Recht auf Datenlöschung gemäß DSGVO

Das Recht auf Datenlöschung ist auch unter dem Begriff „Recht auf Vergessenwerden“ bekannt – dieser Begriff gilt aber nur für personenbezogene Daten, die öffentlich gemacht wurden (z.B. auf Webseiten).

In Art. 17 DSGVO wird das Recht auf Löschen näher definiert und die Voraussetzungen hierfür genannt:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 I lit. a) oder Art. 9 II lit. a) stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Art. 21 I DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 II DSGVO
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 I DSGVO erhoben.

Abgesehen von dem Recht auf Löschung, ist die verantwortliche Stelle auch ohne eine Löschanfrage, dazu verpflichtet, personenbezogene Daten nach der Zweckerfüllung zu löschen. Werden also die Daten nicht mehr benötigt, müssen sie gelöscht werden.

Löschanfragen

Löschanfragen beziehen sich meist auf den Widerruf einer Einwilligung oder den Widerspruch, wenn keine berechtigten Gründe vorliegen.

Es könnte auch sein, dass die Daten unrechtmäßig verarbeitet werden, z.B. wenn es überhaupt keine Vertragsgrundlage gibt.

Dann jedoch erübrigt sich die Löschanfrage, denn ohne Rechtsgrundlage dürfte überhaupt keine Verarbeitung stattfinden.

Eine Löschung bedeutet die Unkenntlichmachung oder Vernichtung von Daten. Nach dem Löschen darf es nicht mehr möglich sein, die Daten zur Kenntnis nehmen zu können.

Das erreicht man in der Praxis am einfachsten durch Zerstörung, z.B. von Datenträgern oder mehrfaches Überschreiben. Es ist strittig, ob eine Anonymisierung dem Löschen entspricht.

Ein reines Verbot zur Kenntnisnahme reicht nicht aus!

Beachten müssen Sie ebenfalls die Löschung von Kopien – auch bei Auftragsverarbeitern. Eine Herausforderung sind vorwiegend Backups und Archive – am besten achtet man schon bei der Konzeption auf die Löschung.

Ausnahmen zur Löschung

Ausnahmen von der Löschung liegen dann vor, wenn davon das Recht auf freie Meinungsäußerung eingeschränkt wäre, eine andere rechtliche Verpflichtung damit erfüllt werden muss (z.B. Aufbewahrungspflichten in der Buchhaltung, oder öffentliches Interesse) sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Bestätigung der Löschung

Wird die Löschung erfolgen, sollte man das der betroffenen Person bestätigen und mitteilen.

Dies könnte beispielsweise so formuliert werden: „Wir kommen Ihrem Löschwunsch selbstverständlich nach. Die Löschung erfolgt nach Ende der Aufbewahrungsfrist automatisch.

Wann kann eine betroffene Person ihr Recht auf Löschung ihrer personenbezogenen Daten geltend machen?

  • Wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben, wurden nicht mehr notwendig sind.

  • Wenn die betroffene Person ihre Einwilligung widerruft, fehlt es an einer Rechtsgrundlage für die Verarbeitung (sofern die Einwilligung die einzige Rechtsgrundlage für die Verarbeitung war)
.

Über den Autor:

Christian Schröder ist Geschäftsführer der DSK360 GmbH. Er ist zertifizierter Datenschutzbeauftragter (IHK), Datenschutzauditor (TÜV), Informationssicherheitsbeauftragter (OTH Regensburg), Certified International Privacy Professional Europe / CIPP/E (IAPP) und
Certified International Privacy Manager / CIPM (IAPP).

Christian Schröder Geschäftsführer DSK360

Kontakt:  info@dsk360.de

Web:        https://dsk360.de/