Art.17 – EU-DSGVO – Recht auf Löschung („Recht auf Vergessenwerden“)

> Art.17 - EU-DSGVO - Recht auf Löschung („Recht auf Vergessenwerden“)

Art.17 - DSGVO - Recht auf Löschung aka. Recht auf Vergessenwerden

<<ZURÜCK   Übersicht   VOR>>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015 Stand: 27.04.2016 

Recht auf Vergessenwerden und auf Löschung

Recht auf Löschung

Recht auf Löschung und auf "Vergessenwerden"

 Recht auf Löschung ("Recht auf "Vergessenwerden") 

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, speziell wenn es sich um personenbezogene Daten handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat, sofern einer der folgenden Gründe zutrifft:

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten sowie von Dritten die Löschung aller Querverweise auf diese personenbezogenen Daten bzw. aller Kopien und Replikationen davon zu verlangen, sofern

1. Der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten ohne ungebührliche Verzögerung zu löschen, insbesondere personenbezogene Daten, die erhoben wurden, als die betroffene Person ein Kind war, und die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten ohne ungebührliche Verzögerung gelöscht werden, sofern einer der folgenden Gründe zutrifft:

1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

a) (keine Änderung)

a) (keine Veränderung) a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a stützte, oder die Speicherfrist, für die die Einwilligung gegeben wurde, ist abgelaufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.

b) (keine Änderung).

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 19 Widerspruch gegen die Verarbeitung ein.

c) (keine Änderung)

c) Die betroffene Person legt gemäß Artikel 19 Absatz 1 Widerspruch gegen die Verarbeitung personenbezogener Daten ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 19 Absatz 2 Widerspruch gegen die Verarbeitung ein.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

 

ca) Ein Gericht oder eine Regulierungsbehörde innerhalb der Union hat rechtskräftig entschieden, dass die betreffenden Daten gelöscht werden müssen.

ca) (entfällt)

 

d) Die Verarbeitung der Daten ist aus anderen Gründen nicht mit der Verordnung vereinbar.

d) Die Daten wurden unrechtmäßig verarbeitet.

d) (keine Änderung)

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

 

 

e) Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

   

 

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

 

1a. Absatz 1 kommt nur zur  Anwendung, wenn der für die Verarbeitung Verantwortliche in der Lage ist, zu überprüfen, ob die Person, die die Löschung beantragt, die betroffene Person ist.

1a. Die betroffene Person hat ferner das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung sie betreffender personenbezogener Daten ohne ungebührliche Verzögerung zu verlangen, wenn die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben wurden.

 

2. Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder vonKopien oder Replikationen dieser Daten verlangt. Hat der für die Verarbeitung Verantwortliche einem Dritten die Veröffentlichung personenbezogener Daten gestattet, liegt die Verantwortung dafür bei dem für die Verarbeitung Verantwortlichen.

2. Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die personenbezogenen Daten ohne Vorliegen eines Rechtfertigungsgrunds nach Artikel 6 Absatz 1 öffentlich gemacht, so hat er unbeschadet des Artikels 77 alle zumutbaren Maßnahmen zu ergreifen, um die Daten zu löschen und bei Dritten löschen zu lassen. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person, soweit möglich, über die von betroffenen Dritten ergriffenen Maßnahmen.

2. (entfällt)

2. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

 

 

2a. Hat der für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so unternimmt er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten vertretbare Schritte, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat.

 

3. Der für die Verarbeitung Verantwortliche sorgt für eine umgehende Löschung der personenbezogenen Daten, soweit deren Speicherung nicht erforderlich ist.

3. Der für die Verarbeitung Verantwortliche und gegebenenfalls der Dritte sorgen für eine umgehende Löschung der personenbezogenen Daten, soweit deren Speicherung nicht erforderlich ist.

