Recht auf Löschung (Art. 17 DSGVO)

Vorbemerkung

Die Datenschutzgrundverordnung schützt die Rechte und Freiheiten natürlicher Personen und insbesondere deren Recht auf den Schutz personenbezogener Daten. Um diesen Schutz zu gewährleisten, finden sich im Rahmen der Datenschutzgrundverordnung zahlreiche sog. „ Betroffenenrecht“, die es den Betroffenen ermöglichen sollen zu erfahren, wer welche Informationen über sie zu welchem Zweck gespeichert hat und wie diese genutzt werden. Für die meisten Unternehmen stellt es eine große Herausforderung dar, den Anforderungen der Betroffenenrechte nachzukommen. Der vorliegende Leitfaden zum Recht auf Löschung soll Orientierung und Werkzeug zugleich sein, um einem möglichen Antrag auf Löschung gerecht werden zu können. Für Unternehmen ist es sinnvoll, im Rahmen einer effizienten und sicheren Bearbeitung eines Antrags auf Löschung einen Prozess zu implementieren.

Allgemeines zum Recht auf Löschung

Im Sinne des Art. 17 DSGVO kann jede Person bei Vorliegen eines Löschungsanspruchs von demjenigen, der personenbezogene Daten von ihr verarbeitet (der Verantwortliche) verlangen, dass die Daten unverzüglich gelöscht werden. In diesem Zusammenhang gilt es allerdings auch zu beachten, dass auch ohne einen entsprechenden Antrag auf Löschung die Pflicht besteht, personenbezogene Daten beim Vorliegen gewisser Voraussetzungen zu löschen.

Rahmenbedingungen des Rechts auf Löschung

  • Ein Antrag auf Löschung kann jede natürliche Person stellen (d.h. Kunde/in, Mitarbeiter/in und sonstige Dritte). Unternehmen steht dieses Recht nicht zu.
  • Der Antrag auf Löschung kann formlos erfolgen (d.h. mündlich z.B. per Telefon, aber auch schriftlich z.B. per E-Mail oder Brief).
  • Grundsätzlich gilt, dass allen Löschanträgen spätestens nach Ablauf eines Monats ab Zugang des Löschantrags, zu entsprechen ist. Sofern die Frist nicht eingehalten werden kann, muss dies dem Antragsteller unter Angabe der (verlängerten) Antwortfrist mitgeteilt werden.
  • Einem Antrag auf Löschung oder der Löschpflicht muss nur nachgekommen werden, wenn die Daten nicht mehr für die Zwecke notwendig sind, für die Sie erhoben bzw. verarbeitet worden sind. Die Verarbeitung der Daten auf einer vom Antragsteller erteilten Einwilligung beruht, die jedoch widerrufen wurde und auch keine sonstigen Gründe vorliegen, die eine Verarbeitung rechtfertigen. Weiterhin muss einem Löschantrag oder der Löschpflicht entsprochen werden, wenn der Antragsteller der Datenverarbeitung widersprochen hat (Art. 21 DSGVO) oder die Datenverarbeitung unrechtmäßig erfolgt bzw. kein anderweitiges Recht zur Verarbeitung besteht.
  • Einem Antrag muss nicht entsprochen werden und es besteht auch keine Pflicht zur Löschung der personenbezogenen Daten, wenn die Verarbeitung der Daten erforderlich ist zur Ausübung des Rechts auf freie Meinungsäußerung, die Erfüllung einer rechtlichen Verpflichtung oder der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Verstoß gegen das Recht auf Löschung

Verstöße gegen das Recht auf Löschung oder gegen die Löschpflicht können mit hohen Geldbußen geahndet werden. Ferner sollten sich Unternehmen bewusst sein, dass Verstöße gegen das Recht auf Löschung oder gegen die Löschpflicht zu erheblichen Reputationsschäden des Unternehmens führen können.

Praktische Vorgehensweis bei einem Antrag auf Löschung

Im Rahmen der Bearbeitung eines Löschantrags bietet sich folgende Vorgehensweise an:
1.) Identitätsfeststellung des/der Antragsstellers/in

Wichtig ist zunächst, dass sich die verantwortliche Stelle vergewissert, dass die antragstellende Person die ist, die sie vorgibt zu sein. Bestehen Zweifel an der Identität der antragstellenden Person, sind weitere Informationen anzufordern, um die Identität zweifelsfrei festzustellen. Die Monatsfrist zur Beantwortung des Löschantrages beginnt erst mit der zweifelsfreien Identitätsfeststellung. In diesem Zusammenhang ist es wichtig zu beachten, dass sobald die Identität des/der Antragstellers/in aufgrund der Preisgabe weiterer Informationen durch den/die Antragsteller/in festgestellt worden ist, diese Informationen auch wieder gelöscht werden müssen.
2.) Ermittlung der personenbezogenen Daten

Im Rahmen der Ermittlung der personenbezogenen Daten des/der Antragsstellers/in sind die Datenquellen zu identifizieren, die nach den maßgeblichen Informationen durchsucht werden sollen. Hier sind alle Bereiche miteinzubeziehen, deren Unterstützung erforderlich sein könnte (zum Beispiel die IT-Abteilung).
3.) Prüfung des Antrags auf Löschung

Es muss geprüft werden, ob der Antragsteller einen Anspruch auf Löschung hat bzw. keine Gründe vorliegen, die eine Speicherung der Daten weiterhin rechtfertigen. Einem Löschantrag muss nicht nachgekommen werden und es besteht auch keine Löschpflicht, wenn zum Beispiel die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (siehe bitte hierzu bitte oben: Rahmenbedingungen des Rechts auf Löschung).
4.) Bestätigung oder Ablehnung des Antrags auf Löschung

In Abhängigkeit davon, ob der Anspruch auf Löschung des/der Antragsteller/in tatsächlich besteht muss entweder die Löschung durchgeführt werden und dem Antragsteller ein entsprechende Bestätigung zugesendet werden oder eine Ablehnung des Antrags (unter der Angabe der entsprechenden Gründe) erfolgen. Unter dem Begriff „Löschung“ versteht man die Vernichtung oder Unbrauchbarmachung der Daten. In den überwiegend Anwendungsfällen also die technische Löschung der Daten von einem Datenträger.

Besondere Konstellationen

1.) Falls der Verantwortliche die gespeicherten personenbezogenen Daten des/der Antragsteller/in öffentlich gemacht hat, müssen nicht nur diese Daten gelöscht werden, sondern auch andere Verantwortliche (z.B. weitere Gruppengesellschaften) vom Löschantrag in Kenntnis gesetzt werden, die diese Daten ebenfalls verarbeiten.
2.) Im Zusammenhang mit dem neuen Bundesdatenschutzgesetz (BDSG) gilt es zu beachten, dass die Pflicht des Verantwortlichen zur Löschung der Daten nach Art. 17 DSGVO im Fall einer nicht automatisierten Datenverarbeitung nicht besteht, wenn die Löschung wegen der besonderen Art der Speicherung nicht oder mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse des Betroffenen an der Löschung als gering anzusehen ist (§ 35 BDSG). In diesen Fällen tritt an die Stelle des Rechts auf Löschung das Recht auf Einschränkung der Verarbeitung.