Unter den Betroffenenrechten ist das Recht auf Löschung oder das Recht auf Vergessenwerden eines der schärfsten Schwerter. Doch wie genau funktioniert das mit dem Löschen und Löschen lassen? Das erfährt man hier.
Quelle: dr-datenschutz | 05.04.2022
Was ist das Recht auf Löschung?
Das Recht auf Löschung besagt, dass Daten, für die ein Verantwortlicher keine Rechtsgrundlage zur Datenverarbeitung mehr hat, gelöscht werden müssen. Dies kann darauf zurückgehen, dass eine Einwilligung widerrufen wurde, gegen eine Verarbeitung im berechtigten Interesse widersprochen wurde oder Aufbewahrungsfristen für vertragliche Daten abgelaufen sind. Wann immer der Zweck, für den die Daten verarbeitet und gespeichert wurden, vollends erreicht ist oder nicht mehr erreicht werden kann, sind die Daten zu löschen.
Was ist das Recht auf Vergessenwerden?
Das Recht auf Vergessenwerden wird oft mit dem Recht auf Löschung gleichgesetzt, bezieht sich aber tatsächlich auf etwas anderes. Wer insbesondere durch Presseberichterstattung in die Öffentlichkeit geraten ist, hat meist auch in Such-Indizes der Suchmaschinen und generell im Internet „Spuren“ hinterlassen. Diese sind heute weit besser auffindbar, als sie es früher in den Archiven der Zeitungen waren. Um trotzdem ein „Ruhen lassen“ und „Vergessen“ der Öffentlichkeit zu ermöglichen, besteht nach einer gewissen Zeit ein Recht, diese Spuren aus dem Internet löschen zu lassen.
Das Konzept des Rechts wurde „geboren“, als der EuGH 2014 entschied, dass eine Suchmaschine in bestimmten Fällen dazu verpflichtet werden kann, Suchergebnisse zu Personen zu löschen, die lange zurück liegen. Gerade lange zurückliegende strafrechtliche Verurteilungen wurden in der Folgezeit mehrfach von Gerichten als Grund für eine Löschung aus Suchergebnissen bei Google bestätigt.
BGH und BVerfG mussten sich mit diesen Fragen ebenfalls befassen, mit Einführung der DSGVO wurde dieses bisher auf allgemeines Persönlichkeitsrecht und Grundrechte gestützte Recht zumindest partiell auch in einen Gesetzestext aufgenommen und damit konkretisiert.
Wie unterscheidet sich das Recht auf Vergessenwerden vom Recht auf Löschung?
Der Unterschied zwischen beiden Rechten ist, dass das Recht auf Löschung beim Verantwortlichen ansetzt, der die Daten erhoben hat, während das Recht auf Vergessenwerden auch auf Dritte ausstrahlt. Der Verantwortliche (oft ein Presseverlag o.ä.), der Daten über eine Person veröffentlich hat, muss beim Recht auf Vergessenwerden auch dafür sorgen, dass Dritte die Verlinkungen entfernen. Die betroffene Person kann z.B. auch gegen Suchmaschinen vorgehen. Beim Recht auf Löschung können direkter alle Daten, die über die eigene Person erhoben wurden, gelöscht werden. Das erfasst aber keine Daten, die ggf. zuvor berechtigt an Dritte weitergegeben wurden.
Der Anspruch auf Löschung nach der DSGVO
Das Recht auf Löschung gibt als Betroffenenrecht der Person, deren Daten verarbeitet werden, einen Anspruch darauf, vom Verantwortlichen die Löschung zu verlangen.
Unter welchen Voraussetzungen besteht ein Anspruch auf Löschung?
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig;
- Die betroffene Person hat ihre Einwilligung widerrufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
- Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich
- Die personenbezogenen Daten eines Minderjährigen wurden in Bezug auf angebotene Dienste der Informationsgesellschaft, d. h. Internetangebote wie Medien, Webshops oder Online-Spiele, erhoben.
Wie kann ich die Löschung meiner Daten verlangen?
Zunächst muss die betroffene Person Kenntnis von den über sie gespeicherten Daten haben. Hier hilft ihr das Auskunftsrecht aus Art. 15 DSGVO weiter, der vor dem Löschanspruch geltend gemacht werden sollte.
Sodann kann die betroffene Person einen Antrag auf Löschung beim Verantwortlichen stellen. Nicht erforderlich, aber zu empfehlen ist es, den Antrag schriftlich oder zumindest per E-Mail zu stellen. Eine Vorlage für einen Löschantrag gibt es auch am Ende dieses Artikels. Bei Antragsstellung muss die Identität der betroffenen Person in geeigneter Weise nachgewiesen werden, da anderenfalls erst noch zusätzliche Informationen vom Verantwortlichen angefordert werden können (Art. 12 Abs. 6 DSGVO) oder die Löschung sogar verweigert werden kann (Art. 12 Abs. 2 Satz 2 DSGVO). Dies dient auch dem Schutz, dass nicht fremde Personen einfach Accounts oder Daten löschen lassen können.