3. Die Absätze 1, 1a und 2a gelten nicht, soweit die Verarbeitung der personenbezogenen Daten erforderlich ist.

3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist.

a) zur Ausübung des Rechts auf freie Meinungsäußerung gemäß Artikel 80;

a) (keine Änderung)

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information ;

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 81;

b) (keine Änderung)

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung personenbezogener Daten nach dem Unionsrecht oder dem einzelstaatlichen Recht, dem der für die Verarbeitung Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c) für historische und statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83;

c) (keine Änderung)

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und hb sowie Artikel 9 Absatz 4;

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d) zur Erfüllung einer gesetzlichen Pflicht zur Vorhaltung der personenbezogenen Daten, der der
für die Verarbeitung Verantwortliche nach dem Unionsrecht oder dem Recht eines Mitgliedstaats
unterliegt, wobei das mitgliedstaatliche Recht ein im öffentlichen Interesse liegendes Ziel verfolgen, den Wesensgehalt des Rechts auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss;

d) zur Erfüllung einer gesetzlichen Pflicht zur Vorhaltung der personenbezogenen Daten, der der für die Verarbeitung Verantwortliche nach dem Unionsrecht oder dem Recht eines Mitgliedstaats unterliegt; wobei das mitgliedstaatliche Recht ein im öffentlichen Interesse liegendes Ziel verfolgen, das Recht auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss;

d) für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche, statistische und historische Zwecke gemäß Artikel 83;

d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e) in den in Absatz 4 genannten Fällen.

e) (keine Änderung)

 e) (entfällt)

e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

 

 f) (entfällt)

 

 

 

g) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

4. Anstatt die personenbezogenen Daten zu löschen, kann der für die Verarbeitung Verantwortliche deren Verarbeitung beschränken, wenn

4. Anstatt die personenbezogenen Daten zulöschen, kann der für die VerarbeitungVerantwortliche deren Verarbeitung in einer Art und Weise, die nicht den gewöhnlichen Datenzugangs- und Verarbeitungsoperationen unterliegt und die nicht mehr geändert werden kann, beschränken, wenn

4. (entfällt)

 

a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

a) (keine Änderung)

a) (entfällt)

 

b) der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Erfüllung seiner Aufgabe nicht länger benötigt, sie aber für Beweiszwecke weiter aufbewahrt werden müssen;

b) (keine Änderung)

b) (entfällt)

 

c) die Verarbeitung unrechtmäßig ist, die betroffene Person aber Einspruch gegen ihre Löschung erhebt und statt dessen deren eingeschränkte Nutzung fordert;

c) (keine Änderung)

 c) (entfällt)

 
 

ca) ein Gericht oder eine Regulierungsbehörde innerhalb der Union rechtskräftig entschieden hat, dass die betreffenden Daten einer beschränkten Verarbeitung unterworfen werden müssen;

ca) (entfällt)

 

d) die betroffene Person gemäß Artikel 18 Absatz 2 die Übertragung der personenbezogenen Daten auf ein anderes automatisiertes Verarbeitungssystem fordert.

d) die betroffene Person gemäß Artikel 15 Absatz 2a die Übertragung der personenbezogenen Daten auf ein anderes automatisiertes Verarbeitungssystem fordert;

 d) (entfällt)

 
 

da) die spezifische Art der Speichertechnologie keine Löschung ermöglicht und vor Inkrafttreten dieser Verordnung installiert wurde.

da) (entfällt)

 

5. Die in Absatz 4 genannten personenbezogenen Daten dürfen mit Ausnahme ihrer Speicherung nur verarbeitet werden, wenn sie für Beweiszwecke erforderlich sind,
wenn die betroffene Person ihre Einwilligung gegeben hat oder die Rechte einer anderen natürlichen oder juristischen Person geschützt werden müssen oder wenn dies im öffentlichen Interesse liegt.

