Das Recht auf Vergessenwerden

Das „Recht auf Vergessenwerden“ bildet ein zentrales Element der Europäischen Datenschutzgrundverordnung (DSGVO). Der Grundgedanke dahinter ist der Schutz von Personen, deren Daten online oder anderweitig verarbeitet werden. Das Recht auf Vergessen ermöglicht unter Erfüllung bestimmter Voraussetzungen die Löschung digitaler, personenbezogener Daten.

Was ist das Recht auf Vergessenwerden?

Das „Right to be forgotten“ – zu Deutsch „Recht auf Vergessenwerden“ – stellt eines der wichtigsten Werkzeuge für Verbraucherinnen und Verbraucher dar, um die eigenen Personendaten und die Privatsphäre zu schützen. Es ermöglicht Betroffenen, auf Antrag digitale, personenbezogene Daten dauerhaft von Unternehmen bzw. Verantwortlichen löschen zu lassen. Hierbei ist es unerheblich, ob Unternehmen die Daten erheben, speichern oder lediglich öffentlich bereitstellen.

Wie kam es zum Recht auf Vergessenwerden gemäß DSGVO?

Der Ursprung der DSGVO-Richtlinie findet sich im „Google-Urteil“ oder auch „Google-Spain-Urteil“, das der Europäische Gerichtshof am 13. Mai 2014 fällte. Kern des Urteils: Betroffene können unter bestimmten Voraussetzungen die Löschung von Links einfordern, die auf veraltete oder irrelevante Informationen zu Betroffenen verweisen. Die Pflicht zur Löschung auf Anfrage bezieht sich im EuGH-Urteil auf Suchmaschinen, die personenbezogene Daten öffentlich zugänglich machen. Zudem beruft sich das Urteil vorrangig auf Privatpersonen, weist jedoch darauf hin, dass bei der Löschung von Informationen zu öffentlichen Personen oder in Pressearchiven Betroffenenrechte mit dem Recht auf Information abzuwägen sind.

Wo wird das Recht auf Vergessen juristisch definiert?

Mit dem „Google-Urteil“ wandte der EuGH bestehende EU-Datenschutzrichtlinien an, die 2016 in der europäischen Datenschutz-Grundverordnung, besser bekannt als DSGVO, konkrete Gestalt annahmen. Darin findet sich das Recht auf Vergessen in Art. 17 unter der Überschrift „Recht auf Löschung“ geregelt. In Klammern steht dort als Ergänzung „Recht auf Vergessenwerden“. Im deutschen Rechtsrahmen erhält das Recht mit Bezug auf Art. 17 der DSGVO in § 35 des Bundesdatenschutzgesetzes (BDSG) eine eigene Definition.

Recht auf Vergessen vs. Recht auf Löschung gemäß DSGVO

Das Recht auf Vergessenwerden lässt sich als eine Erweiterung des Rechts auf Löschung in der DSGVO verstehen. So regelt Art. 17 des DSGVO in erster Linie die Löschpflichten von Verantwortlichen, die personenbezogene Daten direkt verarbeiten oder zugänglich machen. Dazu zählen zum Beispiel Presseverlage oder Unternehmen, die Daten von Personen direkt verarbeiten und speichern. Gelten die Voraussetzungen für eine Löschung als erfüllt, müssen Verantwortliche entsprechende Links oder Datensätze auf Ersuchen nachweislich und unverzüglich entfernen.

Das Recht auf Vergessen findet spezifisch in Art. 17 Abs. 2 der DSGVO Beachtung und bezieht sich auch auf Dritte, die personenbezogene Daten selbst zwar nicht erheben, aber wie Google oder andere Suchmaschinen öffentlich bereitstellen. Betroffene können mit dieser Regelung nicht nur Verantwortliche direkt zur Löschung auffordern, sondern auch von Dritten die Löschung bzw. die Entfernung von Personendaten verlangen.

Welche Voraussetzungen gelten für das Recht auf Vergessenwerden?

Soll es zur Löschung von Daten durch Verantwortliche und involvierte Dritte kommen, gilt es, spezifische Voraussetzungen zu erfüllen. Dazu zählen:

  • Es liegt hinsichtlich der ursprünglichen Zwecke der Datenerhebung und Datenverarbeitung keine Notwendigkeit mehr für die Speicherung und Zugänglichmachung der Personendaten vor.
  • Betroffene haben ihre Einwilligung zur Verarbeitung und Speicherung der eigenen Daten widerrufen.
  • Es liegt keine anderweitige oder vorrangige Rechtsgrundlage für die Speicherung der Daten vor.
  • Die Erhebung und Verarbeitung der Personendaten erfolgten ohne Rechtsgrundlage und/oder Einwilligung.
  • Verantwortliche unterliegen der rechtlichen Verpflichtung gemäß DSGVO, das Recht auf Löschung und das Recht auf Vergessenwerden zu beachten.
  • Die Personendaten beziehen sich auf minderjährige Personen und wurden für Online-Dienste und Internet-Angebote erhoben.

Können Betroffene ihren Anspruch nachweisen, müssen verantwortliche Unternehmen sowie Dritte die Löschung „ohne schuldhaftes Verzögern“ unverzüglich umsetzen. In der Regel müssen Verantwortliche die Betroffenen innerhalb eines Monats nach Antragstellung über ergriffene Maßnahmen bzw. mögliche Gründe für eine Ablehnung informieren.

Fallbeispiel für das Recht auf Vergessenwerden

Das Recht auf Vergessen dient als wichtiges Instrument, um den Ruf, das Ansehen und die Privatsphäre von Personen und Unternehmen zu schützen. In der Praxis kommt es zum Beispiel zur Anwendung, wenn sich auf Suchmaschinen wie Google nach 10 oder 20 Jahren noch immer Informationen zu einer Insolvenz, einer Verurteilung oder „peinlichen“ Handlungen finden lassen. Auch die Resozialisierung von verurteilten Personen spielt hier vor allem bei geringfügigen Verfehlungen eine wichtige Rolle. Indem Personen und Unternehmen die Datenlöschung juristisch durchsetzen, schützen Sie nicht nur die eigenen Personenrechte, sondern auch ihre Karrierechancen sowie das berufliche und unternehmerische Image.

Wie erfolgt eine Löschung oder Entfernung von Personendaten?

Eine klare Methode für die Durchführung der Löschung wird von der DSGVO nicht definiert. Entscheidend ist hierbei jedoch der nachweisliche und unverzügliche Löscherfolg. Mögliche Methoden können sein:

  • Ordnungsgemäße Zerstörung und Entsorgung physischer Datenträger durch Experten bzw. Expertinnen
  • Fachgerechte Überschreibung von betreffenden Speicherplätzen, die nachweislich zur Entfernung bzw. Unbrauchbarmachung von Datensätzen führen
  • Löschung von zugehörigen Links, Verknüpfungen, Sucheinträgen, Suchbegriffen und Codierungen
  • Eine Auslistung und Entfernung aus Suchmaschinenalgorithmen

Welche Ausnahmen vom Recht auf Vergessen gibt es?

Die Löschung von Personendaten auf Anfrage kollidiert je nach Fall mit der Aufbewahrungspflicht und der Informationsfreiheit. Obwohl die DSGVO Privatpersonen das Recht auf mehr Privatsphäre einräumt, sorgen spezifische Voraussetzungen und Ausnahmen dafür, dass sich kritische Daten nicht einfach löschen lassen, wenn sie noch der Aufbewahrungspflicht unterliegen bzw. von öffentlichem, medizinischem, steuerrechtlichem oder sicherheitspolitischem Interesse sind. Vor allem bei längeren Aufbewahrungspflichten gilt es jedoch zu beachten, dass Personendaten, die zwar nicht mehr verarbeitet, aber noch aufbewahrt werden müssen, stärkerem Zugriffsschutz unterliegen.

