27 Aug
2019

Recht auf Löschung – Pflicht zur Löschung?

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen? Dann kann es sinnvoll sein, sich einmal mit den grundlegenden Voraussetzungen und dem Umfang des Löschanspruchs zu beschäftigen. Denn auch wenn grundsätzlich ein solcher Anspruch existiert, heißt das nicht automatisch, dass stets sämtliche Daten gelöscht werden müssen.

Löschanspruch nach der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) begründet in Art. 17 das Recht auf Löschung. Danach kann eine Person, deren personenbezogene Daten verarbeitet werden oder wurden, grundsätzlich von dem Verantwortlichen verlangen, dass diese Daten unverzüglich gelöscht werden. Aber Achtung: Dieser Anspruch besteht nicht ausnahmslos. Eine vollständige Löschung kann also nicht in jedem Fall begehrt werden.

Nach Art. 17 Abs. 1 DS-GVO sind personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe vorliegt:

  • Die Daten sind für den Zweck, für den sie erhoben oder sonst verarbeitet wurden, nicht mehr notwendig.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf einer Einwilligung, die zwischenzeitlich widerrufen wurde und es fehlt an einer anderweitig einschlägigen Rechtsgrundlage.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) oder Art. 6 Abs. 1 lit. f DS-GVO (Wahrung der berechtigten Interessen) und dagegen wurde zwischenzeitlich Widerspruch eingelegt.
  • Die Erhebung oder sonstige Verarbeitung erfolgte rechtswidrig, beispielsweise ohne Rechtsgrundlage.
  • Die Löschung ist notwendig, um eine gesetzlich begründete Verpflichtung zu erfüllen. Diese kann sich sowohl aus europäischem Recht als auch aus deutschem Recht ergeben.
  • Die Daten wurden bei der Nutzung von „Diensten der Informationsgesellschaft“ erhoben. Darunter sind Dienste im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 zu verstehen. Gemeint sind Dienstleistungen, die in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf des Empfängers erbracht werden. Dabei muss stets ein unmittelbarer Bezug zum Internet bestehen; die Gegenleistung muss nicht zwingend in einer Geldzahlung bestehen (beispielsweise auch „Bezahlung“ mit persönlichen Daten in sozialen Netzwerken).

Keine Löschpflicht: Löschanspruch kann ausgeschlossen sein

Auch wenn einer der zuvor genannten Gründe vorliegt, kann es sein, dass personenbezogene Daten dennoch nicht gelöscht werden müssen. So nennt Art. 17 Abs. 3 DS-GVO Gründe, bei deren Vorliegen kein Löschanspruch besteht:

  • Die weitere Verarbeitung der jeweiligen Daten ist notwendig, um das Recht auf freie Meinungsäußerung auszuüben.
  • Die weitere Verarbeitung (beispielsweise die simple Speicherung) ist notwendig, um eine gesetzlich begründete Verpflichtung (z.B. aus europäischem oder deutschem Recht) zu erfüllen.
  • Die weitere Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit notwendig (beispielsweise zum Zweck der Gesundheitsvorsorge, Arbeitsmedizin, medizinischen Diagnostik, Vorsorge und Behandlung etc.).
  • Die weitere Verarbeitung ist zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken notwendig und die Löschung würde die Erreichung dieser Ziele unmöglich machen.
  • Die weitere Verarbeitung ist notwendig, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Häufigster Fall für die Ablehnung eines Löschbegehrens ist wohl regelmäßig die gesetzliche Verpflichtung des Verantwortlichen, die Daten auch weiter zu speichern, obwohl der ursprüngliche Zweck bereits erreicht wurde. Diese kann aus verschiedenen Gründen notwendig sein:

