Art. 17 – DSGVO – Recht auf Löschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) |
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. |
b) |
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. |
c) |
Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. |
d) |
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. |
e) |
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. |
f) |
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. |
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) |
zur Ausübung des Rechts auf freie Meinungsäußerung und Information; |
b) |
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; |
c) |
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3; |
d) |
für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder |
e) |
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. |
Erwägungsgründe
Häufig gestellte Fragen
Interessante Handreichung des LDA Bayern zum „Recht auf Vergessen“ pdf-Datei, (19.7.2016)
hilfreiche Praxishinweise zur Durchsetzung des Rechts
insbs. auf Basis des Urteils gegen Google Spain von Bird & Bird
Enscheidung EuGH C 131/12 vom 13.4.2016 „Google Spain“:
Entscheidung, dass Google Links zu Zeitungsartiekln über eine viele Jahre zurückliegende Insovenz des Betroffenen entfernen muss
Die Rechtsnorm des Art. 17 EU-DSGVO knüpft an die Entscheidung des EuGH zum Recht auf vergessen an, auch wenn der EuGH dieses Recht nicht erfunden hat, sondern er dies aus den allgemeinen Datenschutzgrundsätzen entwickelte. Die Idee eines „digitalen Radiergummis“ hat sich jedoch nicht in der Form durchgesetzt wie ursprünglich geplant.
Die Voraussetzungen zur Anwendbarkeit des Art. 17 EU-DSGVO sind
• der Entfall des Zweckes für die Datenverarbeitung (lit. a),
• der Widerruf der ermächtigenden Einwilligung (lit. b) oder
• die Unrechtmäßigkeit der Datenverarbeitung (lit. c).
Sofern personenbezogene Daten veröffentlicht werden, sind die Stellen, die diese Daten verarbeiten, über den Löschungsantrag zu informieren. Vernünftigerweise können das im Rahmen der Verhältnismäßigkeit nur die Stellens sein, mit denen die veröffentlichende Stelle zusammenarbeitet. Die Entfernung von Links etwaiger Informationsaggregatoren (z.B. Personen-Suchmaschinen) werden durch die verantwortliche Stelle nur schwer durchsetzbar sein. Auch wird es u.E. kaum zumutbar sein, etwa durch Web-Tracking angebote zu identifizieren, welche anderen Dienste auf die veröffentlichen Inhalte referenzieren, nur um dort eine Löschung des Links zu fordern. Dies wird freilich zu diskutieren sein.
Es wird zu prüfen sein, inwieweit eine Anonymisierung oder auch Pseudonymisierung der Löschung gleichkommt, etwa die Speicherung von Detaildaten, wenn die Zuordnung zu einer Person mit verhältnismäßigen Mitteln ausgeschlossen ist. Praxis ist ferner das Überschreiben von Schlüsseln für verschlüsselte Daten – etwa bei er Smartphonelöschung. Ohne den Schlüssel können die Daten nicht mehr (mit verhältnismäßigem Aufwand) wiederhergestellt werden und gelten daher als gelöscht.
Die Löschpflicht des Art. 17 EU-DSGVO umfasst jedoch auch die Pflicht, etwaige Datenkopien und Links auf Daten und Kopien zu Löschen. Das kann beispielweise bei langfristigen Backups zum Problem werden, ebenso bei Archivierungsdiensten, die z.B. Webseiten archivieren und sich dem Zugriff der verantwortlichen Stelle entziehen.
Allerdings beschränkt sich die Vorschrift nicht nur auf elektronisch gespeicherte Daten. Auch Daten die in Form von Papierakten, Mikrofilen, Fotos oder auf anderen Medien gespeichert sind, sind von der Löschpflicht umfasst.
Sofern personenbezogene Daten im internen Bereich wie bspw. in einem Unternehmen verarbeitet werden, hat dennoch jede Person ein Recht auf Vergessen werden bzw. ein Recht auf Löschung nach Art. 17 EU-DSGVO. Dies war unteranderem der Hintergrund dieses Artikels, um Unternehmen nicht mehr die Möglichkeit zu bieten, Daten über ehemalige Beschäftigte dauerhaft zu speichern. Die Form der Speicherung ist nicht abhängig von der Geltendmachung dieses Rechts. Die Pflicht zur ausreichenden und technischen Sicherung besteht nach Art. 32 EU-DSGVO dennoch. Das Recht auf Vergessenwerden muss jedoch geltend gemacht werden. Eine Betroffene Person kann nicht davon ausgehen, dass nach Ausscheidung aus dem Unternehmen die personenbezogenen Daten automatisch gelöscht werden. Hierbei muss einer der in Art. 17 Abs. 1 aufgeführten Gründe vorliegen, welche nicht kumulativ vorliegen müssen. Die Ausnahmen sind in Art. 17 Abs. 3 beschrieben, wobei entgegenstehende Aufbewahrungsfristen zu beachten sind, so dass für diese Zeit die Daten auch in Backups weiterbestehen dürfen.
Ausnahmen von der Löschpflicht ergeben sich in Fällen, in denen ein übergeordnetes Interesse dem entgegensteht, etwa bei der Ausübung des Rechts auf Presse- oder Meinungsfreiheit oder zu Zwecken der Forschung. Bei erstgenannten Rechten ist jedoch zu beachten, dass das Recht der Intimsphäre stets höher gewichtet wurde, insofern kommt es sehr auf den Einzelfall der zu löschenden Information an.
Die tatsächliche Umsetzung dieses Artikels dürfte in der Praxis schwierig werden. Schon derzeit bestehen oft Schwierigkeiten in der Definition und Umsetzung von Löschkonzepten (vgl. TÜV Süd DSI v. 8.12.2015). Dies ist verständlich, wenn man bedenkt, dass nach einer Studie zwei Drittel der gespeicherten Daten gar nicht in den Unternehmen bekannt sind („Dark Data„). Dies ist verständlich, da es oft günstiger ist, Speicherkapazitäten zu vergrößern, als Zeit in die Löschung nicht mehr benötigter Daten zu investieren. Dies kann sich gleichwohl rächen, wenn durch entsprechende Leaks bekannt wird, dass – entgegen anderslautenden Zusicherungen – Daten niemals gelöscht wurden.
Entsprechende Designmerkmale von Verarbeitungsanlagen bzw. -software und fehlende technische Standards dürfen dies zusätzlich erschweren.
Navigieren Sie sicher durch den DSGVO-Dschungel!
Holen Sie sich den Umsetzungsfahrplan zur DSGVO und unseren Newsletter!