Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Recht auf Löschung

Der Begriff „Löschung“ hat zwei Seiten. Zum einen haben betroffene Personen unter bestimmten Voraussetzungen ein Recht auf Löschung (auch „Recht auf Vergessenwerden“ genannt).

Zum anderen müsen Verantwortliche personenbezogene Daten löschen, wenn sie sie für den definierten Verwendungszweck nicht mehr brauchen und keine Aufbewahrungspflichten mehr bestehen.

➜ Das Recht auf Löschung praktisch umsetzen

Recht auf Vergessenwerden: Diese Tools helfen
Bild: wildpixel / iStock / Thinkstock
Serie: Tools für die DSGVO

Die Pflicht, personenbezogene Daten rechtzeitig zu löschen, sowie das Recht auf Vergessenwerden bereitet Unternehmen seit Langem Kopfzerbrechen. Doch gibt es Tools, die bei der Umsetzung helfen.

DSGVO: Aufräumen bei Papierdaten!
Bild: iStock.com / happymoon77
Vorgaben der DSGVO

Datenschutz – das hat etwas mit elektronischen Daten zu tun! So denken auch heute noch viele. Sie vergessen dabei, dass gerade die DSGVO Daten auf Papier im Ergebnis voll einbezieht. Das zwingt dazu, diese Art von Daten mehr denn je im Blick zu behalten.

Wer muss wann personenbezogene Daten löschen? Warum und wie sollte das gemacht werden? Und was passiert, wenn das nicht ordentlich geschieht? Antworten darauf gibt das Video „Löschkonzept“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BaWü).

Beschäftigtendatenschutz

So gut wie alle Unternehmen haben Kundenkontakt. Früher oder später trifft die heute übliche Eigenart, alles Mögliche zu filmen und zu posten, daher auch jeden Betrieb und jede Behörde. Bereiten Sie Ihre Kolleginnen und Kollegen mit den folgenden Hinweisen auf diese Situation vor.

Recht auf Vergessenwerden

Die Datenschutz-Grundverordnung (DSGVO) kennt das Recht auf Vergessenwerden. Das macht leider weder den Selbstdatenschutz noch die Datenlöschung überflüssig. Was können Sie tun, um unerwünschte persönliche Daten im Internet zu löschen – oder besser: um solche Informationen gar nicht erst entstehen zu lassen?

So haben Sie die Datenlöschung sicher im Griff
Bild: wildpixel / iStock / Thinkstock
Aufbewahrungs- und Löschfristen

Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?

Das Löschen ist ein wichtiger bestandteil des Datenschutzes
Bild: iStock.com / Anatoliy Babiy
Entscheidung einer Datenschutzaufsichtsbehörde

Nach Artikel 17 der Datenschutz-Grundverordnung (DSGVO) haben betroffene Personen das Recht, von einer verantwortlichen Stelle zu verlangen, dass sie ihre personenbezogenen Daten löscht. In Österreich musste sich die Aufsichtsbehörde mit der Frage beschäftigen, wie dieses Recht in der Praxis umzusetzen ist. Mit einer auf den ersten Blick überraschenden Antwort.

DP+
Sperrung nach der Datenschutz-Grundverordnung: Das ist neu
Bild: wildpixel / iStock / Thinkstock
Löschen statt sperren?

Daten zu archivieren, ist eine Herausforderung. In vielen Unternehmen gibt es daher trotz der strikten Vorgaben zur Datenlöschung entweder gar kein oder nur ein sehr übersichtliches Archivierungskonzept. Die Datenschutz-Grundverordnung (DSGVO) fordert allerdings ein solches ein. Eine wichtige Praxisfrage für viele Unternehmen ist dabei, unter welchen Voraussetzungen die bislang bekannte Sperrung zulässig sein wird.

1 von 1

Gesetze und Vorschriften zum Recht auf Löschung

  • Art. 17 DSGVO (Recht auf Löschung bzw. Vergessenwerden) mit Ausnahmen in § 35 BDSG
  • Art. 12 DSGVO (allgemeine Vorgaben zu den Betroffenenrechten)
  • Art. 13 Abs. 2 Buchstabe b DSGVO und Art. 14 Abs. 2 Buchstabe c DSGVO (Information der Betroffenen bei der Datenerhebung über ihr Recht auf Löschung)
  • Art. 15 Abs. 1 Buchstabe e DSGVO (Auskunftspflicht über das Recht auf Löschung)
  • Art. 18 Abs. 1 Buchstabe c DSGVO (Einschränkung der Verarbeitung anstelle einer Löschung, z.B. für Sicherungskopien von gelöschten Daten)
  • Art. 19 DSGVO (Pflicht zur Mitteilung der Löschung an Dritte)

Das Gesetz enthält keine Definition der Löschung, sondern nennt diesen Begriff nur als Unterfall der Verarbeitung von Daten (Art. 4 Nr. 2 DSGVO). In der Sache bedeutet Löschen das Unkenntlichmachen von gespeicherten personenbezogenen Daten, sodass sie sich nicht mehr wahrnehmen lassen.

Recht auf Löschung bzw. Vergessenwerden umsetzen

In bestimmten Fällen besitzen betroffene Personen das Recht, dass Daten über sie zu löschen sind („Recht auf Vergessenwerden“). Das ist dann der Fall, wenn

  • die Zwecke der Verarbeitung entfallen sind,
  • sie die Einwilligung widerrufen, auf die sich die Datenverarbeitung stützt (Art. 7 oder 8 DSGVO),
  • die betroffene Person erfolgreich Widerspruch einlegt gemäß Art. 21 DSGVO,
  • der Verantwortliche die Daten unrechtmäßig verarbeitet hat oder
  • die Löschung aufgrund einer rechtlichen Verpflichtung erforderlich ist.

Das Recht besteht jedoch nicht,

  • wenn die Datenverarbeitung erforderlich ist (gemäß Art. 17 Abs. 3 DSGVO),
  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
  • zur Erfüllung einer rechtlichen Verpflichtung,
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit,
  • für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche, historische oder statistische Zwecke oder
  • um rechtliche Ansprüche geltend zu machen.

Darüber hinaus besteht in Deutschland keine Pflicht zur Löschung, wenn sie einen unverhältnismäßigen Aufwand verursachen würde und das Interesse der betroffenen Person an der Löschung gering ist (§ 35 BDSG).

Verlangt eine betroffene Person eine Löschung, muss der Verantwortliche darüber unverzüglich, spätestens innerhalb eines Monats entscheiden (Art. 12 Abs. 3 DSGVO). Lehnt er eine Löschung ab, muss er dies begründen.

Die Ablehnung muss auch einen Hinweis enthalten auf die Beschwerdemöglichkeit bei der Aufsichtsbehörde und auf die Möglichkeit eines gerichtlichen Rechtsbehelfs (Art. 12 Abs. 4 DSGVO).

Information über das Recht auf Löschung

Immer wenn Datenverarbeiter personenbezogene Daten erheben, müssen sie die betroffenen Personen über die Umstände und über ihre Rechte informieren. Das betrifft auch das ihnen zustehende Recht auf Vergessenwerden (vgl. Art. 13 Abs. 2 Buchstabe b DSGVO und Art. 14 Abs. 2 Buchstabe c DSGVO).

Aber auch später haben die betroffenen Personen ein jederzeitiges Auskunftsrecht gegenüber dem Verantwortlichen, ob ihnen ein Löschungsanspruch zusteht. Das ergibt sich aus Art. 15 Abs. 1 Buchstabe e DSGVO.

Mitteilung einer Löschung an Dritte

Erfolgt eine Löschung auf Antrag der betroffenen Person, muss der Verantwortliche nach der Löschung Folgendes beachten:

  • Hat der Verantwortliche die Daten öffentlich gemacht (z.B. im Internet), muss er dafür sorgen, dass er andere Datenverarbeiter über das Löschungsverlangen informiert (z.B. Suchmaschinenbetreiber u.Ä.), soweit es technisch möglich und machbar ist (Art. 17 Abs. 2 DSGVO).
  • Hat der Verantwortliche die Daten früher aktiv an Dritte weitergeleitet oder offengelegt, muss er diesen ebenfalls das Löschungsverlangen mitteilen, außer es ist unmöglich oder unverhältnismäßig aufwendig (Art. 19 DSGVO).

Arten von Löschung

Das Ziel, Daten zu löschen, lässt sich auf verschiedene Weisen erreichen.

Sind die Daten auf Papier wiedergegeben (z.B. Papierakten), muss das Papier vernichtet werden, beispielsweise durch Schreddern oder restloses Verbrennen. Das bloße Ablegen im Papierkorb ist keine Löschung.

Sind Daten elektronisch auf Datenträgern gespeichert (z.B. Festplatten, USB-Sticks), kommen zwei Methoden in Betracht:

  • das unwiederbringliche Überschreiben der Daten (ein Löschen über den Windows-Papierkorb z.B. reicht nicht aus) und
  • eine physikalische Zerstörung des Datenträgers (z.B. durch Durchbohren einer Festplatte, Schreddern einer CD).

Liegen Daten pseudonymisiert vor, genügt es, den Zuordnungsschlüssel sicher zu löschen. Also beispielsweise die Auflistung, aus der hervorgeht, welche ID im Schlüssel mit welchem Klartext-Namen verknüpft ist.

Die eigentlichen Daten dürfen noch vorhanden sein, soweit sie sich nicht mehr zuordnen lassen und dadurch nicht mehr interpretierbar sind.

Eine Empfehlung, wie Datenverarbeiter Daten sicher löschen, enthält die DIN-Norm 66399. Sie bietet konkrete Handlungsanweisungen und unterscheidet dabei auch nach Datenträgern und dem jeweiligen Schutzbedarf. Verpflichtend ist dieses Vorgehen aber nicht, da die Norm im Gegensatz zu Gesetzen nicht allgemein verbindlich ist.

Sicherungsdateien

Soweit Sicherungskopien oder Spiegelungen mit personenbezogenen Daten vorhanden sind, müssen auch sie wie die Originale gelöscht werden. Solange der Sicherungszweck andauert, kommt jedoch statt einer Löschung auch eine Einschränkung der Verarbeitung der personenbezogenen Daten in Betracht.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.