datenrecht.ACADEMY

DSGVO-Compliance auf die smarte Art.

Recht auf Löschung bzw. Recht auf Vergessenwerden – Artikel 17 DSGVO

Artikel 17 DSGVO spricht davon, dass die betroffene Person das Recht hat, »von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden«. Der nachfolgende Beitrag befasst sich mit dem Inhalt und Umfang dieses Anspruchs, greift Praxisprobleme auf und gibt Tipps zum Umgang mit diesem Recht der betroffenen Person. In einem einführenden Video gebe ich einen Überblick in die Materie und, wenn Sie möchten, können Sie sich den Beitrag vorlesen lassen. Eben multimedial, so wie Sie es von der datenrecht.ACADEMY gewohnt sind.

Einen ersten Eindruck von der Regelung vermittelt meine Video-Kurzkommentierung zu Artikel 17 DSGVO.

Vimeo Video

Teilen Sie diesen Beitrag zur DSGVO:

Bei oberflächlicher Betrachtung könnten wir auf die Idee kommen, dass personenbezogene Daten eben nur auf Verlangen gelöscht werden müssen. Dem ist nicht so. Denn der zweite Teil des ersten Absatzes beginnt mit einem »und«: UND der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen!

Es ist auch nachvollziehbar, dass die Löschung personenbezogener Daten nicht allein vom Verlangen der betroffenen Person abhängen kann. Dies folgt schon aus den Grundsätzen der Verarbeitung personenbezogener Daten.

Gemäß Artikel 5 Absatz 1 Buchstabe b DSGVO dürfen personenbezogene Daten nur für »festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden«. Ist der ursprüngliche legitime Zweck erledigt oder weggefallen und gibt es auch keinen legitimen »Anschlusszweck«, dann sind personenbezogene Daten eben simpel und ergreifend zu löschen. Die personenbezogenen Daten, die verarbeitet werden dürfen, müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein; Grundsatz der Datenminimierung, Artikel 5 Absatz 1 Buchstabe c DSGVO. Verlieren Daten ihre Angemessenheit und Erheblichkeit, dann sind sie eben zu löschen. Noch viel deutlicher erscheint die allgemeine Pflicht zum Löschen, wenn wir uns den Grundsatz der Speicherbegrenzung aus Artikel 5 Absatz 1 Buchstabe e DSGVO anschauen: Personenbezogen Daten dürfen nur solange verarbeitet werden, wie es für die Zwecke für sie erhoben wurden erheblich ist.

Eine grafische Übersicht über diesen Gedankengang liefert die nachfolgende Grafik:

Stacks Image 12

Voraussetzungen der Löschung nach DSGVO

Artikel 17 Absatz 1 DSGVO legt die Voraussetzungen fest, unter denen eine betroffene Person die Löschung der sie betreffenden Daten verlangen kann bzw. ein Verantwortlicher personenbezogene Daten löschen muss. Artikel 17 Absatz 2 DSGVO erlegt dem Verantwortlichen Informationspflichten auf, wenn er die Daten öffentlich gemacht hat. Artikel 17 Absatz 3 DSGVO enthält schließlich Ausnahmen vom Löschungsanspruch bzw. von der Löschungspflicht gem. Artikel 17 Absatz 1 DSGVO sowie von der Informationspflicht gemäß Artikel 17 Absatz 2 DSGVO. Konkretisiert wird Artikel 17 DSGVO von den beiden korrespondierenden Erwägungsgründen 65 und 66 DSGVO. Die Modalitäten der Ausübung des Löschungsanspruchs sind - wie bei den anderen Betroffenenrechten - zuvorderst in Artikel 12 DSGVO geregelt.

Im Rahmen des Artikel 17 DSGVO sind Daten zuvorderst dann auf Verlangen oder aufgrund allgemeiner Verpflichtung in den nachfolgenden Fällen zu löschen:

  • Der ursprüngliche Zweck der einstigen Erhebung oder Verarbeitung ist entfallen.
  • Die betroffene Person widerruft ihre Einwilligung.
  • Es liegt ein Widerspruch gemäß Art. 21 DSGVO vor.
  • Die Datenverarbeitung war unrechtmäßig.
  • Die Pflicht zur Löschung wird durch ein Gesetz angeordnet.
  • Die Einwilligung wurde im Kindesalter erteilt und wird nun widerrufen.
Stacks Image 45