Wird die Löschung abgelehnt, muss der Verantwortliche das begründen. Auf die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde und auf einen gerichtlichen Rechtsbehelf ist hinzuweisen.
Wann müssen Daten gelöscht werden?
Die betroffenen Daten sind unverzüglich zu löschen. Das bedeutet „ohne schuldhaftes Zögern“, also so bald wie es möglich ist, nachdem einem der Löschgrund bekannt geworden ist.
Die Löschung darf nach einem Antrag des Betroffenen bzw. bei Vorliegen des Löschungsgrundes folglich nicht hinausgezögert werden. Der Verantwortliche darf nur die Voraussetzungen für die Löschung überprüfen, und wenn diese vorliegen, muss umgehend die Löschung vollzogen werden.
Bei einem Löschungsantrag des Betroffenen ist allerdings in jedem Fall zu beachten, dass spätestens innerhalb eines Monats nach Eingang des Löschungsantrags die betroffene Person über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung informiert werden muss. Wenn es aus organisatorischen Gründen unmöglich ist, diese Frist einzuhalten, kann sie ggf. verlängert werden. Dies kann insbesondere eintreten, wenn sehr viele Löschanfragen gleichzeitig eintreffen.
Unabhängig von einem Löschungsantrag ist auch zu beachten, dass zwischen der Kenntnisnahme vom Löschungsgrund und dem Tätigwerden des Verantwortlichen kein schuldhaftes Zögern vorliegen darf. Sind Löschungsgründe dem Verantwortlichen bekannt (z.B. nach Zeitablauf bei Aufbewahrungsfristen) muss auch dafür gesorgt werden, dass die Daten zeitnah gelöscht werden, ohne dass es eines Antrags eines Betroffenen bedarf.
Wann müssen Daten nicht gelöscht werden?
Von der Löschungspflicht gibt es allerdings auch Ausnahmen. Eine Löschungspflicht besteht nicht,
- solange und soweit die Verarbeitung (noch) erforderlich ist;
- bei Ausübung des Rechts auf freie Meinungsäußerung und Information durch den Verantwortlichen;
- wenn Daten zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben verarbeitet werden;
- bei Datenverarbeitungen im öffentlichen Interesse im Bereich der öffentlichen Gesundheit;
- bei im öffentlichen Interesse liegenden Archivzwecken, Forschungszwecken und statistischen Zwecken;
- bei Datenverarbeitungen zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
In all diesen Fällen aber auch beachten: Der Zweck kann durch Zeitablauf (z.B. Verjährung aller in Betracht kommenden Rechtsansprüche) zu einem späteren Zeitpunkt wegfallen, sodass dann ein Löschanspruch besteht.
Löschpflicht vs. Aufbewahrungspflicht
Der in der Praxis wichtigste Grund, nicht zu löschen, sind Aufbewahrungspflichten. Diese gibt es teilweise direkt, wie z.B. steuerliche Aufbewahrungspflichten für Rechnungen und Lohnabrechnungen. Indirekt resultieren sie aus den Verjährungsfristen für Rechtsansprüche. Nach einer Personalentscheidung werden z.B. die Unterlagen der abgelehnten Bewerber aufbewahrt, um sich im Fall einer AGG-Klage zu verteidigen.
In dem Moment, in dem aber Daten „nur noch“ aufbewahrt werden, weil sie einer Aufbewahrungspflicht unterliegen, ändert sich der Zweck ihrer Verarbeitung. Damit ändert sich auch der Kreis der Personen, die darin Einsicht erhalten sollten. In den meisten Fällen braucht niemand mehr Zugriff auf diese Daten in „aktiven“ Systemen. Sie können für den Zugriff durch die meisten Mitarbeiter gesperrt werden. So wird auf mehreren Ebenen vermieden, dass zweckwidrige Datenverarbeitungen stattfinden.
Bei längeren Aufbewahrungspflichten ist allerdings die Frage, ob der komplette Datensatz deswegen aufbewahrt werden muss, oder ob für die Aufbewahrungspflicht unerhebliche Daten bereits früher zu löschen sind. Einzelne Aufsichtsbehörden und auch eine Gerichtsentscheidung des OLG Dresden haben darauf abgestellt, dass auch in Dokumenten einzelne Daten gelöscht werden müssen, wenn für diese Daten keine konkrete Aufbewahrungspflicht mehr besteht. Soweit z.B. für nach Steuerrecht aufbewahrte Geschäftskorrespondenz Name und Anschrift eines Geschäftspartners nicht mehr erforderlich sind, sind diese nach Ansicht des OLG Dresden auch aus Briefen und E-Mails zu löschen.
Bei kurzen Aufbewahrungsfristen wird dieses Problem weniger auftreten als bei längeren.
Zu bewerten, welche einzelnen Daten noch erforderlich sind und welche nicht, kann manchmal schwierig sein. Im Zweifelsfall sollte dokumentiert werden, dass eine Abwägung stattfand und zum Ergebnis kam, dass die weitere Aufbewahrung zweckmäßig geboten ist. Wenn aber für alle Beteiligen nach einer Abwägung klar ist, dass diese Daten „nie mehr gebraucht werden“, so steht einer Löschung nichts im Weg.
