Recht auf Vergessen werden

Einführung

Das „Recht auf Vergessenwerden“ nach Artikel 17 ist seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018, neben dem Auskunftsrecht einer natürlichen Person, eines der wichtigsten Datenschutzrechte, welches der Gesetzgeber verankert hat. Das Recht garantiert jeder natürlichen Person, ihre personenbezogenen Daten unter bestimmten Voraussetzungen löschen lassen zu können. Doch wie funktioniert das Recht in der Praxis und was bedeutet dies konkret für Betroffene und Unternehmen? Auf diese offenen Fragen gehen wir nun im Folgenden ein.

Was genau ist das Recht auf Vergessenwerden?

Das Recht auf Vergessenwerden ist ein zentraler Bestandteil der DSGVO und verankert im Artikel 17. Es ermöglicht einer Person, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn diese nicht mehr notwendig sind, unrechtmäßig verarbeitet wurden oder der ursprüngliche Zweck der Verarbeitung entfallen ist. Dieses Recht wurde durch den Europäischen Gerichtshof (EuGH) erstmals im Jahr 2014 im sogenannten „Google-Urteil“ hervorgehoben. In diesem Urteil wurde damals festgestellt, dass die Einbeziehung von Links in Suchergebnissen von Google unzulässig sein kann, wenn sich herausstellt, dass die dort abrufbaren Informationen nicht oder nicht mehr erheblich sind.

Ein praktisches Beispiel, welches die Situation darstellt: Ein Nutzer möchte, dass ein Online-Shop seine personenbezogenen Daten löscht, nachdem er seine Bestellung abgeschlossen hat und keine Kundenbeziehung mehr besteht.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Wann greift das Recht auf Vergessenwerden?

Nachdem nun verdeutlicht wurde, was das Recht auf Vergessenwerden bedeutet, ist nun weiterhin fraglich, wann das Recht auf Löschung in der Praxis tatsächlich anwendbar ist, da sich nicht jede Datenlöschung als automatisch verpflichtend darstellt. Die DSGVO nennt in Art. 17 jedoch klare Voraussetzungen und regelt insofern die Anwendbarkeit:

Die Daten sind veraltet oder unzutreffend: Wenn Ihre Daten nicht mehr aktuell sind, haben Sie einen Anspruch auf Löschung.
Der Zweck der Verarbeitung entfällt: Wenn der Zweck, für den die Daten erhoben wurden, nicht mehr besteht, müssen die Daten gelöscht werden.
Widerruf der Einwilligung: Sie können Ihre ursprünglich erteilte Einwilligung jederzeit widerrufen und so die Löschung verlangen.

Als ein weiteres praktisches Beispiel lässt sich das Begehren eines Newsletter-Abonnenten nennen, der möchte, dass seine E-Mail-Adresse nach Abmeldung zum Newsletter nicht mehr gespeichert wird.

Wie stelle ich einen Antrag auf Löschung meiner Daten?

Um einen Löschantrag erfolgreich zu stellen, gehen Sie wie folgt vor:

Schritt: Im ersten Schritt sollte überlegt werden, welche Daten man löschen lassen möchte. Klären Sie somit genau, welche Ihrer personenbezogenen Daten gelöscht werden sollen (z.B. Name, Adresse, E-Mail-Adresse, Zahlungsdaten).
Schritt: In einem zweiten Schritt muss die Kontaktaufnahme mit dem Verantwortlichen erfolgen. Kontaktieren Sie das Unternehmen oder die Organisation, die Ihre Daten verarbeitet. Nutzen Sie dafür am besten die angegebene Kontaktadresse des Datenschutzbeauftragten, da diese grundsätzlich am schnellsten und effektivsten handeln können.
Schritt: Formulieren Sie den Löschantrag klar und deutlich. Der Antrag kann formlos erfolgen und bedarf keiner weiteren Formalien. Auch ist es nicht nötig, einen Grund hinsichtlich der Löschung der Daten anzugeben. Anbei eine Beispiel-Formulierung, welche genutzt werden kann: „Hiermit beantrage ich gemäß Art. 17 DSGVO die Löschung aller meiner bei Ihnen gespeicherten personenbezogenen Daten. Bitte bestätigen Sie mir die erfolgte Löschung innerhalb der gesetzlich vorgegebenen Frist.“

Wann darf ein Unternehmen die Löschung verweigern?

