von Suchmaschinen dauerhaft keine Verlinkung auf entsprechende Bilder mehr angezeigt wird. Der Betreiber der Suchmaschine muss dann sicherstellen, dass auch durch Zugriff auf Nicht-EU-Seiten keine Verlinkung auf entsprechende Seiten erfolgen kann.

Fazit: Löschpflichten von Anfang an integrieren

Wenn es um Anfragen Betroffener geht, bedarf es im Unternehmen eines professionellen Umgangs hiermit. Neben dem Auskunftsrecht ist das Löschbegehren diejenige Anfrage, die wohl jedem Unternehmen früher oder später begegnen wird. Eine eher stiefmütterliche Herangehensweise kann sich im Nachhinein als Sisyphusarbeit erweisen. Daher lohnt es sich, die hiermit verbundenen Aufgaben im Unternehmen vorab zu realisieren. Denn verarbeitet ein Unternehmen grundsätzlich personenbezogene Daten nur in gesetzlich zulässiger Weise, besteht keine darüberhinausgehende Verpflichtung zur Löschung.

Folgende Punkte sollten zur Umsetzung der Löschpflichten im Unternehmen realisiert werden

  • Synergien nutzen! Für die DSGVO-konforme Datenlöschung und die Gewährleistung des „Rechts auf Vergessenwerden“ sollte im Unternehmen eine organisierte Übersicht über die Art der verarbeiteten Daten, den Zweck der Verarbeitungen und die Ablageorte sowie die gesetzliche Aufbewahrungsfristen geführt werden. Im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist die Angabe der Fristen für die Löschung der jeweiligen personenbezogenen Daten verpflichtend vorgesehen.
  • Empfehlenswert ist ein eigenes Löschkonzept für alle im Unternehmen durchgeführten Verarbeitungstätigkeiten zu erstellen. Hierauf kann dann im Verzeichnis der Verarbeitungstätigkeiten verwiesen werden.
  • Das Einhalten der Löschroutinen hat dokumentiert zu erfolgen. Unternehmen müssen diesen Nachweis führen können. Dies fordert die Rechenschaftspflicht.
  • Löschbegehren sind im Rahmen eines internen Prozesses zur Beantwortung von Betroffenenanfragen nachzukommen. Ein Unternehmen zeigt hierdurch einen professionellen Umgang in der Kommunikation mit Betroffenen. Da die Löschung in der Praxis oftmals an ein Auskunftsbegehren anknüpft, sollte dieser Prozess ganzheitlich etabliert werden. Praktische Hinweise zur Umsetzung finden Sie in unserer Anleitung zum Umgang mit Betroffenenanfragen sowie der zugehörigen kostenlosen Vorlage für eine Richtlinie.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.