Zweckerreichung

Die erste Alternative, wann Verantwortliche personenbezogene Daten zu löschen haben, ist dann gegeben, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dafür muss in einem ersten Schritt eruiert werden, zu welchem Zweck, welche Daten verarbeitet werden. Hierbei kann es vorkommen, dass dieselben Daten auch zu unterschiedlichen Zwecken verarbeitet werden und im Hinblick auf die unterschiedlichen Zwecke voneinander abweichende Löschfristen bestehen. So werden die personenbezogenen Daten einer Lieferbestellung für die Vertragsdurchführung, aber auch für die Erfüllung handelsrechtlicher bzw. steuerrechtlicher Aufbewahrungspflichten benötigt. Ist der Vertrag erfüllt, bleiben die genannten Aufbewahrungspflichten regelmäßig bestehen und stehen einer Löschung entgegen. In diesem Beispiel kommt aber wieder die Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO in Betracht, wenn nur noch Aufbewahrungspflichten als relevante Zwecke verbleiben.

Widerruf der Einwilligung

Das Damoklesschwert der Einwilligung ist ihre Widerruflichkeit. Die betroffene Person kann eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, vgl. Artikel 7 Absatz 3 DSGVO. Wird die Einwilligung wirksam widerrufen, dann fällt sie als Rechtsgrundlage aus. Personenbezogene Daten dürfen aber überhaupt nur mit einer wirksamen Rechtsgrundlage verarbeitet werden, daher müssen sie nach Wegfall der Rechtsgrundlage gelöscht werden. Dabei ist zu beachten, dass die Daten im Falle des Widerrufs der Einwilligung natürlich dann nicht gelöscht werden müssen, sofern es noch eine weitere einschlägige und anwendbare Rechtsgrundlage gibt. Grundsätzlich kann die Verarbeitung auf mehrere Rechtsgrundlagen gestützt werden. Artikel 6 DSGVO, der die zentralen Rechtsgrundlagen der DSGVO regelt, schreibt immerhin:

Die Verarbeitung ist (...) rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist.
Artikel 6 Absatz 1 Satz 1 erster Halbsatz DSGVO

In der Praxis ist aber davon abzuraten, ohne Not eine Einwilligung sozusagen “sicherheitshalber” einzuholen, um vielleicht eine andere Rechtsgrundlage abzusichern. Stellen Sie sich vor, Sie erteilen für die Verarbeitung Ihrer personenbezogenen Daten eine Einwilligung und fühlen sich als Herr(in) Ihrer Daten, weil sie die weitere Verarbeitung ja jederzeit durch Widerruf beenden können. Erklären Sie dann den Widerruf und die verantwortliche Stelle zieht eine andere Rechtsgrundlage aus dem Hut, dann würden Sie sich doch ziemlich verarscht vorkommen. Nun, das sehen einige Datenschützer genauso und halten eine Einwilligung in solchen Fällen auch für intransparent und damit rechtswidrig. Nun, durchgesetzt hat sich diese Rechtsansicht noch nicht, aber Sie müssen es ja nicht darauf ankommen lassen. Ich jedenfalls raten dringend davon ab, eine Einwilligung als Rechtsgrundlage heranzuziehen, wenn Sie die Verarbeitung auf eine andere Rechtsgrundlage, wie z.B. das berechtigte Interesse stützen können. Die Rechtsgrundlagen in Artikel 6 Absatz 1 Satz 1 DSGVO sind gleichwertig und stehen in keinem Rangverhältnis zueinander; die Einwilligung ist als mithin nicht die bedeutendere oder sicherere Rechtsgrundlage –ganz im Gegenteil.

Setzt ein Unternehmen Einwilligungen zur Rechtfertigung von Datenverarbeitungen ein, ist sicherzustellen, dass die auf dieser Basis verarbeiteten Daten identifiziert und aus den Datenverarbeitungssystemen (separat) gelöscht werden können.

Widerspruch gegen die Verarbeitung gemäß Artikel 21 DSGVO

Widerspruch? Widerruf? Ist das nicht dasselbe? Mitnichten. Vom Widerruf sprechen wir bei einer erteilten Einwilligung, die eben »zurückgerufen« wird, eben widerrufen. Bei den Rechtsgrundlagen aus Artikel 6 Absatz 1 Satz 1 Buchstaben e und f DSGVO sprechen wir hingegen vom Widerspruch (vgl. Artikel 21 Absatz 1 Satz 1 DSGVO). Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO betrifft die Rechtsgrundlage der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in der Ausübung öffentlicher Gewalt; den Widerspruch gegen eine solche Verarbeitung blenden wir an dieser Stelle aus und konzentrieren uns auf den Widerspruch gegen eine Verarbeitung auf Grundlage eines berechtigten Interesses (Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO). Bei der Beurteilung, ob das Interesse der betroffenen Person das unternehmerische Interesse überwiegt, ist es gut möglich und nachvollziehbar, dass sich die verantwortliche Stelle bei der Abwägung zu ihren Gunsten geirrt hat. Mithilfe des Widerspruchs nach Artikel 21 DSGVO kann die betroffene Person eine Neubewertung dieser Interessenabwägung erreichen. Bezugspunkt dieser Neubewertung müssen allerdings Gründe sein, die sich aus der besonderen Situation der widersprechenden Person ergeben (Artikel 21 Absatz 1 Satz 1 am Anfang DSGVO). Einzelheiten werden wir uns anschauen, wenn wir zu Artikel 21 DSGVO, dem Widerspruchsrecht kommen.

