Recht auf Löschung („Recht auf Vergessenwerden“)
Home » DSGVO » Rechte der betroffenen Person » Recht auf Löschung („Recht auf Vergessenwerden“)
Artikel 17 DSGVO räumt der betroffenen Person das Recht ein, sie betreffende personenbezogene Daten ohne unangemessene Verzögerung löschen zu lassen. Dieses Recht spiegelt den Grundsatz der Datenminimierung (siehe „Grundsatz der Datenminimierung“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien) und den Grundsatz der sachlichen Richtigkeit (siehe „Grundsatz der sachlichen Richtigkeit“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien) wider, demzufolge personenbezogene Daten auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sowie sachlich richtig und auf dem neuesten Stand sein müssen (Artikel 5 Absatz 1 Buchstaben c und d).

Gemäß Artikel 17 Absatz 1 DSGVOgilt das Recht auf Löschung in den folgenden Fällen:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft die Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer andereweitig anwendbaren Rechtsgrundlage.
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft für Kinder gemäß Artikel 8 Absatz 1 DSGVO erhoben.

Aus praktischer Sicht bedeutet das Recht auf Löschung, dass die Daten in einer Weise unbrauchbar gemacht werden, die es dem Verantwortlichen und jeder anderen Partei unmöglich macht, (erneut) auf die Daten zuzugreifen und sie (erneut) zu verarbeiten[1]. Dies kann entweder durch die Vernichtung des physischen Datenträgers (z. B. Papierdokumente) oder durch die Löschung der Daten aus den IT-Systemen geschehen. Der Löschvorgang ist dann erfolgreich, wenn die Daten nicht mehr ohne großen Aufwand wiederhergestellt werden können. Voigt und von dem Bussche halten z. B. die theoretische Möglichkeit der Wiederherstellung der Daten durch eine spezielle Software für sinnvoll[2].

Einerseits gibt es internationale Normen, die speziell dafür geschaffen wurden, wie Informationen auf Papier vernichtet werden müssen. Insbesondere muss das Papier durch einen geeigneten Schredder vernichtet werden. Ein Beispiel für eine Norm zu diesem Thema ist die DIN 66399[3], die Leitlinien für die Eignung von Aktenvernichtern und deren Konfiguration enthält. Die Vernichtung von Informationen kann entweder intern von dem Verantwortlichen oder von einem externen Unternehmen durchgeführt werden. Im Falle einer Auslagerung ist das externe Unternehmen als Auftragsverarbeiter zu betrachten, da Artikel 4 Absatz 2 DSGVO auch die „Löschung oder Vernichtung“ als Verarbeitungsvorgang betrachtet. Gemäß Artikel 28 Absatz 3 DSGVO muss der Verantwortliche einen Vertrag abschließen, der dem Auftragsverarbeiter alle notwendigen Pflichten auferlegt, um angemessene Garantien zu gewährleisten (siehe Artikel 28 DSGVO).

Andererseits kann es vorkommen, dass die Löschung von aktiven Systemen nicht sofort erfolgt. Es reicht nicht aus, die Daten in den Papierkorb des Computers zu verschieben. So können die Daten beispielsweise an verschiedenen Orten und auch in Backup-Speichern gespeichert sein. In solchen Fällen kann die Reaktion auf den Antrag der betroffenen Person aufgrund der geltenden technischen Mechanismen komplizierter sein und länger dauern. Dementsprechend muss der Verantwortliche die Backup-Daten unbrauchbar machen (d. h., dass niemand die Daten im Backup-Speicher zu irgendeinem Zweck verarbeiten kann), bis der Speicher planmäßig aktualisiert wird und die Daten schließlich endgültig gelöscht werden können. Ein aktuelles Beispiel für Normen, die auf dieses Verfahren anwendbar sind, findet sich in der ISO 27701.

Wenn personenbezogene Daten öffentlich sind und gelöscht werden müssen, muss der Verantwortliche außerdem angemessene Maßnahmen ergreifen, um andere Verantwortliche, die dieselben Daten verarbeiten, über den Antrag der betroffenen Person auf Löschung zu informieren. Diese Angemessenheit ergibt sich aus den verfügbaren Technologien und den Kosten der Umsetzung, wie in Erwägungsgrund 66 der DSGVO erläutert ist. Ebenso muss der Verantwortliche gemäß Artikel 19 DSGVO jedem Empfänger, dem die Daten offengelegt wurden, die Löschung mitteilen, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden (siehe „Grundsatz der Richtigkeit“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien).

Eine viel diskutierte Frage betrifft die Beweislast. Einerseits müssennach Voigt und von dem Bussche (2017) die betroffenen Personen das Bestehen ihres Rechts auf Löschung nachweisen; der Verantwortliche ist jedoch verpflichtet, günstige Umstände dafür nachzuweisen, wie z. B. die Vorlage eines Gegenbeweises, um eine unrechtmäßige Verarbeitung gemäß Artikel 17 Absatz 1 Buchstabe d DSGVO zu verneinen. Das Gleiche gilt für den Nachweis von Ausnahmen vom Recht auf Löschung gemäß Artikel 17. 3 DSGVO (siehe unten)[4]. Andererseits stellt die Agentur für der Europäischen Union für Grundrechte fest, dass es bei einem Antrag der betroffenen Person auf Löschung lediglich Aufgabe des Verantwortlichen ist, die Rechtmäßigkeit der Verarbeitung zu belegen.[5]

Vor diesem Hintergrund sieht Artikel 17 Absatz 3 DSGVO mehrere Ausnahmen vom Recht auf Löschung vor, u. a.,soweit die Verarbeitung personenbezogener Daten erforderlich ist:

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke;
  • zur Geltendmachung oder Verteidigung von Rechtsansprüchen.

Ducato konzentriert sich auf die Einschränkung des Rechts auf Löschung, wenn die Ausübung dieses Rechts das Erreichen der Forschungsziele unmöglich machen oder beeinträchtigen würde, und führt aus, dass eine solche Einschränkung […] angesichts der besonderen Erfordernisse des Forschungskontexts gerechtfertigt ist: Die Löschung der vollständigen oder teilweisen für eine Studie verwendeten Daten würde, selbst wenn sie technisch möglich wäre, die Gefahr bergen, die wissenschaftliche Validität der Forschung zu untergraben, indem sie die Überprüfung ihrer Ergebnisse und den Peer-Review-Prozess verhindert.[6] Die Einschränkung sei daher offensichtlich auf bereits abgeschlossene Studien beschränkt, da die Nichtaufnahme der Forschung und die anschließende Ausübung des Rechts auf Löschung die Forschungsziele nicht beeinträchtigen würden[7].

Checkliste für die Beantwortung eines Antrags auf Löschung:

Steht die Ausübung des Rechts auf Löschung im Einklang mit der DSGVO?

☐ Haben Sie einen Antrag auf Löschung von einer juristischen Person erhalten? Wenn ja, geben Sie bitte an, dass der Antrag nicht von einer natürlichen Person gestellt wurde.

☐ Hat sich die Person korrekt identifiziert? Wenn nicht, bitten Sie um weitere Informationen zur Bestätigung der Identität.

☐ Fällt der Antrag unter eines der in Artikel 17 Absatz 1 DSGVO genannten Szenarien? Wenn nicht, informieren Sie bitte die betroffene Person und erklären Sie ihr, dass der Antrag abgelehnt wird.

☐ Erfüllt der Antrag eine der in Artikel 17 Absatz 3 DSGVO vorgesehenen Ausnahmen? Falls ja, informieren Sie bitte die betroffene Person und erklären Sie ihr, dass der Antrag abgelehnt wird.

☐ Kann der Antrag innerhalb eines Monats bearbeitet werden? Wenn nicht, geben Sie bitte an, warum und wie lange die Bearbeitung der Anfrage dauern wird.

☐ Dem Antrag muss stattgegeben werden.

Wie können Sie alle Pflichten der DSGVO erfüllen?

☐ Daten in einer Weise unbrauchbar machen, die es Ihnen und anderen Parteien unmöglich macht, auf die Daten (erneut) zuzugreifen und sie (erneut) zu verarbeiten

☐ Mitteilung der Löschung an jeden Empfänger, dem die personenbezogenen Daten mitgeteilt wurden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

 

Quellenangaben

1P. Voigt & A. von dem Bussche, a. a. O., S. 161

2 Ebd. , p. 161

3Diese Norm wurde vom DIN, der Abkürzung für das Deutsche Institut für Normung, entwickelt. Für weitere Informationen siehe: https://din66399.de

4P. Voigt & A. von dem Bussche, a. a. O., S. 159

5Agentur der Europäischen Union für Grundrechte (Hrsg.), op. cit. , S. 223

6R. Ducato, op. cit. , S. 6

7 Ebd.

Skip to content