5. (keine Änderung)

5. (entfällt)

 

6. Unterliegt die Verarbeitung personenbezogener Daten gemäß Absatz 4 einer Beschränkung, teilt
der für die Verarbeitung Verantwortliche der betroffenen Person im Voraus mit, dass die Beschränkung aufgehoben werden soll.

6. (keine Änderung)

 6. (entfällt)

 

7. Der für die Verarbeitung Verantwortliche trifft Vorkehrungen, um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden.

 7. (keine Änderung) 7. (entfällt)  

8. Wird eine Löschung
vorgenommen, darf der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht auf sonstige Weise verarbeiten.

8. (keine Änderung)

8. (entfällt)  
 

8a. Der für die Verarbeitung Verantwortliche trifft Vorkehrungen, um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden.

8a) (entfällt)  

9. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten festzulegen in Bezug auf

9. Der Kommission wird die Befugnis übertragen, nach Einholung einer Stellungnahme des Europäischen Datenschutzausschusses delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten festzulegen in Bezug auf

9. (entfällt)  

a) die Kriterien und Anforderungen im Hinblick auf die Anwendung von Absatz 1 für bestimmte Bereiche und spezielle Verarbeitungssituationen,

a) (keine Änderung)

a) (entfällt)  

b) die Bedingungen für die Löschung gemäß Absatz 2 von Internet-Links, Kopien oder Replikationen von personenbezogenen Daten aus öffentlich zugänglichen Kommunikationsdiensten,

b) (keine Änderung)

b) (entfällt)  

c) die Kriterien und Bedingungen für die Beschränkung der Verarbeitung personenbezogener Daten gemäß Absatz 4.

c) (keine Änderung)

c) (entfällt)  

<<ZURÜCK   Übersicht   VOR>>

Erwägungsgründe: 65, 66 

Änderungsanträge: Website des Europäischen Parlaments; 

Bewertungen der Änderungsanträge: LobbyPlag

Interessante Handreichung des LDA Bayern zum “Recht auf Vergessen” pdf-Datei, (19.7.2016)

 

hilfreiche Praxishinweise zur Durchsetzung des Rechts
insbs. auf Basis des Urteils gegen Google Spain von Bird & Bird

 

Enscheidung EuGH C 131/12 vom 13.4.2016 “Google Spain”:
Entscheidung, dass Google Links zu Zeitungsartiekln über eine viele Jahre zurückliegende Insovenz des Betroffenen entfernen muss

 

Die Rechtsnorm des Art. 17 EU-DSGVO knüpft an die Entscheidung des EuGH zum Recht auf vergessen an, auch wenn der EuGH dieses Recht nicht erfunden hat, sondern er dies aus den allgemeinen Datenschutzgrundsätzen entwickelte. Die Idee eines “digitalen Radiergummis” hat sich jedoch nicht in der Form durchgesetzt wie ursprünglich geplant.

Die Voraussetzungen zur Anwendbarkeit des Art. 17 EU-DSGVO sind

  • der Entfall des Zweckes für die Datenverarbeitung (lit. a),
  • der Widerruf der ermächtigenden Einwilligung (lit. b) oder
  • die Unrechtmäßigkeit der Datenverarbeitung (lit. c).

 

Sofern personenbezogene Daten veröffentlicht werden, sind die Stellen, die diese Daten verarbeiten, über den Löschungsantrag zu informieren. Vernünftigerweise können das im Rahmen der Verhältnismäßigkeit nur die Stellens sein, mit denen die veröffentlichende Stelle zusammenarbeitet. Die Entfernung von Links etwaiger Informationsaggregatoren (z.B. Personen-Suchmaschinen) werden durch die verantwortliche Stelle nur schwer durchsetzbar sein. Auch wird es u.E. kaum zumutbar sein, etwa durch Web-Tracking angebote zu identifizieren, welche anderen Dienste auf die veröffentlichen Inhalte referenzieren, nur um dort eine Löschung des Links zu fordern. Dies wird freilich zu diskutieren sein.

 

Es wird zu prüfen sein, inwieweit eine Anonymisierung oder auch Pseudonymisierung der Löschung gleichkommt, etwa die Speicherung von Detaildaten, wenn die Zuordnung zu einer Person mit verhältnismäßigen Mitteln ausgeschlossen ist. Praxis ist ferner das Überschreiben von Schlüsseln für verschlüsselte Daten – etwa bei er Smartphonelöschung. Ohne den Schlüssel können die Daten nicht mehr (mit verhältnismäßigem Aufwand) wiederhergestellt werden und gelten daher als gelöscht.

 

Die Löschpflicht des Art. 17 EU-DSGVO umfasst jedoch auch die Pflicht, etwaige Datenkopien und Links auf Daten und Kopien zu Löschen. Das kann beispielweise bei langfristigen Backups zum Problem werden, ebenso bei Archivierungsdiensten, die z.B. Webseiten archivieren und sich dem Zugriff der verantwortlichen Stelle entziehen.

 

Allerdings beschränkt sich die Vorschrift nicht nur auf elektronisch gespeicherte Daten. Auch Daten die in Form von Papierakten, Mikrofilen, Fotos oder auf anderen Medien gespeichert sind, sind von der Löschpflicht umfasst.

 

Sofern personenbezogene Daten im internen Bereich wie bspw. in einem Unternehmen verarbeitet werden, hat dennoch jede Person ein Recht auf Vergessen werden bzw. ein Recht auf Löschung nach Art. 17 EU-DSGVO. Dies war unteranderem der Hintergrund dieses Artikels, um Unternehmen nicht mehr die Möglichkeit zu bieten, Daten über ehemalige Beschäftigte dauerhaft zu speichern. Die Form der Speicherung ist nicht abhängig von der Geltendmachung dieses Rechts. Die Pflicht zur ausreichenden und technischen Sicherung besteht nach Art. 32 EU-DSGVO dennoch. Das Recht auf Vergessenwerden muss jedoch geltend gemacht werden. Eine Betroffene Person kann nicht davon ausgehen, dass nach Ausscheidung aus dem Unternehmen die personenbezogenen Daten automatisch gelöscht werden. Hierbei muss einer der in Art. 17 Abs. 1 aufgeführten Gründe vorliegen, welche nicht kumulativ vorliegen müssen. Die Ausnahmen sind in Art. 17 Abs. 3 beschrieben, wobei entgegenstehende Aufbewahrungsfristen zu beachten sind, so dass für diese Zeit die Daten auch in Backups weiterbestehen dürfen.

 

Ausnahmen von der Löschpflicht ergeben sich in Fällen, in denen ein übergeordnetes Interesse dem entgegensteht, etwa bei der Ausübung des Rechts auf Presse- oder Meinungsfreiheit oder zu Zwecken der Forschung. Bei erstgenannten Rechten ist jedoch zu beachten, dass das Recht der Intimsphäre stets höher gewichtet wurde, insofern kommt es sehr auf den Einzelfall der zu löschenden Information an.

 

Die tatsächliche Umsetzung dieses Artikels dürfte in der Praxis schwierig werden. Schon derzeit bestehen oft Schwierigkeiten in der Definition und Umsetzung von Löschkonzepten (vgl. TÜV Süd DSI v. 8.12.2015). Dies ist verständlich, wenn man bedenkt, dass nach einer Studie zwei Drittel der gespeicherten Daten gar nicht in den Unternehmen bekannt sind (“Dark Data“). Dies ist verständlich, da es oft günstiger ist, Speicherkapazitäten zu vergrößern, als Zeit in die Löschung nicht mehr benötigter Daten zu investieren. Dies kann sich gleichwohl rächen, wenn durch entsprechende Leaks bekannt wird, dass – entgegen anderslautenden Zusicherungen – Daten niemals gelöscht wurden.

Entsprechende Designmerkmale von Verarbeitungsanlagen bzw. -software und fehlende technische Standards dürfen dies zusätzlich erschweren.

 

(Visited 7.723 times, 4 visits today)

Kommentar

Art.17 - DSGVO - Recht auf Löschung aka. Recht auf Vergessenwerden

<<ZURÜCK   Übersicht   VOR>>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015 Stand: 27.04.2016 

Recht auf Vergessenwerden und auf Löschung

Recht auf Löschung

Recht auf Löschung und auf "Vergessenwerden"

 Recht auf Löschung ("Recht auf "Vergessenwerden") 

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, speziell wenn es sich um personenbezogene Daten handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat, sofern einer der folgenden Gründe zutrifft:

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten sowie von Dritten die Löschung aller Querverweise auf diese personenbezogenen Daten bzw. aller Kopien und Replikationen davon zu verlangen, sofern

1. Der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten ohne ungebührliche Verzögerung zu löschen, insbesondere personenbezogene Daten, die erhoben wurden, als die betroffene Person ein Kind war, und die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten ohne ungebührliche Verzögerung gelöscht werden, sofern einer der folgenden Gründe zutrifft:

1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

a) (keine Änderung)

a) (keine Veränderung) a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a stützte, oder die Speicherfrist, für die die Einwilligung gegeben wurde, ist abgelaufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.

b) (keine Änderung).

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 19 Widerspruch gegen die Verarbeitung ein.

c) (keine Änderung)

c) Die betroffene Person legt gemäß Artikel 19 Absatz 1 Widerspruch gegen die Verarbeitung personenbezogener Daten ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 19 Absatz 2 Widerspruch gegen die Verarbeitung ein.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

 

ca) Ein Gericht oder eine Regulierungsbehörde innerhalb der Union hat rechtskräftig entschieden, dass die betreffenden Daten gelöscht werden müssen.

ca) (entfällt)

 

d) Die Verarbeitung der Daten ist aus anderen Gründen nicht mit der Verordnung vereinbar.

d) Die Daten wurden unrechtmäßig verarbeitet.

d) (keine Änderung)

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

 

 

e) Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

   

 

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

 

1a. Absatz 1 kommt nur zur  Anwendung, wenn der für die Verarbeitung Verantwortliche in der Lage ist, zu überprüfen, ob die Person, die die Löschung beantragt, die betroffene Person ist.

1a. Die betroffene Person hat ferner das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung sie betreffender personenbezogener Daten ohne ungebührliche Verzögerung zu verlangen, wenn die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben wurden.

 

2. Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder vonKopien oder Replikationen dieser Daten verlangt. Hat der für die Verarbeitung Verantwortliche einem Dritten die Veröffentlichung personenbezogener Daten gestattet, liegt die Verantwortung dafür bei dem für die Verarbeitung Verantwortlichen.

2. Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die personenbezogenen Daten ohne Vorliegen eines Rechtfertigungsgrunds nach Artikel 6 Absatz 1 öffentlich gemacht, so hat er unbeschadet des Artikels 77 alle zumutbaren Maßnahmen zu ergreifen, um die Daten zu löschen und bei Dritten löschen zu lassen. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person, soweit möglich, über die von betroffenen Dritten ergriffenen Maßnahmen.

2. (entfällt)

2. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

 

 

2a. Hat der für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so unternimmt er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten vertretbare Schritte, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat.

 

3. Der für die Verarbeitung Verantwortliche sorgt für eine umgehende Löschung der personenbezogenen Daten, soweit deren Speicherung nicht erforderlich ist.

3. Der für die Verarbeitung Verantwortliche und gegebenenfalls der Dritte sorgen für eine umgehende Löschung der personenbezogenen Daten, soweit deren Speicherung nicht erforderlich ist.

