Datenschutz und IT

Das Recht auf Vergessenwerden, das die europäische Datenschutzgrundverordnung (DSGVO) in Art. 17 jedem Bürger zuspricht, soll die Persönlichkeitsrechte des Einzelnen stärken. Doch wann sind Verantwortliche verpflichtet, die Daten zu löschen, und wann gelten Ausnahmen?

Löschgründe nach Art. 17 DSGVO 

Art. 17 DSGVO verpflichtet den Verantwortlichen im Sinne der DSGVO, insbesondere in den folgenden Fällen das Recht auf Vergessenwerden umzusetzen: 

Zweckerfüllung 

Werden personenbezogene Daten nicht mehr für den Zweck benötigt, für den sie ursprünglich erhoben oder auf sonstige Weise verarbeitet wurden, müssen sie gelöscht werden. Falls möglich, kann der Verantwortliche eine neue, mit der ursprünglichen im Einklang stehende Legitimationsgrundlage heranziehen. 

Widerruf der Einwilligung 

Erfolgte die Verarbeitung personenbezogener Daten auf Grundlage einer Einwilligung, muss der Verantwortliche die entsprechenden Daten löschen, wenn die betroffene Person ihre Einwilligung widerruft. Gegebenenfalls kann sich der Verantwortliche aber auf eine andere Rechtsgrundlage berufen, z. B. auf das Vorliegen einer Aufbewahrungspflicht (etwa nach HGB oder AO). 

Widerspruch der betroffenen Person  

Stützt der Verantwortliche die Verarbeitung der personenbezogenen Daten auf die Wahrung berechtigter Interessen und die betroffene Person widerspricht der weiteren Verarbeitung ihrer Daten, müssen die Daten gelöscht werden, solange keine vorrangigen Gründe aufseiten des Verantwortlichen vorliegen. 

Widerspruch der betroffenen Person gegen Direktwerbung 

Widerspricht die betroffene Person der Direktwerbung im Sinne der DSGVO (Art. 21 Abs. 2), sind die Daten zu löschen. Dann muss jede unmittelbare Kontaktaufnahme unterbunden werden. Dazu gehören z. B. die persönliche Ansprache sowie der Kontakt per Telefon, E-Mail oder Social Media. 

Unrechtmäßigkeit der Datenverarbeitung 

Unrechtmäßig verarbeitete Daten muss der Verantwortliche unbedingt löschen. Die Verarbeitung ist unrechtmäßig, wenn 

  • keine entsprechende Erlaubnisform vorliegt,
  • die Grundsätze der Verarbeitung nicht eingehalten werden, 
  • die Vorgaben zur technischen Ausgestaltung nicht umgesetzt werden, 
  • die Daten nicht richtig oder unvollständig sind und die Korrektur nicht möglich ist. 

Anstelle der Löschung kann die betroffene Person die Einschränkung der Verarbeitung verlangen. Was darunter zu verstehen ist, wird im Buch „Datenschutz 2018“ ausführlich behandelt. 

Sparen Sie sich mühsame Recherchen und sichern Sie sich wertvolle Expertentipps zu den Vorgaben aus DSGVO und BDSG n. F. in einem Werk!

Datenschutz 2018

mehr erfahren

Erfüllung einer rechtlichen Verpflichtung 

Sofern das EU-Recht oder das Recht eines Mitgliedsstaats die Löschung von personenbezogenen Daten vorschreibt, sind diese unter den jeweils dort genannten Vorgaben zu löschen (z. B. in Bezug auf Telekommunikations-/Verbindungsdaten). 

Ausnahmen gemäß Art. 17 DSGVO 

Für das Löschen von personenbezogenen Daten gelten gemäß Art. 17 Abs. 3 DSGVO einige Ausnahmen, bei denen der Verantwortliche die betroffenen Daten trotz des Vorliegens eines Löschungsgrunds nicht (sofort) löschen muss. Dazu zählen: 

  • freie Meinungsäußerung und Information 
  • rechtliche Verpflichtung
  • öffentliche Gesundheit 
  • Archiv-, Forschungs- und Statistikzwecke 
  • Rechtsansprüche 

Im Rahmen des Rechts auf Vergessenwerden enthält auch das neue Bundesdatenschutzgesetz (BDSG) ergänzende Ausnahmeregelungen. Was im Rahmen von Videoüberwachung öffentlich zugänglicher Räume und dem Recht auf Löschung nach BDSG n. F. gilt, erfahren Sie im Buch „Datenschutz 2018“

Umfang und Zeitpunkt der Löschung personenbezogener Daten  

Die Daten müssen so gelöscht werden, dass sie für den Verantwortlichen nicht mehr zur Verfügung stehen, z. B. mittels einer Akten- oder Datenträgervernichtung. Es muss sichergestellt werden, dass die Verarbeitung der Daten in der bisherigen Form mit „normalen“ Verarbeitungsmitteln nicht mehr möglich ist. Die Löschung muss grundsätzlich alle betroffenen Daten umfassen, insbesondere auch sämtliche Kopien und Datenträger inkl. Back-ups. 

Es wird nicht verlangt, dass eine Rekonstruktion der Daten, z. B. unter Nutzung entsprechender technischer Mittel, absolut unmöglich ist. Allerdings muss der Aufwand für die Wiederherstellung unverhältnismäßig sein und dem jeweiligen Verarbeitungs- bzw. Risikokontext entsprechen. 

Wie schnell müssen die Daten gelöscht werden? 

Tritt die Löschpflicht ein, müssen die betroffenen personenbezogenen Daten unverzüglich gelöscht werden. Soweit keine besonderen Umstände vorliegen, gilt für die Löschung gemäß Art. 12 Abs. 3 Satz 1 DSGVO eine maximale Frist von einem Monat.  

Praxistipp: In bestimmten Fällen muss der Verantwortliche andere Verantwortliche über die Löschung aller Verlinkungen zu den betroffenen Daten und Kopien informieren. Im Rahmen des Rechts auf Vergessenwerden muss er dieser Verpflichtung nur insoweit nachkommen, als dass er die Information weiterleitet. Er muss nicht kontrollieren, ob der andere Verantwortliche die Daten tatsächlich gelöscht hat. 

Quelle: „Datenschutz 2018“

War der Artikel hilfreich?
finde ich gut 0