  • Zum einen bestehen beispielsweise für Geschäftsunterlagen konkrete Aufbewahrungspflichten, die die fortdauernde Speicherung für sechs bis zehn Jahre erforderlich machen (§ 147 Abgabenordnung, § 257 Handelsgesetzbuch).
  • Zum anderen ist der Verantwortliche nach Art. 5 Abs. 2 DS-GVO rechenschaftspflichtig. Das bedeutet, dass er in der Lage sein muss, die Einhaltung der grundlegenden Prinzipien der DS-GVO nachzuweisen. Das heißt, dass er auch für Datenverarbeitungen, die in der Vergangenheit liegen und ihren Zweck längst erreicht haben, nachweisen können muss, dass diese rechtmäßig durchgeführt wurden. Beruhte die Verarbeitung beispielsweise auf einer Einwilligung, müssen deren Vorliegen und Wirksamkeit weiterhin nachweisbar sein. Es empfiehlt sich daher, die Daten aus diesem Grund weiterhin zu speichern – aber nur, sofern sie jeweils zu diesem Zweck notwendig sind. Andere Daten können (und müssen sogar) gelöscht werden.

Umsetzung in der Praxis

Personen, die die Löschung der sie betreffenden personenbezogenen Daten begehren, sollten dies direkt bei dem Verantwortlichen verlangen. Dabei muss grundsätzlich keine besondere Form beachtet werden. Der Löschantrag sollte jedoch hinreichend begründet sein, d.h. Informationen zur Person des Antragstellers sowie dazu enthalten, warum die Löschung begehrt wird. Um Missbrauchsrisiken zu verringern, darf der Verantwortliche zudem Nachweise zur Überprüfung der Identität verlangen (aber Achtung bei der Anforderung von Personalausweiskopien oder -scans! Lesen Sie hierzu auch unseren Beitrag vom 27. Juni 2019.

Der Löschantrag muss dann grundsätzlich innerhalb eines Monats bearbeitet und beantwortet werden; eine Verlängerung dieser Frist ist ausnahmsweise möglich (Art. 12 Abs. 3 DS-GVO). Kommt der Verantwortliche dem Löschbegehren nicht nach, ist dies dem Antragsteller darzulegen (Art. 12 Abs. 4 DS-GVO).

Allerdings darf nicht vergessen werden, dass Verantwortliche auch ohne ein konkretes Verlangen personenbezogene Daten löschen müssen, wenn einer der oben genannten Gründe vorliegt. Werden beispielsweise gespeicherte Daten nicht mehr benötigt oder wurden diese in der Vergangenheit ohne Rechtsgrundlage verarbeitet, müssen die Daten gelöscht werden, wenn sie nicht weiterhin aus anderen Gründen gespeichert werden dürfen (oder müssen). Hier empfiehlt sich, eine Löschroutine anhand eines entsprechenden Löschkonzeptes zu entwickeln.

Das bedeutet für Sie: Wenn Sie selbst die Löschung ihrer personenbezogenen Daten begehren, sollten Sie sich bewusst machen, dass der Verantwortliche trotz Ihres Löschanspruchs nicht in jedem Fall verpflichtet ist, Ihre Daten vollumfänglich zu löschen. Den Löschantrag sollten Sie stets hinreichend begründen. Wenn Sie in Ihrem Unternehmen Löschanfragen erhalten, sollten Sie genau prüfen, ob Sie zur Löschung verpflichtet sind oder gegebenenfalls die Löschung verweigern dürfen. Löschen Sie beispielsweise sämtliche Daten der betreffenden Person, kann es sein, dass Sie unter Umständen Ihrer Rechenschaftspflicht nicht mehr nachkommen können. Eine fehlerhafte Löschung kann gleichzeitig eine „neue“ unzulässige Datenverarbeitung darstellen. Bei gespeicherten Datensätzen sollte regelmäßig geprüft werden, welche Daten davon nicht mehr benötigt werden und gelöscht werden können. Hier ist es regelmäßig empfehlenswert, ein Löschkonzept mit festen Verfahren zu etablieren.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019