Konkrete Ausnahmen vom Recht auf Vergessen im Überblick

  • Die Personendaten sind für nachweisliche Zwecke der Datenverarbeitung noch erforderlich.
  • Die betreffenden Personen haben in die weiterhin erforderliche Datenverarbeitung eingewilligt.
  • Das Recht auf freie Meinungsäußerung und Informationsfreiheit überwiegt das Recht auf Löschung und Vergessenwerden.
  • Die Daten werden noch für die Erfüllung öffentlicher und rechtlicher Pflichten von Unternehmen oder Personen benötigt.
  • Die Datenverarbeitung erfolgt im Rahmen des öffentlichen Interesses.
  • Die Datenverarbeitung erfolgt im Rahmen der Archivierung, Forschung oder zur statistischen Erfassung von Daten, die im öffentlichen Interesse liegen.
  • Die Daten spielen für Rechtsansprüche eine nachweisliche Rolle.
Hinweis

Je nach Fall können Ausnahmen vom Recht auf Vergessen verfallen, wenn sich ein Löschanspruch nach entsprechender Verjährung durchsetzen lässt. Ein Urteil des OLG Dresden wies in diesem Zusammenhang zudem darauf hin, dass im Fall von aufbewahrungspflichtigen Datensätzen darin enthaltene unerhebliche Datensätze nicht zwingend der Aufbewahrungspflicht unterliegen. Im Sinne der Datenminimierung können daher einzelne Daten wie personenbezogene Informationen zu Namen, Geschäftspartnerinnen bzw. -partnern oder Anschriften aus Datensätzen gelöscht werden, wenn keine konkreten Aufbewahrungsgründe vorliegen.

Wie lässt sich das Recht auf Vergessen in Anspruch nehmen?

Um die Löschung und Entfernung Ihrer Daten einzufordern, müssen Sie zunächst wissen, dass es diese Daten gibt. Hierbei hilft das in Art. 15 der DSGVO geregelte Auskunftsrecht. Dieses ermöglicht Ihnen von Unternehmen, die Ihre personenbezogenen Daten verarbeiten, Auskunft zu gespeicherten und verarbeiteten Daten zu Ihrer Person einzufordern. Auf Grundlage des Auskunftsrechts lassen sich Ansprüche auf Löschung und Vergessenwerden schriftlich oder per E-Mail bei Verantwortlichen geltend gemacht.

Eine vorgeschriebene Form gibt es beim entsprechenden Antrag nicht zu beachten. Um die Antragstellung nachweisen zu können, sollte der Vorgang jedoch immer schriftlich erfolgen. Kostenlose Vorlagen finden Sie zum Beispiel beim bayerischen Landesamt für Datenschutzaufsicht. Was Sie beachten sollten, um langwierige Nachfragen oder eine Ablehnung zu vermeiden: Die Identität der antragstellenden Person, der Bezug zu betroffenen Daten sowie der Rechtsanspruch sollten sich im Antrag eindeutig nachweisen lassen.

Tipp

Eine hochwertige, professionelle Website, die alle DSGVO-Bestimmungen erfüllt? Mit dem Homepage-Baukasten von IONOS verlassen Sie sich auf eine sichere Domain, SSL und DSGVO-konformen Datenschutz.

Recht auf Vergessen bei Google geltend machen

Unternehmen wie Google oder Facebook bieten eigene kostenlose Webformulare, mit denen Sie Ihren Antrag stellen können. Die Google-Supportseite informiert über den Ablauf der Antragstellung und die benötigten Angaben. Um Google-Einträge zu löschen, müssen Sie u. a. folgende Angaben machen:

  • Betreffende URLs mit den zu entfernenden Suchinhalten
  • Nachweis über die Relevanz der Daten für Ihre Person und Gründe für die Entfernung
  • Zu entfernende Suchanfragen, die zu betreffenden Inhalten führen (z. B. der eigene Name)
  • E-Mail-Adressen, die zu betreffenden Suchergebnissen führen
  • Nachweise und Hintergründe, die belegen, dass eine Durchsetzung der Löschung und Entfernung von Inhalten berechtigt ist

Kein pauschales Recht auf Privatsphäre und Datenlöschung

Auf den ersten Blick kann das Recht auf Vergessenwerden den Eindruck erwecken, dass Personendaten nicht gegen den eigenen Willen zugänglich gemacht werden dürfen. Wenn Personen jedoch im digitalen Alltag in die Datenverarbeitung einwilligen, besteht zunächst einmal kein pauschales Recht auf Datenlöschung. Das belegen nicht nur die Voraussetzungen, die für einen Rechtsanspruch gelten, sondern auch die Tatsache, dass ungerechtfertigtes Löschen sogar als Datenverstoß gelten kann. Das ist vor allem der Fall, wenn Aufbewahrungspflichten bestehen und es sich um kritische Daten handelt. Hier sei an die unberechtigte Datenlöschung aus Gründen der Vertuschung krimineller Aktivitäten öffentlicher Personen oder Unternehmen erinnert.

Genügt eine Anonymisierung von Daten?

Eine Alternative zur Löschung kann die umfassende Anonymisierung von Daten sein. Verarbeitete und gespeicherte Daten werden dadurch so stark anonymisiert, dass sie sich nicht mehr als personenbezogene Daten im eigentlichen Sinnen bezeichnen lassen. Datenschutzrichtlinien gemäß DSGVO kommen daher nicht mehr direkt zur Anwendung, wenn Daten für statistische Analysen oder zu Forschungszwecken stark genug anonymisiert werden.

Das gilt zum Beispiel, wenn keine Partei in der Lage ist, eine Verbindung zu Personen und zwischen zusammengehörigen bzw. unabhängigen Datensätzen herzustellen. Methoden der Anonymisierung sind u. a. Randomisierung, Generalisierung und Verhinderung der Verknüpfung. Die Rechtsgrundlage einer Anonymisierung als Alternative zur Löschung findet sich im Art. 4 der DSGVO.

Tipp

Gestalten Sie Ihren individuellen und professionellen Onlineshop mit IONOS und profitieren Sie von einer DSGVO-konformen, maßgeschneiderten Shop-Lösung.

Welche Rolle spielt das Recht auf Löschung für Unternehmen?

Europäische Datenschutz-Bestimmungen wie die DSGVO oder die ePrivacy-Verordnung spielen für Unternehmen hinsichtlich des Datenschutzes und des Rechts auf Vergessen eine wichtige Rolle. So schreibt die DSGVO vor, dass Unternehmen nicht wahllos Daten erheben dürfen und die Datenverarbeitung nur nach schriftlicher Einwilligung erfolgen darf. Die ePrivacy-Verordnung legt überdies fest, dass Personen die Nutzung von Cookies und Trackern auf Websites ausdrücklich erlauben müssen.

Da im Online-Marketing und E-Commerce auf die Verarbeitung personenbezogener Daten nicht verzichtet werden kann, empfiehlt es sich, von Anfang an entsprechende Vorkehrungen für Datenschutz und Datenhoheit zu treffen. Dazu zählen:

  • Zugängliche und sichtbare Datenschutzerklärung gemäß DSGVO auf Websites
  • Tools und Strategien, um Anträge auf Löschung von Personendaten zu prüfen und umzusetzen
  • Rechtssichere Umsetzung der Hinweispflicht für Cookies und Tracking
  • Rechtliche Absicherung hinsichtlich der Verarbeitung und Übertragung von Daten durch Datenschutzbeauftragte und IT-Rechtsabteilung (insbesondere, wenn diese nach Ablauf des EU-US Privacy-Shield in die USA übertragen werden)

Bitte beachten Sie den <a href=“t3://page?uid=1596”>rechtlichen Hinweis</a> zu diesem Artikel.