3. Die Absätze 1, 1a und 2a gelten nicht, soweit die Verarbeitung der personenbezogenen Daten erforderlich ist.

3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist.

a) zur Ausübung des Rechts auf freie Meinungsäußerung gemäß Artikel 80;

a) (keine Änderung)

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information ;

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 81;

b) (keine Änderung)

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung personenbezogener Daten nach dem Unionsrecht oder dem einzelstaatlichen Recht, dem der für die Verarbeitung Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c) für historische und statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83;

c) (keine Änderung)

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und hb sowie Artikel 9 Absatz 4;

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d) zur Erfüllung einer gesetzlichen Pflicht zur Vorhaltung der personenbezogenen Daten, der der
für die Verarbeitung Verantwortliche nach dem Unionsrecht oder dem Recht eines Mitgliedstaats
unterliegt, wobei das mitgliedstaatliche Recht ein im öffentlichen Interesse liegendes Ziel verfolgen, den Wesensgehalt des Rechts auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss;

d) zur Erfüllung einer gesetzlichen Pflicht zur Vorhaltung der personenbezogenen Daten, der der für die Verarbeitung Verantwortliche nach dem Unionsrecht oder dem Recht eines Mitgliedstaats unterliegt; wobei das mitgliedstaatliche Recht ein im öffentlichen Interesse liegendes Ziel verfolgen, das Recht auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss;

d) für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche, statistische und historische Zwecke gemäß Artikel 83;

d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e) in den in Absatz 4 genannten Fällen.

e) (keine Änderung)

 e) (entfällt)

e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

 

 f) (entfällt)

 

 

 

g) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

4. Anstatt die personenbezogenen Daten zu löschen, kann der für die Verarbeitung Verantwortliche deren Verarbeitung beschränken, wenn

4. Anstatt die personenbezogenen Daten zulöschen, kann der für die VerarbeitungVerantwortliche deren Verarbeitung in einer Art und Weise, die nicht den gewöhnlichen Datenzugangs- und Verarbeitungsoperationen unterliegt und die nicht mehr geändert werden kann, beschränken, wenn

4. (entfällt)

 

a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

a) (keine Änderung)

a) (entfällt)

 

b) der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Erfüllung seiner Aufgabe nicht länger benötigt, sie aber für Beweiszwecke weiter aufbewahrt werden müssen;

b) (keine Änderung)

b) (entfällt)

 

c) die Verarbeitung unrechtmäßig ist, die betroffene Person aber Einspruch gegen ihre Löschung erhebt und statt dessen deren eingeschränkte Nutzung fordert;

c) (keine Änderung)

 c) (entfällt)

 
 

ca) ein Gericht oder eine Regulierungsbehörde innerhalb der Union rechtskräftig entschieden hat, dass die betreffenden Daten einer beschränkten Verarbeitung unterworfen werden müssen;

ca) (entfällt)

 

d) die betroffene Person gemäß Artikel 18 Absatz 2 die Übertragung der personenbezogenen Daten auf ein anderes automatisiertes Verarbeitungssystem fordert.

d) die betroffene Person gemäß Artikel 15 Absatz 2a die Übertragung der personenbezogenen Daten auf ein anderes automatisiertes Verarbeitungssystem fordert;

 d) (entfällt)

 
 

da) die spezifische Art der Speichertechnologie keine Löschung ermöglicht und vor Inkrafttreten dieser Verordnung installiert wurde.

da) (entfällt)

 

5. Die in Absatz 4 genannten personenbezogenen Daten dürfen mit Ausnahme ihrer Speicherung nur verarbeitet werden, wenn sie für Beweiszwecke erforderlich sind,
wenn die betroffene Person ihre Einwilligung gegeben hat oder die Rechte einer anderen natürlichen oder juristischen Person geschützt werden müssen oder wenn dies im öffentlichen Interesse liegt.

5. (keine Änderung)

5. (entfällt)

 

6. Unterliegt die Verarbeitung personenbezogener Daten gemäß Absatz 4 einer Beschränkung, teilt
der für die Verarbeitung Verantwortliche der betroffenen Person im Voraus mit, dass die Beschränkung aufgehoben werden soll.

