Das Recht auf Vergessenwerden erhielt durch das Google-Spain-Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2014 breite mediale Aufmerksamkeit. Nun findet sich das Recht auf Vergessenwerden erstmals kodifiziert in der Datenschutz-Grundverordnung neben dem Recht auf Löschung wieder.
Dabei regelt die entsprechend benannte Norm primär Löschpflichten. Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, bzw. die betroffene Person ihre Einwilligung widerrufen hat und kein sonstiger Rechtfertigungsgrund einschlägig ist, die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist. Daneben sind die Daten selbstverständlich zu löschen, wenn bereits die Verarbeitung an sich unrechtmäßig war.
Der Verantwortliche unterliegt also einerseits automatisch einer gesetzlichen Löschungspflicht und muss andererseits den Löschungsbegehren der Betroffene nachkommen. Wie die Daten im Einzelfall gelöscht werden sollen, wird vom Gesetz nicht weiter beschrieben. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen. Als ausreichend wird es daher angesehen, die Datenträger physisch zu zerstören oder die Daten unter Verwendung spezieller Software endgültig zu überschreiben.
Daneben findet das Recht auf Vergessenwerden Einzug in Art. 17 Abs. 2 DSGVO. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und liegt einer der oben genannten Gründe zur Löschung vor, so muss er unter Berücksichtigung der Umstände angemessene Maßnahmen treffen, die alle weiteren für die Datenverarbeitung Verantwortlichen darüber informieren, dass alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen sind.
Ein Löschantrag steht unter keinerlei Formvoraussetzungen und darf durch den Verantwortlichen auch nicht an solche geknüpft werden. Dennoch muss die Identität des Betroffenen in geeigneter Weise nachgewiesen werden. Anderenfalls kann der Verantwortliche erst noch zusätzliche Informationen anfordern oder das Löschen sogar verweigern. Liegt ein Antrag auf Löschung oder eine gesetzliche Löschpflicht vor, hat die Umsetzung unverzüglich zu erfolgen. Das bedeutet, dass dem Verantwortlichen nur eine angemessene Zeit zur Prüfung der Voraussetzungen einer Löschung zur Verfügung steht. Im Falle eines Löschungsantrags ist der Betroffene spätestens innerhalb eines Monats über ergriffene Maßnahmen oder über die Gründe der Ablehnung zu informieren. Ein weiteres Mal schlägt sich das Recht auf Vergessenwerden in der Mitteilungspflicht wieder. Neben der Löschung hat der Verantwortliche gemäß Art. 19 EU-DSGVO sämtliche Empfänger der Daten darüber zu informieren. Dabei hat er alle ihm zur Verfügung stehenden Mittel und angemessene Maßnahmen auszuschöpfen.
Passende Artikel der DSGVO
Art. 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“) Art. 19 DSGVO Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Passende Erwägungsgründe
(65) Recht auf Berichtigung und Löschung (66) Recht auf Vergessenwerden
Passende Paragraphen des BDSG
§ 4 BDSG Videoüberwachung öffentlich zugänglicher Räume § 35 BDSG Recht auf Löschung
Externe Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 11 – Recht auf Löschung / „Recht auf Vergessenwerden“ (Link)
- Datenschutzbehörde Bayern ► Recht auf Löschung („Vergessenwerden“) – Art. 17 DS-GVO (Link)
- Datenschutzbehörde Berlin ► Betroffenenrechte (Link)
- Die Bundesdatenschutzbeauftragte ► BfDI-Info 6 – Betroffenenrechte, Seite 13 (Link)
- EU-Kommission ► Müssen wir personenbezogene Daten auf Aufforderung stets löschen? (Link)
- Data Protection Authority UK ► Right to erasure (Link)
- Data Protection Authority Isle of Man ► Erasure (Link)
- Data Protection Authority Ireland ► Rights of Individuals under the General Data Protection Regulation – The right to erasure, Page 8 (Link)
- Article 29 Data Protection Working Party ► WP225 – Guidelines on the implementation of the court of justice of the European Union Judgement on “Google Spain” (Link)
Fachbeiträge
- GDD ► Praxishilfe – Accountability (Link)
- Dr. Thomas Hoeren ► Skriptum Internetrecht – Recht auf Löschung (Recht auf „Vergessenwerden“), Seite 409 (Link)
- BvD-News ► Recht auf Löschung: Der Radiergummi der DS-GVO, Seite 47 (Link)
- De lege data ► Keine starren Löschfristen unter der EU Datenschutz-Grundverordnung (Link)
- Datenschutzbeauftragter INFO ► Praxistipp: Löschkonzept im Unternehmen implementieren (Link)
- DIN ► Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten (Link)
Antworten