Dürfen Daten auch anonymisiert anstatt gelöscht werden?
Gerade manche Softwareanbieter haben in ihren Programmen keine richtige Löschfunktion verankert und bieten stattdessen an, Daten zu anonymisieren. Komplett anonyme Daten wären keine personenbezogenen Daten mehr, was dies als Alternative zur Löschung anbieten würde. Es gibt hierbei aber auf technischer und rechtlicher Ebene viele Fallstricke, sodass man sich nicht ohne Weiteres darauf verlassen sollte, dass eine Anonymisierung einer Löschung gleichzusetzen ist. Für eine tiefere Betrachtung verweisen wir auf den detaillierten Beitrag zur Anonymisierung.
Daten voreilig löschen = Datenschutzverstoß?
Da auch die Löschung eine Datenverarbeitung darstellt, braucht es für sie immer eine Rechtsgrundlage. Werden Daten gelöscht, obwohl sie nach ihrem Zweck noch weiter gespeichert oder aktiv verwendet werden sollten, so kann dies einen Datenschutzverstoß darstellen.
Der Grundsatz der Datenminimierung wurde teilweise so interpretiert, dass gelöschte Daten „nicht so schlimm“ seien, weil dadurch weniger Daten beim Verantwortlichen vorliegen. Aber der Grundgedanke der DSGVO ist auch, dass die Betroffenen selbst umfassend bestimmen sollen, wer was mit ihren Daten macht. Eine rechtsgrundlose Löschung ist damit auch der Entzug dieser Kontrolle durch den Betroffenen. Zudem kann es auch kritische Daten treffen, gerade wenn man z.B. an medizinische Daten denkt, deren plötzliche Löschung mit problematischen bis gefährlichen Konsequenzen für die Patienten verknüpft sein können.
In den bisher rechtlich verhandelten Fällen von z.B. fälschlich gelöschten Social Media-Accounts wurde meist festgestellt, dass eine Bagatellgrenze nicht überschritten wurde. Die voreilige Löschungen von Daten ist aber nicht per se unproblematisch. Sie sollte nicht auf die leichte Schulter genommen werden.
Dokumentation der Löschung
Wie alle datenschutzrechtlichen Maßnahmen sollte auch die Löschung gegenüber der Aufsichtsbehörde durch Dokumentation nachgewiesen werden können. Doch wie dokumentiert man richtig, dass Daten nicht mehr da sind?
Wie wird die Löschung korrekt dokumentiert?
Gerade wenn die Löschung aufgrund einer Betroffenenfrage durchgeführt wird, ist auch dem Betroffenen die Umsetzung seines Betroffenenrechts zu dokumentieren. Hierfür empfiehlt sich ein standardisiertes Löschprotokoll, in dem dokumentiert wird, wann Daten gelöscht wurden.
Wie ist dann ein Nachweis der Löschung möglich?
Der konkrete Inhalt des Formulars ist natürlich wichtig und problematisch. Eine Angabe wie „am xx. Februar wurden alle Daten von Person Y. aus den Kundendatenbanken unseres Geschäftsbereichs z gelöscht“ ist nicht sinnvoll. Hier würden wieder personenbezogene Datensätze von u.U. größerem Umfang erstellt. Im Beispiel wären z.B. der Name sowie die Kundeneigenschaft und in welchen Geschäftsbereich die Person Kunde war direkt ersichtlich. Gerade solche Daten sollten nicht bei der Löschung erfasst werden!
Es sollte daher nur erfasst werden, dass an Tag x. Daten gelöscht wurden, mehr nicht. Alle darüberhinausgehenden Angaben würden die Löschung insofern ad absurdum führen, weil nach der Löschung genauso viele oder mehr Daten existieren als vorher.
Das Löschprotokoll sollte 3 Jahre lang aufbewahrt werden, dann kann auch dieses endgültig vernichtet werden.
Muster: Recht auf Löschung seiner Daten richtig beantragen
Um alle entscheidenden Angaben korrekt anzugeben, wenn man das Betroffenenrecht auf Löschung geltend macht, hat das bayerische Landesamt für Datenschutzaufsicht eine Antragsvorlage erstellt. Diese kann kostenlos abgerufen werden.
Alles hat ein Ende – mit der Löschung
Die Löschung ist das Ende der Daten, und damit letztlich Teil des „natürlichen“ Lebenskreislaufs der Daten. Regelmäßige Löschung von Altdaten schafft auch freie Kapazitäten in Systemen und macht Datenbanken übersichtlicher. Wenn Daten noch rechtmäßig verarbeitet werden dürfen, sind sie nicht zu löschen – gibt es aber keine Rechtsgrundlage mehr, sie nutzen zu dürfen, sind sie mehr Ballast. Ein Löschkonzept für das eigene Unternehmen ist daher nicht nur aus der Perspektive der datenschutzrechtlichen Compliance sinnvoll. Die regelmäßige proaktive Löschung von Altdaten und ein Konzept für die Löschung auf Anfrage von Betroffenen machen den Umgang mit der Löschung zur Routine. So wird Datenschutz im Unternehmen gelebt.