6. (keine Änderung)

 6. (entfällt)

 

7. Der für die Verarbeitung Verantwortliche trifft Vorkehrungen, um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden.

 7. (keine Änderung) 7. (entfällt)  

8. Wird eine Löschung
vorgenommen, darf der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht auf sonstige Weise verarbeiten.

8. (keine Änderung)

8. (entfällt)  
 

8a. Der für die Verarbeitung Verantwortliche trifft Vorkehrungen, um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden.

8a) (entfällt)  

9. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten festzulegen in Bezug auf

9. Der Kommission wird die Befugnis übertragen, nach Einholung einer Stellungnahme des Europäischen Datenschutzausschusses delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten festzulegen in Bezug auf

9. (entfällt)  

a) die Kriterien und Anforderungen im Hinblick auf die Anwendung von Absatz 1 für bestimmte Bereiche und spezielle Verarbeitungssituationen,

a) (keine Änderung)

a) (entfällt)  

b) die Bedingungen für die Löschung gemäß Absatz 2 von Internet-Links, Kopien oder Replikationen von personenbezogenen Daten aus öffentlich zugänglichen Kommunikationsdiensten,

b) (keine Änderung)

b) (entfällt)  

c) die Kriterien und Bedingungen für die Beschränkung der Verarbeitung personenbezogener Daten gemäß Absatz 4.

c) (keine Änderung)

c) (entfällt)  

<<ZURÜCK   Übersicht   VOR>>

Erwägungsgründe: 65, 66 

Änderungsanträge: Website des Europäischen Parlaments; 

Bewertungen der Änderungsanträge: LobbyPlag

Interessante Handreichung des LDA Bayern zum “Recht auf Vergessen” pdf-Datei, (19.7.2016)

 

hilfreiche Praxishinweise zur Durchsetzung des Rechts
insbs. auf Basis des Urteils gegen Google Spain von Bird & Bird

 

Enscheidung EuGH C 131/12 vom 13.4.2016 “Google Spain”:
Entscheidung, dass Google Links zu Zeitungsartiekln über eine viele Jahre zurückliegende Insovenz des Betroffenen entfernen muss

 

Die Rechtsnorm des Art. 17 EU-DSGVO knüpft an die Entscheidung des EuGH zum Recht auf vergessen an, auch wenn der EuGH dieses Recht nicht erfunden hat, sondern er dies aus den allgemeinen Datenschutzgrundsätzen entwickelte. Die Idee eines “digitalen Radiergummis” hat sich jedoch nicht in der Form durchgesetzt wie ursprünglich geplant.

Die Voraussetzungen zur Anwendbarkeit des Art. 17 EU-DSGVO sind

  • der Entfall des Zweckes für die Datenverarbeitung (lit. a),
  • der Widerruf der ermächtigenden Einwilligung (lit. b) oder
  • die Unrechtmäßigkeit der Datenverarbeitung (lit. c).

 

Sofern personenbezogene Daten veröffentlicht werden, sind die Stellen, die diese Daten verarbeiten, über den Löschungsantrag zu informieren. Vernünftigerweise können das im Rahmen der Verhältnismäßigkeit nur die Stellens sein, mit denen die veröffentlichende Stelle zusammenarbeitet. Die Entfernung von Links etwaiger Informationsaggregatoren (z.B. Personen-Suchmaschinen) werden durch die verantwortliche Stelle nur schwer durchsetzbar sein. Auch wird es u.E. kaum zumutbar sein, etwa durch Web-Tracking angebote zu identifizieren, welche anderen Dienste auf die veröffentlichen Inhalte referenzieren, nur um dort eine Löschung des Links zu fordern. Dies wird freilich zu diskutieren sein.

