Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

Das Recht auf Löschung und was Unternehmen dabei berücksichtigen sollten

Die Rechte von Personen in der EU auf informationelle Selbstbestimmung erfahren durch die DSGVO erheblichen Auftrieb. Das wichtigste: das Recht auf Löschung ihrer Daten. Seinen Ursprung hat es im EU-weit anerkannten sogenannten Recht auf Vergessenwerden, das sich in erster Linie auf die Auffindbarkeit von Informationen in EU-Staaten über Suchmaschinen bezieht. Es gründet auf dem Vorgänger der DSGVO, der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie), und ist das Ergebnis eines Urteils des Europäischen Gerichtshofes im Mai 2014. Ihm zufolge müssen veraltete, fehlerhafte oder nicht relevante Daten aus Suchmaschinenergebnissen entfernt werden. Das Urteil war also auf einen sehr spezifischen Sachverhalt begrenzt und bezog sich nicht auf die Löschung von Daten.

Der Artikel 17 der DSGVO erweitert die Rechte von Personen auf die Löschung von personenbezogenen Daten, die in Unternehmen gespeichert und verarbeitet werden. Unter „Verarbeitung“ fällt auch die „Verbreitung oder eine andere Form der Bereitstellung“. Konkret betrifft die Löschpflicht auch Links zu öffentlich gemachten personenbezogenen Daten sowie Kopien oder Replikationen dieser Daten.

Personen in der EU können unter folgenden Voraussetzungen verlangen, dass personenbezogene Daten, die sie betreffend, gelöscht werden:

  • die Daten werden nicht mehr für den Zweck benötigt, für den sie erhoben und verarbeitet wurden;
  • die Betroffenen widerrufen ihre Einwilligung zur Verarbeitung ihrer Daten;
  • die Betroffenen widersprechen der Verarbeitung ihrer Daten;
  • die Daten werden unrechtmäßig verarbeitet;
  • die Löschung der Daten ist erforderlich, damit der Verantwortliche eine rechtliche Verpflichtung nach EU-Recht oder das Recht von Mitgliedstaaten erfüllt;
  • es handelt sich um personenbezogene Daten von Kindern unter 16 Jahren.

Ausnahmen von der Löschpflicht

Unter bestimmten Umständen kann die Aufforderung zur Löschung von Daten zurückgewiesen werden:

  • falls die Verarbeitung der Daten zur Ausübung des Rechtes auf freie Meinungsäußerung und Information erforderlich ist;
  • damit der Datenverantwortliche Rechtspflichten oder öffentliche Aufgaben wahrnehmen kann;
  • bei berechtigtem Interesse an der Verarbeitung im Bereich der öffentlichen Gesundheit;
  • für Zwecke im öffentlichen Interesse wie Archivzwecke, wissenschaftliche und historische Forschungszwecke oder statistische Zwecke;
  • damit Rechtsansprüche geltend gemacht, ausgeübt oder verteidigt werden können.

Verpflichtungen für Unternehmen

Betroffene Personen können Löschanträge formlos schriftlich oder in anderer Form stellen. In den Unternehmen muss sichergestellt sein, dass die Anträge als solche erkannt und unverzüglich, konkret innerhalb eines Monats nach Eingang, bearbeitet werden. Bei komplexen Anträgen können Unternehmen diese Frist um zwei Monate verlängern, müssen jedoch die Betroffenen über die Fristverlängerung informieren. Wird ein Antrag abgelehnt, ist die betroffene Person über die Gründe zu informieren sowie über die Möglichkeit, Beschwerde bei einer Aufsichtsbehörde einzulegen. Außerdem muss die Bearbeitung von Löschanträgen unentgeltlich erfolgen; nur bei offenkundig unbegründeten Anträgen oder bei einer übermäßig hohen Anzahl von Anträgen durch eine Person kann das Unternehmen eine Gebühr verlangen oder die Bearbeitung verweigern.

Auswirkungen in der Praxis

Was in der Theorie halbwegs überschaubar klingt, ist für die Unternehmen alles andere als einfach umzusetzen. Zahlreiche Umfragen und Untersuchungen haben gezeigt, dass es häufig schon an Grundlegendem hapert: Die meisten Unternehmen wussten zum Zeitpunkt der Befragungen gegen Ende 2017 nicht, wo im Unternehmensnetz personenbezogene Daten liegen, und waren sich nicht sicher, ob sie die Löschpflichten vollständig umsetzen können. Es ist davon auszugehen, dass sich die Lage jetzt, kurz vor der Anwendung der DSGVO, gebessert hat, aber nach wie vor Defizite bestehen.

Bei der Umsetzung sollten folgende Aspekte berücksichtigt werden:

  • Für das Auffinden von spezifischen Informationen im Unternehmensnetz sind Suchwerkzeuge wie das Modul e-Discovery in unserer DLP-Lösung Endpoint Protector nützlich. Sie scannen sämtliche Endgeräte im Unternehmen auf personenbezogene Daten. Über die lokalen Laufwerke werden auch Daten in Cloud-Speichern aufgespürt.
  • Grundsätzlich sollten Unternehmen ein Löschkonzept für ihre Daten erarbeiten. Damit erhalten sie den Überblick über die unterschiedlichen Datengruppen, die jeweiligen gesetzlichen Aufbewahrungs- bzw. Löschfristen und die Zeitpunkte für die Löschung. Aus ihnen werden Löschregeln entwickelt, bei deren Umsetzung die oben angesprochenen Suchwerkzeuge ebenfalls helfen.
  • Löschanträge gehen in erster Linie bei den Datenverantwortlichen ein. Sie müssen Unternehmen, die Daten in ihrem Auftrag verarbeiten, über das Löschverlangen „unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten“ informieren. Sie sind aber nicht verantwortlich dafür, wenn die Daten bei Dritten nicht vollständig gelöscht werden.
  • Da laut DSGVO Personen in der EU von den neuen Rechten profitieren, spielt die Nationalität der betreffenden Personen keine Rolle. Ausschlaggebend dafür, dass sie die Rechte in Anspruch nehmen können, ist ihr Aufenthaltsort.

Seit dem Urteil des Europäischen Gerichtshofes zum Recht auf Vergessenwerden hat Google allein aus Deutschland Anfragen für die Entfernung von 400.00 URLs aus dem Index erhalten. Es ist daher damit zu rechnen, dass die Menschen auch die weitergehenden Rechte der DSGVO auf Auskunft und Löschung geltend machen werden. Seien Sie vorbereitet!

In diesem Artikel:

    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.