Jedenfalls muss der Verantwortliche im Falle des berechtigten Interesses nach Artikel 17 Absatz 1 Buchstabe b DSGVO nur löschen, wenn sich aus einer erneuten Abwägung vorrangige berechtigtee Gründe in der Person des Anspruchstellers ergben, die gegen die Verarbeitung in seinem Fall sprechen. Bitte beachten Sie, dass Sie als verantwortliche Stelle sowohl die ursprüngliche Abwägung zur Begründung des berechtigten Interesses, als auch die Neubewertung nach Widerspruch dokumentieren müssen; einfach mal so durch den Kopf gehen lassen, reicht also nicht.

Solange die Prüfung des Verantwortlichen andauert, ob die Voraussetzungen des Art. 21 Abs. 1 DSGVO vorliegen und die Daten infolgedessen gelöscht werden müssen, kann die betroffene Person nach Artikel 18 Absatz 1 Buchstabe d DSGVO die Einschränkung der Verarbeitung dieser Daten verlangen.

Legt sie nach Artikel 21 Absatz 2 DSGVO Widerspruch gegen die Verarbeitung ihrer Daten zu Zwecken der Direktwerbung ein, muss der Verantwortliche die betroffenen Daten grundsätzlich löschen, ohne dass es hierzu weiterer Umstände bedarf. Wichtig zu wissen ist, dass die personenbezogenen Daten natürlich nur soweit gelöscht werden müssen, wie sie für Direktwerbung auch genutzt werden.

Der Widerspruch nach Artikel 21 Absatz 2 DSGVO kann auch zusammen mit dem Antrag auf Löschung erklärt werden oder ggf. konkludent aus ihm hervorgehen.

Unrechtmäßige Verarbeitung

Die vierte Alternative, wann Verantwortliche personenbezogene Daten zu löschen haben, ist gegeben, wenn diese Daten unrechtmäßig verarbeitet werden (Artikel 17 Absatz 1 Buchstabe d DSGVO). Artikel 17 Absatz 1 Buchstabe d DSGVO enthält einen Auffangtatbestand. Kann die Datenverarbeitung weder auf eine Rechtsvorschrift, insbesondere die in Artikel 6 DSGVO bzw. Art. 9 DSGVO genannten (Zulässigkeits-)Alternativen, noch auf eine Einwilligung der betroffenen Person gestützt werden oder ergibt sich die Unrechtmäßigkeit aus einer (anderen) Norm innerhalb oder außerhalb der DSGVO, ist der Verantwortliche verpflichtet, die betroffenen Daten zu löschen.

Es ist aber zu beachten, dass es gesetzliche Aufbewahrungspflichten gibt. Diese können dann zur Rechtsgrundlage der rechtlichen Verpflichtung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c) DSGVO führen.

Gesetzliche Pflicht zur Aufbewahrung

Das in der Praxis wohl bedeutendste Beispiel für derartige gesetzliche Aufbewahrungspflichten sind eben jene aus Handels- bzw. Steuerrecht, die wir w.o. bereits kurz kennengelernt haben. Jeder Gewerbetreibende ist verpflichtet, geschäftliche Unterlagen über einen bestimmten Zeitraum aufzubewahren. Man unterscheidet dabei Fristen von sechs und zehn Jahren. Die Aufbewahrungsfristen für die Unternehmen richten sich vornehmlich nach zwei Rechtsgrundlagen, nach dem Steuerrecht und nach dem Handelsrecht. Im Bereich des Steuerrechts werden die Aufbewahrungspflichten in der Abgabenordnung (AO) geregelt, im Bereich des Handelsrechts enthält das Handelsgesetzbuch (HGB) entsprechende Vorschriften für Kaufleute. Die handels- und steuerrechtlichen Vorschriften dazu stimmen größtenteils überein.

