Recht auf Vergessenwerden
Das Recht auf Vergessenwerden (Art. 17 DSGVO) verpflichtet den Verantwortlichen, personenbezogene Daten unverzüglich zu löschen, sobald ein Löschgrund vorliegt und keine gesetzliche Ausnahme entgegensteht.
Das Recht auf Vergessenwerden ist in Art. 17 DSGVO geregelt und gewährt betroffenen Personen einen Anspruch auf Löschung ihrer personenbezogenen Daten. Der Verantwortliche muss die Daten unverzüglich löschen, wenn einer der in Art. 17 Abs. 1 genannten Gründe vorliegt: etwa wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind, die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage besteht, ein berechtigter Widerspruch nach Art. 21 eingelegt wurde, die Daten unrechtmäßig verarbeitet wurden oder eine rechtliche Löschpflicht besteht. Der Begriff "Recht auf Vergessenwerden" entstammt der EuGH-Rechtsprechung (Google Spain, C-131/12) und wird in Art. 17 als Überschrift geführt.
Der Anspruch gilt nicht uneingeschränkt. Art. 17 Abs. 3 DSGVO nennt Ausnahmen, in denen die Löschung unterbleiben darf: zur Ausübung der Meinungs- und Informationsfreiheit, zur Erfüllung einer rechtlichen Verpflichtung oder einer Aufgabe im öffentlichen Interesse, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archiv-, Forschungs- oder Statistikzwecke sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. In der Praxis sind vor allem handels- und steuerrechtliche Aufbewahrungsfristen (z. B. nach HGB und AO, regelmäßig sechs bis zehn Jahre) relevant: Solange diese laufen, wird die Verarbeitung in der Regel auf eine Einschränkung nach Art. 18 reduziert statt gelöscht.
Eine zentrale Pflicht ergibt sich aus Art. 17 Abs. 2 DSGVO: Hat der Verantwortliche die Daten öffentlich gemacht, muss er unter Berücksichtigung der verfügbaren Technologie und der Kosten angemessene Maßnahmen treffen, um andere Verantwortliche, die die Daten verarbeiten, über das Löschverlangen zu informieren (Weiterleitungspflicht). Daraus folgt auch, dass Auftragsverarbeiter (Art. 28) und Empfänger (Art. 19) über Löschungen zu unterrichten sind. Die Löschung muss "unverzüglich", also ohne schuldhaftes Zögern, erfolgen; die Antwortfrist gegenüber der betroffenen Person richtet sich nach Art. 12 Abs. 3 (grundsätzlich ein Monat). Ein dokumentiertes Löschkonzept mit definierten Löschfristen ist der Schlüssel, um diesen Pflichten nachweisbar gerecht zu werden.
Rechtliche Grundlage
Art. 17 DSGVO (insb. Abs. 1 Löschgründe, Abs. 2 Weiterleitungspflicht, Abs. 3 Ausnahmen); flankierend Art. 12 Abs. 3, Art. 18, Art. 19 und Art. 21 DSGVO
Praxisbeispiel
Ein ehemaliger Kunde verlangt per E-Mail die Löschung sämtlicher Daten aus dem Online-Shop. Der Datenschutzkoordinator prüft die offenen Löschgründe: Die Vertragsbeziehung ist beendet, die Einwilligung für den Newsletter wurde widerrufen, also wird das Marketingprofil sofort gelöscht. Die Rechnungs- und Buchungsdaten unterliegen jedoch der zehnjährigen steuerrechtlichen Aufbewahrungspflicht; sie werden daher nach Art. 18 in der Verarbeitung eingeschränkt (gesperrt) und erst nach Fristablauf gelöscht. Anschließend informiert das Unternehmen den beauftragten E-Mail-Dienstleister als Auftragsverarbeiter über die Löschung und dokumentiert den gesamten Vorgang samt Begründung im Verarbeitungsverzeichnis und Löschprotokoll, um die Rechenschaftspflicht zu erfüllen und die Monatsfrist gegenüber dem Betroffenen einzuhalten.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren