Freitag, 29. September 2017

Kurzpapier Nr. 11: Recht auf Löschung / „Recht auf Vergessenwerden“

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

PDF-Version
PDF-Version

Mit dem Inkrafttreten der DS-GVO erfährt die Löschung personenbezogener Daten gegenüber der bisherigen Rechtslage insofern eine Aufwertung, als die diesbezüglichen Bestimmungen detaillierter ausformuliert worden sind und zum Teil auch dar-über hinausgehen. Das mit dem Löschungsanspruch der betroffenen Person verbundene „Recht auf Vergessenwerden“ wird zum ersten Mal ausdrücklich gesetzlich geregelt; es ergänzt die Löschung unmittelbar beim Verantwortlichen und die bereits bislang im BDSG verankerten Nachberichtspflichten.

Löschungspflicht

Wie aktuell in § 35 Abs. 2 BDSG-alt vorgesehen, bestimmt auch Art. 17 Abs. 1 DS-GVO, dass personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person eigenständig durch den Verantwortlichen unverzüglich gelöscht werden müssen. Art. 17 Abs. 1 DS-GVO benennt dazu folgende Fälle:

  1. Die Notwendigkeit der Verarbeitung zur Zweckerreichung ist entfallen.
  2. Die betroffene Person hat ihre Einwilligung widerrufen und es besteht auch keine sonstige Rechtsgrundlage.
  3. Die betroffene Person legt gem. Art. 21 Abs. 1 oder 2 DS-GVO Widerspruch gegen die Verarbeitung ein; im Falle des Art. 21 Abs. 1 gilt dies nur, soweit keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.
    Das Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO besteht ausschließlich bei Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DS-GVO gründen. Für die Löschungsverpflichtung bedarf es dabei einer Interessenabwägung.
    Anders bei Widersprüchen in Bezug auf Direktwerbung (Art. 21 Abs. 2 DS-GVO): Hier bedarf es keiner Interessenabwägung.
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.

Der Verweis auf Art. 8 Abs. 1 DS-GVO (Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft) impliziert, dass die Daten rechtmäßig erhoben wurden. Eine Löschungspflicht ergibt sich damit allein aufgrund des Löschungsverlangens der betroffenen Person. Weil Diensten der Informationsgesellschaft (z. B. Soziale Netzwerke, Online-Spiele) in Bezug auf Minderjährige weniger Schutzbedarf als den betroffenen Personen zugestanden wird, bedarf es neben dem Löschungsverlangen keiner weiteren Voraussetzung; auch kann dieser Anspruch noch als Erwachsener geltend gemacht werden.

Recht auf Vergessenwerden

Das „Recht auf Vergessenwerden“ gem. Art. 17 Abs. 2 DS-GVO bezieht sich, obwohl der Begriff im ErwGr. 65 als Synonym für „Löschung“ verwendet wird, auf die Tilgung (von Spuren) personenbezogener Daten, die durch Veröffentlichungen, insbesondere im Internet, einer breiten Öffentlichkeit zugänglich sind.

Der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat und der gemäß Art. 17 Abs. 1 DS-GVO zu deren Löschung verpflichtet ist, hat unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten (gleichfalls) verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Danach zieht der berechtigte Löschungsantrag einer betroffenen Person bzw. die bestehende Löschungspflicht eines Verantwortlichen dessen Pflicht nach sich, weitere Verantwortliche, die die zu löschenden Daten (noch) verarbeiten, über ein Verlangen des Betroffenen nach Löschung von Links, Kopien oder Replikationen zu informieren. Das Unterlassen entsprechender Bemühungen wird angesichts des Wortlauts der Norm und der fortlaufenden technischen Entwicklung nicht mit einem einfachen Verweis des Verantwortlichen auf unzumutbaren Aufwand begründet werden können.

Ausnahmen von der Löschungspflicht

Die Pflicht zur Löschung nach Art. 17 Abs. 1 und die Pflicht zur Information weiterer Verantwortlicher nach Art. 17 Abs. 2 DS-GVO entfallen, wenn gemäß Art. 17 Abs. 3 DS-GVO die Verarbeitung erforderlich ist

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DS-GVO, soweit die Löschung die Verwirklichung dieser Ziele ernsthaft beeinträchtigt;
  5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Allerdings berechtigen die benannten Ausnahmen nicht zu einer zeitlich unbegrenzten Verarbeitung der jeweiligen personenbezogenen Daten. Auch diese Zwecke werden zu einem bestimmten Zeit-punkt erfüllt und die Verarbeitung der Daten wird zur Zweckerreichung nicht mehr erforderlich sein. Dann sind auch diese Daten zu löschen.

Nachberichtspflichten

Die bislang schon bestehenden Nachberichtspflichten zur Löschung (§ 35 Abs. 7 BDSG-alt) bleiben bestehen. Art. 19 DS-GVO verpflichtet den Verantwortlichen, allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Beschränkung des Löschungsanspruchs

Art. 23 DS-GVO befugt die Union und die Mitglied-staaten, die Löschung gesetzlich zu beschränken, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet, eine notwendige und verhältnismäßige Maßnahme darstellt und (zumindest) einem der in Art. 23 Abs. 1 lit. a bis j DS-GVO genannten Zwecke dient. Hiervon hat der Bundesgesetzgeber in § 35 BDSG-neu Gebrauch gemacht: Im Fall nicht automatisierter Datenverarbeitung und unter den weiteren dort genannten Voraussetzungen ist statt des Löschungsanspruchs der betroffenen Person ein Anspruch auf Einschränkung der Verarbeitung gemäß Art. 18 DS-GVO vorgesehen.

Anwendbarkeit der Regelungen des BDSG-neu

Es bestehen jedoch Zweifel, ob die in § 35 BDSG-neu vorgesehenen Beschränkungen des Rechts auf Löschung nach Art. 23 DS-GVO zulässig sind. Jedenfalls sind diese Regelungen grundsätzlich eng und im Sinne einer größtmöglichen Transparenz auszulegen. Ob und in welchem Umfang eine in § 35 BDSG-neu vorgesehene Beschränkung des Rechts auf Löschung aufgrund des Anwendungsvorrangs der DS-GVO tatsächlich angewendet werden kann, bleibt einer Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.

Sanktionen

Bei Verstößen gegen die Löschungs- oder Nachberichtspflichten droht die Einleitung eines Bußgeldverfahrens (Art. 83 Abs. 5 lit. b DS-GVO).