 

Es wird zu prüfen sein, inwieweit eine Anonymisierung oder auch Pseudonymisierung der Löschung gleichkommt, etwa die Speicherung von Detaildaten, wenn die Zuordnung zu einer Person mit verhältnismäßigen Mitteln ausgeschlossen ist. Praxis ist ferner das Überschreiben von Schlüsseln für verschlüsselte Daten – etwa bei er Smartphonelöschung. Ohne den Schlüssel können die Daten nicht mehr (mit verhältnismäßigem Aufwand) wiederhergestellt werden und gelten daher als gelöscht.

 

Die Löschpflicht des Art. 17 EU-DSGVO umfasst jedoch auch die Pflicht, etwaige Datenkopien und Links auf Daten und Kopien zu Löschen. Das kann beispielweise bei langfristigen Backups zum Problem werden, ebenso bei Archivierungsdiensten, die z.B. Webseiten archivieren und sich dem Zugriff der verantwortlichen Stelle entziehen.

 

Allerdings beschränkt sich die Vorschrift nicht nur auf elektronisch gespeicherte Daten. Auch Daten die in Form von Papierakten, Mikrofilen, Fotos oder auf anderen Medien gespeichert sind, sind von der Löschpflicht umfasst.

 

Sofern personenbezogene Daten im internen Bereich wie bspw. in einem Unternehmen verarbeitet werden, hat dennoch jede Person ein Recht auf Vergessen werden bzw. ein Recht auf Löschung nach Art. 17 EU-DSGVO. Dies war unteranderem der Hintergrund dieses Artikels, um Unternehmen nicht mehr die Möglichkeit zu bieten, Daten über ehemalige Beschäftigte dauerhaft zu speichern. Die Form der Speicherung ist nicht abhängig von der Geltendmachung dieses Rechts. Die Pflicht zur ausreichenden und technischen Sicherung besteht nach Art. 32 EU-DSGVO dennoch. Das Recht auf Vergessenwerden muss jedoch geltend gemacht werden. Eine Betroffene Person kann nicht davon ausgehen, dass nach Ausscheidung aus dem Unternehmen die personenbezogenen Daten automatisch gelöscht werden. Hierbei muss einer der in Art. 17 Abs. 1 aufgeführten Gründe vorliegen, welche nicht kumulativ vorliegen müssen. Die Ausnahmen sind in Art. 17 Abs. 3 beschrieben, wobei entgegenstehende Aufbewahrungsfristen zu beachten sind, so dass für diese Zeit die Daten auch in Backups weiterbestehen dürfen.

 

Ausnahmen von der Löschpflicht ergeben sich in Fällen, in denen ein übergeordnetes Interesse dem entgegensteht, etwa bei der Ausübung des Rechts auf Presse- oder Meinungsfreiheit oder zu Zwecken der Forschung. Bei erstgenannten Rechten ist jedoch zu beachten, dass das Recht der Intimsphäre stets höher gewichtet wurde, insofern kommt es sehr auf den Einzelfall der zu löschenden Information an.

 

Die tatsächliche Umsetzung dieses Artikels dürfte in der Praxis schwierig werden. Schon derzeit bestehen oft Schwierigkeiten in der Definition und Umsetzung von Löschkonzepten (vgl. TÜV Süd DSI v. 8.12.2015). Dies ist verständlich, wenn man bedenkt, dass nach einer Studie zwei Drittel der gespeicherten Daten gar nicht in den Unternehmen bekannt sind (“Dark Data“). Dies ist verständlich, da es oft günstiger ist, Speicherkapazitäten zu vergrößern, als Zeit in die Löschung nicht mehr benötigter Daten zu investieren. Dies kann sich gleichwohl rächen, wenn durch entsprechende Leaks bekannt wird, dass – entgegen anderslautenden Zusicherungen – Daten niemals gelöscht wurden.

Entsprechende Designmerkmale von Verarbeitungsanlagen bzw. -software und fehlende technische Standards dürfen dies zusätzlich erschweren.

 

(Visited 7.723 times, 4 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.