Recht auf Vergessenwerden: DSGVO-Betroffenenrechte im Portrait

Recht auf Vergessenwerden: DSGVO-Betroffenenrechte im Portrait

Das Internet vergisst nicht - oder doch?! Bilder, Dokumente, Videos und andere persönliche Dinge, die man einmal ins World Wide Web geladen hat, sollten dort nicht für immer bleiben. Das Recht auf Vergessenwerden ist ein Recht, welches ein Verbraucher gegenüber Verantwortlichen wahrnehmen kann. Es zählt zu einer Reihe von Rechten, die in der DSGVO verankert und zusammengefasst auch unter dem Begriff der Betroffenenrechte bekannt sind.

Mit Einführung der DSGVO werden die Rechte der Verbraucher gestärkt. Schließlich soll es durch die fortschreitende Digitalisierung keinen Freifahrtschein für Verantwortliche geben, sämtliche personenbezogene – und damit verbunden auch sensible Daten eines Einzelnen – zu verarbeiten. Einen umfassenden Überblick zu den Betroffenenrechten der DSGVO haben wir bereits zusammengefasst. Die Betroffenenrechte beschreiben das Recht der betroffenen Person – also derjenigen, von der personenbezogenen Daten verarbeitet werden. Damit die betroffene Person ihre Rechte auch umfassend wahrnehmen kann, bedarf es Transparenz bei der Datenerhebung und -nutzung sowie Aufklärung, welche Rechte sie in welchem Umfang wahrnehmen kann.

Nachfolgend möchten wir auf eines der Betroffenenrechte im Einzelnen eingehen: Das Recht auf Vergessenwerden. Ein Recht, das vielen Unternehmen bei der praktischen Umsetzung vor große Herausforderungen stellt.

Das Recht auf Vergessenwerden

In Art. 17 DSGVO ist das Recht auf Löschung bzw. das sogenannte Recht auf Vergessenwerden statuiert. Ganz einfach ausgedrückt: Das Internet muss vergessen können; das Internet muss betroffene Personen vergessen können. Das hatte bereits der Europäische Gerichtshof in der Sache Google vs. Spain gefordert. Der Entscheidung lag das Verfahren eines spanischen Bürgers zu Grunde, der sich gegen Google Spain und Google Inc. mit der Begründung wandte, ein bei Eingabe seines Namens erscheinender Bericht über finanzielle Schwierigkeiten aus dem Jahr 1998 stelle einen Verstoß über datenschutzrechtliche Vorgaben dar. Der Bericht sei inhaltlich zwar zutreffend, allerdings sollte man Informationen aus dem Jahr 1998 nicht mehr vorfinden können, wenn der Bürger sich längst aus den finanziellen Schwierigkeiten befreit und eine damit verbundene Strafe abgesessen hat.

Die Schaffung einer solchen Norm kann somit als eines der zentralen Motive für das Entstehen der DSGVO überhaupt angesehen werden. Prinzipiell ist dieser Gedanke und die Forderung nach Löschung, sobald die Daten nicht mehr der Zweckerreichung dienen, nicht neu, sondern seit Beginn der Datenschutzrichtlinie im Jahr 1995 immanent.

Das Löschen der personenbezogenen Daten soll durch die Statuierung in der DSGVO sicherstellen, dass Betroffene vor der nicht rechtmäßigen Verwendung ihrer Daten geschützt werden. Aber nicht nur Art. 17 DSGVO fordert ein Löschen der personenbezogenen Daten - das Vergessenwerden wird in mehreren Grundsätzen der DSGVO erwähnt. Für die Löschung der personenbezogenen Daten sind insbesondere folgende Gesetzesgrundlagen von hoher Bedeutung:

  • Die Forderung bzw. Festlegung allgemeiner Löschregeln kann aus Art. 5 DSGVO, den Datenschutzgrundsätzen, abgeleitet werden, wobei sich diese aus den Prinzipien Zweckbindung, Datenminimierung und Speicherbegrenzung ergeben.
  • Verbot mit Erlaubnisvorbehalt - Eine Verarbeitung, somit die Speicherung der personenbezogenen Daten, darf nur nach Art. 6 DSGVO erfolgen, wenn Sie eine Rechtsgrundlage für die Verarbeitung besitzen.
  • Beim Vorliegen von bestimmten Bedingungen kann nach Art. 17 DSGVO, dem Recht auf Vergessenwerden, eine Löschung der Daten verlangt werden.
  • Auf Einzelebene muss nach Art. 18 DSGVO die Aussetzung von der Löschung möglich sein.

Diese vier Grundlagen zum Löschen der personenbezogenen Daten stellen Verantwortliche in der Praxis vor große Herausforderungen. Schließlich müssen neben konkret ausgearbeiteten Löschfristen auch die technischen Möglichkeiten bestehen, einzelne personenbezogene Daten nach Ablauf eines bestimmten Datums zu löschen. Hier empfehlen wir dringend die Erstellung eines Löschkonzepts.

Wir helfen Ihnen bei der Erstellung und Umsetzung eines geeigneten Löschkonzepts!

Das Löschkonzept

Für ein Löschkonzept existiert kein universelles Muster. Es ist stets unternehmensspezifisch, muss den betrieblichen Abläufen entsprechen und unterscheidet sich zwischen den einzelnen Abteilungen. Nachfolgende Anhaltspunkte sind bei der Erstellung eines Löschkonzept hilfreich.

  1. Nehmen Sie eine Kategorisierung der personenbezogenen Daten vor, d. h. gliedern Sie die einzelnen Datenarten, wobei jede Datenart Inhalte mit einheitlichem rechtlichem oder fachlichem Zweck umfasst.
  2. Definieren Sie für die oben festgelegten Kategorien bestimmte Löschregeln. In einigen Fällen sieht der Gesetzgeber die Aufbewahrung von personenbezogenen Daten vor, etwa im Steuer-, Handelsrecht oder in der Abgabenordnung. In diesen Fällen dürfen die Daten von Ihnen lediglich für genau diese gesetzlichen Zwecke weiter gespeichert, aber nicht anderweitig verarbeitet werden. Nach Ablauf der gesetzlichen Aufbewahrungsfrist ist eine Löschung erforderlich.
  3. Definieren Sie ein Löschverfahren, d. h. wie soll eine Löschung der personenbezogenen Daten konkret ausgestaltet sein.

RechtAufVergessenwerden Löschkonzept Betroffenenrechte DSGVO Datenverarbeitung

Maren Kübler

Maren Kübler

Datenschutz­beauftragte

veröffentlicht am

25. März 2021

Lernen wir uns kennen!

Sie haben Anmerkungen oder Fragen zum Thema? Oder benötigen Sie unsere Expertise? Kontaktieren Sie uns mit Ihrem Anliegen, wir freuen uns auf den gemeinsamen Austausch.

VELIT Consulting GmbH & Co. KG

Weitere Artikel lesen

In unserem Blog behandeln wir topaktuelle Themen rund um den Datenschutz und unsere Arbeit. Bleiben Sie immer informiert.

GAIA-X: Eine europäische Dateninfrastruktur

28. Juli 2021

GAIA-X: Eine europäische Dateninfrastruktur

Webseiten-Tracking mit einem rechtskonformen Cookie-Banner verbessern

30. Juni 2021

Webseiten-Tracking mit einem rechtskonformen Cookie-Banner verbessern

Herausforderung im Gesundheitswesen: Verarbeitung besonderer Kategorien personenbezogener Daten

28. Mai 2021

Herausforderung im Gesundheitswesen: Verarbeitung besonderer Kategorien personenbezogener Daten