Des Weiteren stellt sich selbstverständlich die Frage, ob Unternehmen stets dazu verpflichtet sind, Daten zu löschen und somit dem Begehren der Person nachzukommen. Unternehmen können tatsächlich unter bestimmten Bedingungen die Löschung der Daten ablehnen, etwa wenn gesetzliche Pflichten entgegenstehen (z.B. steuerliche oder handelsrechtliche Aufbewahrungspflichten), oder sofern die Daten zur Verteidigung rechtlicher Ansprüche benötigt werden. Als Beispiel darf ein Online-Shop Bestelldaten für steuerliche Zwecke bis zu zehn Jahre speichern und muss diese Daten nicht direkt nach Abwicklung des Geschäfts löschen.

Was tun, wenn das Unternehmen nicht reagiert oder die Löschung ablehnt?

Sollten Sie nun keine Reaktion des Unternehmens erhalten oder sollte Ihr Löschantrag abgelehnt werden, empfiehlt es sich, die folgenden Schritte zu unternehmen:

Meldung beim Datenschutzbeauftragten: Zunächst sollten Sie den Datenschutzbeauftragten des jeweiligen Unternehmens kontaktieren und Ihr Begehren an ihn herantragen, da Datenschutzbeauftragte oftmals sehr viel sensibilisierter in Hinblick auf die Betroffenenrechte sind und sich bemühen, entsprechenden Anträgen zügig nachzukommen.
Beschwerde bei der Datenschutzaufsichtsbehörde: Sollte auch der Datenschutzbeauftragte nicht reagieren, wenden Sie sich an die zuständige Datenschutzbehörde und reichen Sie eine Beschwerde ein. Art. 77 Abs. 1 DSGVO gewährt Ihnen das Recht, diese Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung unrechtmäßig erfolgt. Die für Sie zuständige Behörde richtet sich nach dem Bundesland, in welchem Sie Ihren Wohnort haben. Die Datenschutzschutzbehörde ist verpflichtet, der Beschwerde in angemessenen Umfang nachzugehen und Sie über den Stand der Ergebnisse der Beschwerde zu informieren.
Juristische Maßnahmen ergreifen: Im Ernstfall bleibt Ihnen der Rechtsweg offen. Unterstützung erhalten Sie beispielsweise durch Verbraucherzentralen oder Datenschutzanwälte.

Best Practices für Unternehmen: So erfüllen Sie die Anforderungen

Nachfolgend stellen wir Ihnen einige Maßnahmen dar, welche Unternehmen in jedem Fall treffen sollten, um das Recht auf Vergessenwerden korrekt umzusetzen. Anbei die Checkliste für Unternehmen zur Erfüllung der gesetzlichen Anforderungen:

Wichtig ist zunächst, klare Verantwortlichkeiten zu definieren (Datenschutzbeauftragter), damit eine zügige Reaktion möglich ist.
Es sollte ein Prozess zur schnellen Bearbeitung von Löschanträgen etabliert werden.
Sämtliche Mitarbeiter sollten regelmäßig zum Datenschutz geschult und dahingehend sensibilisiert werden.
Regelmäßige Überprüfungen, ob personenbezogene Daten noch benötigt werden, sollten im Unternehmen stattfinden.
Als eine der wichtigsten Maßnahmen stellt sich die Festlegung und Automatisierung von Löschfristen dar. Ein Löschkonzept ist folglich dringend anzufertigen.
Unerlässlich ist es auch, eine entsprechend nachweisbare Dokumentation aller Löschungen zu führen.
Wichtig zu erwähnen ist in diesem Zusammenhang, dass den Unternehmen – sofern diese Anforderungen ignoriert werden – empfindliche Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes drohen können.

Fazit

Zusammenfassend lässt sich folglich festhalten, dass das Recht auf Vergessenwerden Ihre Privatsphäre stärkt und Ihnen die Kontrolle über Ihre Daten zurückgibt. Darüber hinaus wird durch die Einhaltung der genannten Maßnahmen die allgemeinen Persönlichkeitsrechte der betroffenen Personen gewahrt. Sämtliche Unternehmen sind folglich verpflichtet, Löschanträgen sorgfältig nachzugehen und Maßnahmen zu treffen, um dieses Recht umzusetzen.

Des Weiteren ergeben sich zahlreiche wirtschaftliche, rechtliche und reputative Vorteile daraus, dass Unternehmen personenbezogene Daten regelmäßig und gezielt löschen. Ein erheblicher Vorteil ist, dass gelöschte Daten nicht mehr kompromittiert werden können, wodurch das Risiko und die möglichen Folgen von Cyberangriffen deutlich reduziert werden. Das regelmäßige Löschen irrelevanter oder veralteter Daten steigert darüber hinaus die Qualität und die Aktualität der verbleibenden Daten, was zu deutlich besseren Geschäftsentscheidungen führen kann.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy