Datenschutz-Grundverordnung: Recht auf Löschung

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Betroffene Personen haben ein Recht auf Löschung ihrer personenbezogenen Daten, wenn die entsprechenden Voraussetzungen vorliegen

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Die Pflicht des Verantwortlichen, Daten zu löschen, bestand auch schon nach dem alten Recht (§ 35 BDSG).((Rechtsgrundlage: Art. 17 ))

Zunächst muss der Verantwortliche Daten löschen, wenn diese – wie bisher – nicht mehr benötigt werden. ((Rechtsgrundlage: Art. 5 (1) e )) Dies ergibt sich bereits aus den Grundsätzen für die Datenverarbeitung, die eine Begrenzung der Speicherung von Daten vorsieht. Speicherfristen sind auf das unbedingt erforderliche Mindestmaß zu beschränken. ((Rechtsgrundlage: ErwGr 39 )) Um dies sicherzustellen, sollte der Verantwortliche Löschfristen oder eine regelmäßige Überprüfung vorsehen. Nur ausnahmsweise kann eine längere Speicherung erlaubt sein. 

Darüber hinaus sind Daten zu löschen, wenn die betroffene Person dies verlangt und wenn:((Rechtsgrundlage: Art. 17 (1) ErwGr 65 ))

• sie nicht mehr notwendig sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden
• die betroffene Person ihre Einwilligung widerruft
• die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (Interessenabwägung)
• die Daten unrechtmäßig verarbeitet wurden
• die Löschung eine gesetzliche Pflicht ist oder
• die Daten auf Basis einer Einwilligung im Kindesalter erhoben wurden

Das im Zusammenhang mit der Löschpflicht genannte „Recht auf Vergessenwerden“ konstituiert keine zusätzliche Pflicht, sondern soll zum Ausdruck bringen, dass der Löschpflicht bei Veröffentlichung der Daten (etwa im Online-Bereich oder auch im Rahmen von Gewinnspielen) eine besondere Bedeutung zukommt.((Rechtsgrundlage: Art. 17 (2) ErwGr 65, 66 ))

Auch aus diesem Grund wurde insgesamt die Pflicht eingeführt, andere Verantwortliche über ein Löschbegehren einer betroffenen Person zu informieren, um insbesondere auch Links und Kopien der Daten im Internet zu löschen. Hierfür sind unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen.

Der Begriff des Löschens wird – im Gegensatz zum geltenden BDSG – in der DS-GVO nicht mehr definiert. Zweck der Löschung von Daten ist es, die betroffene Person nicht mehr identifizieren zu können, d. h. die Verbindung der Daten zu einer bestimmten Person durch technisch-organisatorische Maßnahmen auszuschließen.((Rechtsgrundlage: Art. 5 (1) e, Art. 4 Nr. 2, ErwGr 26 ))

Daraus kann geschlossen werden, dass ein logisches Löschen (Auflösen der Verknüpfung von Daten zu einer Person) ausreicht und nicht zwingend Daten physisch gelöscht bzw. Datenträger zerstört werden müssen. Dies kann vor allem gelten, wenn die jeweils verwendete Software ein physisches Löschen technisch nicht unterstützt. Das nachträgliche, individuelle Programmieren physischer Löschroutinen dürfte auch einen unverhältnismäßig hohen Aufwand darstellen. Es muss beim logischen Löschen sichergestellt sein, dass die Verknüpfung der Daten zu der betroffenen Person nicht wiederhergestellt werden kann. Jedenfalls dürften rein organisatorische Maßnahmen (z. B. interne Richtlinien) nicht ausreichen.

Zunächst muss der Betroffene über die ergriffenen Maßnahmen bzgl. der Löschung der Daten informiert werden.((Rechtsgrundlage: Art. 12(39 ))

Der Verantwortliche hat alle Empfänger der Daten über die Löschung zu informieren,((Rechtsgrundlage: Art. 19 )) es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Dies kann etwa durch Veröffentlichung der Löschung auf der Internetseite des Verantwortlichen oder in mit Dritten genutzten Datenbanken geschehen. Zudem ist die betroffene Person auf Verlangen über die Empfänger zu informieren. 

Solche Empfänger von Daten können interne oder externe Dienstleister sein (z. B. IT-Dienstleister, Callcenter, Auskunfteien). 

Sofern die Löschung jedoch nicht auf einem Begehren der betroffenen Person, sondern auf der allgemeinen Löschverpflichtung aus Art. 5 DS-GVO beruht, dürfte die Mitteilungspflicht aus Art. 19 nicht greifen. Dies dürfte vor allem auch dann keinen Sinn machen, wenn Auftragsdatenverarbeiter als Empfänger Daten verarbeiten, da mit diesen ohnehin gem. Art. 28 Abs. 3 g) DS-GVO zwingend eine Löschung nach Abschluss der Verarbeitungsleistung zu vereinbaren ist.

Es müssen im Vorhinein geeignete organisatorische Maßnahmen getroffen werden, um Löschansprüche von betroffenen Personen zu beantworten.((Rechtsgrundlage: Art. 12 (1), 5 (2) ))

Bestehen Zweifel hinsichtlich der Identität der antragstellenden Person, können weitere Informationen angefordert werden.((Rechtsgrundlage: Art. 12 (6) ))

Bei Anfragen per einfacher E-Mail oder Web-Formular ist eine Identitätsfeststellung in der Regel nicht hinreichend sicher möglich, so dass weitere Maßnahmen zur Identitätsfeststellung erforderlich sein dürften (z. B. telefonische Rückfragen, postalische Kontaktaufnahme).

Ausnahmen von dieser Löschpflicht bestehen, wenn die Verarbeitung erforderlich ist:((Rechtsgrundlage: Art. 17 (3) ))

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer Rechtspflicht
• für statistische Zwecke, soweit die Verwirklichung der Ziele dieser Verarbeitung unmöglich gemacht oder ernsthaft beeinträchtigt wird, oder
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Der deutsche Gesetzgeber sieht in engen Grenzen zusätzliche Ausnahmen vor, etwa wenn eine Löschung nur mit unverhältnismäßigem Aufwand möglich ist und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist. Gleiches gilt, wenn die Löschung schutzwürdige Belange der betroffenen Person berühren würde. In diesen Fällen ist dann eine Einschränkung gemäß Art. 18 zulässig.((Rechtsgrundlage: § 35 (1) und (2) BDSG (neu) ))

Schließlich ist eine Löschung auch ausgeschlossen, wenn ihr satzungsmäßige oder vertragliche Aufbewahrungspflichten entgegenstehen.((Rechtsgrundlage: § 35 (3) BDSG (neu) ))