Die steuerlichen aufbewahrungspflichtigen Unterlagen jedes Steuerpflichtigen sind in § 147 AO (Abgabenordnung) aufgelistet. Grundsätzlich sind sämtliche Bücher und Aufzeichnungen aufzubewahren, soweit diese für die Besteuerung von Bedeutung sind.

Im Einzelnen nennt § 147 Absatz 1 AO folgende aufbewahrungspflichtige Unterlagen: * Bücher und Aufzeichnungen, * Inventare, * Jahresabschlüsse, bestehend aus Bilanz und Gewinn- und Verlustrechnung, * Lageberichte, * Eröffnungsbilanz, * die zum Verständnis dieser Unterlagen erforderlichen Arbeitsanweisungen und * sonstigen Organisationsunterlagen, * empfangene Handels- und Geschäftsbriefe, * Wiedergaben der abgesandten Handels- und Geschäftsbriefe, * Buchungsbelege, * Unterlagen, die einer mit Mitteln der Datenverarbeitung abgegebenen Zollanmeldung nach Artikel 77 Absatz 1 i.V.m. Artikel 62 Absatz 2 Zollkodex beizufügen sind, sofern die Zollbehörden auf ihre Vorlage verzichtet oder sie nach erfolgter Vorlage zurückgegeben haben, * sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.

Nach § 257 Absatz 1 HGB (Handelsgesetzbuch) ist jeder Kaufmann dazu verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:

  • Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
  • die empfangenen Handelsbriefe,
  • Wiedergaben der abgesandten Handelsbriefe,
  • Belege für Buchungen in den zu führenden Büchern (Buchungsbelege).

Gesetzliche Verpflichtung zur Löschung

Die Verpflichtung zur Löschung kann zudem aus einer rechtlichen Verpflichtung aus dem Unionsrecht oder aus dem nationalen Recht stammen. Zwar begründen z.B. auch Verträge »rechtliche Verpflichtungen«, doch im Rahmen von Artikel 17 Absatz 1 Buchstabe e) DSGVO muss es eine aus dem sog. objektiven Recht sein, also einem Gesetz oder einer Verordnung oder dergleichen. Löschpflichten iSv Artikel 17 Absatz 1 Buchstabe e) müssen nicht dem Bereich des spezifischen Datenschutzrechts entstammen. Sie müssen auch nicht unmittelbar in einer Rechtsnorm geregelt sein; so können sich Löschpflichten auch etwa aus z.B. arbeitsgerichtlicher Rechtsprechung ergeben; denn auch Gerichtsurteile gehören zum objektiven Recht.

Dienste der Informationsgesellschaft und Minderjährige

Unter Diensten der Informationsgesellschaft werden praktisch alle Onlinedienste verstanden, die auf Austausch und Nachrichtenübermittlung aufgerichtet sind; also jedenfalls alle sozialen Netzwerke wie beispielsweise Facebook, aber auch Webshops oder Online-Spiele. Nun ist es aber nicht so, dass einfach die Löschung aller Daten, die in einem sozialen Netzwerk gespeichert sind, verlangt werden können. Artikel 17 Absatz 1 Buchstabe f) DSGVO ist da ein wenig spezieller. Er konkretisiert seinen Anwendungsbereich auf solche personenbezogenen Daten bei Diensten der Informationsgesellschaft, die gemäß Artikel 8 Absatz 1 DSGVO erhoben wurden.

Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
Artikel 8 Absatz 1 DSGVO

Artikel 8 Absatz 1 DSGVO regelt die Einwilligung durch oder für einen Minderjährigen. Auf diese Fälle beschränkt sich Artikel 17 Absatz 1 Buchstabe f) DSGVO. Dieser Löschgrund greift demnach dann, wenn die betroffene Person bei der Einwilligung noch nicht das sechzehnte Lebensjahr vollendet hat; ist im nationalen Recht entsprechend der Öffnungsklausel des Artikel 8 Absatz 1 Satz 3 eine niedrigere Altersgrenze vorgesehen, so gilt diese Altersgrenze auch für den Löschgrund.

Kurz gesagt will die Norm es jungen Erwachsenen ermöglichen, sozusagen ihre Jugendsünden zu tilgen und sobald sie ins Erwachsenenalter gekommen sind, können sie daher Löschung dieser Daten z.B. in einem sozialen Netzwerk verlangen.

Kostenlose* Webinare der datenrecht.ACADEMY

*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).

Zuletzt aktualisiert am 02.11.2022 um 15:09 Uhr.
Hier geht es zum DSGVO-Praxiskurs der datenrecht.ACADEMY

Hier klicken zum DSGVO-Praxiskurs