Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018 findet sich das Recht auf Vergessenwerden erstmals offiziell im Datenschutzgesetz wieder. Doch worauf müssen Unternehmen bei dem Recht auf Löschung achten?
Wir klären, mit welcher Begründung Kunden oder Nutzer vom Recht auf Vergessenwerden Gebrauch machen können und worauf Sie dabei achten müssen.
Das Recht auf Löschung reguliert den Umgang mit personenbezogenen Daten gemäß DSGVO. (Bild: pixabay.com/wattblicker)
Recht auf Vergessenwerden seit DSGVO offiziell verankert
Eines der wichtigsten Ziele der EU-Datenschutzgrundverordnung ist die einheitliche Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Stellen. Die personenbezogenen Daten sollen so besser geschützt werden. Eines der zentralen Rechte der Datenschutzgrundverordnung (DSGVO) ist das Recht auf Vergessenwerden, das in Artikel 17 der DSGVO definiert ist. Dabei regelt Artikel 17 vor allem Löschpflichten der personenbezogenen Daten.
So müssen Unternehmen oder öffentliche Stellen personenbezogene Daten löschen, wenn eine betroffene Person dies verlangt. Gleichzeitig müssen die Verarbeiter solcher Daten jedoch auch aktiv persönliche Daten löschen, sobald sie diese nicht mehr für den Zweck benötigen, für den sie ursprünglich erhoben wurden. Auch wenn die betroffene Person ihre Einwillig zur Verarbeitung personenbezogener Daten widerruft und es keine Rechtsgrundlage für die weitere Verarbeitung gibt, müssen die Verantwortlichen personenbezogene Daten löschen (vgl. Artikel 17 DSGVO).
Mehr zum Thema DSGVO finden Sie bei uns im Blog: Alle DSGVO-Artikel
Wann können Bürger das Recht auf Vergessenwerden geltend machen?
Unternehmen und öffentliche Stellen speichern personenbezogene Daten aus verschiedenen Gründen. EU-Bürger haben jedoch die Möglichkeit, das Recht auf Löschung geltend zu machen, wenn, so schreibt Thorsten Krüger, einer der folgenden sechs Gründe erfüllt ist:
- Unsachgemäße Verarbeitung personenbezogener Daten
- Widerruf der Einwilligung zur Speicherung der Daten
- Widerspruch gegen die Verarbeitung der Daten, wenn keine berechtigten Gründe zur Verhinderung der Löschung vorliegen
- Die gespeicherten Daten sind nicht mehr für den Zweck erforderlich, für den sie ursprünglich erhoben wurden
- Löschung ist aus rechtlichen Gründen erforderlich
- Besonderer Schutz für Daten von Kindern
Was auf den ersten Blick erstmal unkompliziert klingt, ist aber in der Realität nicht so leicht durchzusetzen. Tatsächlich gilt nämlich, dass Unternehmen längst nicht alle Daten löschen müssen, selbst wenn ein EU-Bürger das verlangt.
Es gibt einige Gründe, aufgrund derer Bürger ihr Recht auf Löschung geltend machen können. (pixabay.com/Tabble)
Wann gilt das Recht auf Löschung nicht?
Es gibt verschiedene Gründe, bei denen laut EU-Datenschutzgrundverordnung das Recht auf Vergessenwerden nicht greift. Auch diese sind in Artikel 17 des Datenschutzgesetz definiert.
Demnach gilt, dass personenbezogene Daten gespeichert bleiben dürfen, wenn deren Verarbeitung erforderlich ist. Das ist zum Beispiel aus folgenden Gründen der Fall:
- Ausübung des Rechts auf freie Meinungsäußerung und Information
- Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung erfordert
- Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
- Für im öffentlichen Interesse liegende Archivzwecke bzw. für Forschungszwecke oder statistische Zwecke (d.h. das Unternehmen hat eine offizielle Befugnis, die Daten zu speichern)
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Doch selbst nach Abzug dieser Gründe bleiben bei Unternehmen noch zahlreiche personenbezogene Daten übrig, die diese löschen müssen. Doch worauf müssen Unternehmen beim Recht auf Vergessenwerden achten?
Recht auf Vergessenwerden in Unternehmen umsetzen
Das Recht auf Löschung: Es klingt für viele Unternehmen leichter gesagt als getan. Tatsächlich reicht es nämlich nicht, personenbezogene Daten einfach nur per „Löschen“-Taste zu entfernen. Einerseits können die Daten so relativ unkompliziert wiederhergestellt werden, andererseits erschwert die Datenweitergabe an Partner oder Lieferanten die vollständige Löschung der Daten. Das heißt konkret: Wie stellen Sie sicher, dass die personenbezogenen Daten überall in Ihrem erweiterten Netzwerk gelöscht werden?
Verschlüsselungsverfahren nutzen
Eine Möglichkeit dazu ist der Einsatz von Verschlüsselungsverfahren, erklärt Thorsten Krüger. Sie sorgen dafür, besser zu koordinieren, wer auf welche Daten Zugriff erhält. Der Vorteil dabei: Geht der Schlüssel verloren, werden die damit verschlüsselten Daten unbrauchbar. Wichtig ist allerdings, dass sich die Vernichtung des Schlüssels nachweisen lässt.
Grundsätzlich, so Krüger, müssen Unternehmen jedoch das Recht auf Vergessenwerden bereits bei Ihrem Design bedenken. Das heißt, dass idealerweise die personenbezogenen Daten in dem Moment nicht mehr verfügbar sind, in dem ein Nutzer bei einem Unternehmen um deren Löschung bittet. Wird das Recht auf Vergessenwerden außerdem bereits von Anfang an in die Datenschutzstrategie eines Unternehmens integriert und werden passende Prozesse entwickelt, müssen sich Unternehmen nicht mehr vor tatsächlichen Anfragen zur Löschung personenbezogener Daten fürchten. Diese können sie dann nämlich leicht und unkompliziert abwickeln.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung