Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht auf Löschung personenbezogener Daten kann per einfacher E-Mail geltend gemacht werden. 
  • Unternehmen sind binnen eines Monats zur Reaktion auf den Löschantrag verpflichtet. 
  • Nur in genau bestimmten Ausnahmefällen darf die Löschung abgelehnt werden.  

In diesem Beitrag

Die europäische Datenschutz-Grundverordnung (DS-GVO) hat die Rechte Betroffener gestärkt. Eines dieser Rechte ist das Recht auf Löschung personenbezogener Daten, auch bekannt als das „Recht auf Vergessenwerden“. Was besagt dieses Recht eigentlich genau und vor allem: Wie lässt es sich in der Praxis geltend machen? Wir bei DataGuard haben den Praxistest gemacht.  

Wie regelt die DS-GVO das Recht auf Löschung?  

Das Recht auf Vergessenwerden besagt, dass betroffene Personen gegenüber dem jeweils Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen können. Hierfür werden in Artikel 17 der DS-GVO Gründe genannt, auf die sich Betroffene berufen können. Zu den wichtigsten Gründen für einen Löschantrag zählen:  

  • Der Zweck für die Speicherung ist entfallen. Ein zentrales Prinzip der DS-GVO besagt, dass jede Speicherung und Verarbeitung personenbezogener Daten an einen Zweck gebunden sein muss. Damit gilt auch: Sobald der Zweck nicht mehr besteht, dürfen die Daten nicht länger gespeichert werden. 
  • Widerruf der Einwilligung. Eine Einwilligung des Betroffenen ist eine mögliche Grundlage für die Verarbeitung personenbezogener Daten. Wird diese Einwilligung zurückgezogen, müssen alle Daten gelöscht werden, für die eine Einwilligung ursprünglich erteilt wurde. Zumindest dann, wenn es keine andere Rechtsgrundlage gibt. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bereits erfolgten Verarbeitung nicht berührt.
  • Unrechtmäßige Verarbeitung. Erfolgte die Datenverarbeitung von Anfang an unrechtmäßig, kann die unverzügliche Löschung der personenbezogenen Daten verlangt werden.  

Die DS-GVO zählt noch weitere Gründe auf, mit denen eine Datenlöschung verlangt werden kann. Hierzu zählt etwa der Fall, in dem ein Unternehmen Daten ohne aktive Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ verarbeitet hat. Das ist nicht per se unrechtmäßig – die DS-GVO erkennt das Konzept des „berechtigten Interesses“ an. Widerspricht der Betroffene hier jedoch, müssen die Daten gelöscht werden, wenn es keine andere Rechtsgrundlage gibt.  

Wann sollte ich meine Daten löschen lassen? 

Wir haben gesehen, dass ein Löschantrag sich auf unterschiedliche Gründe beziehen kann. Ein wichtiges Recht im Rahmen der DS-GVO ist das Auskunftsrecht, mit dem sich jede Person informieren kann, welche Daten ein Unternehmen oder eine Behörde über sie gespeichert hat. Stellt sich im Rahmen einer solchen Auskunft heraus, dass Daten unrechtmäßig gespeichert wurden, ist ein Löschantrag sinnvoll.  

Der in der Praxis am häufigsten auftretende Fall dürfte die Kündigung eines bestimmten Programms oder Dienstes sein. Erfolgt im Rahmen solch einer Kündigung nicht automatisch die Bestätigung, dass gespeicherte Daten gelöscht werden, empfiehlt es sich, von seinem Recht auf Löschung aktiv Gebrauch zu machen.  

Wie mache ich von meinem Recht auf Löschung Gebrauch?  

Grundsätzlich ist für einen Antrag auf Löschung keine bestimmte Form erforderlich. Schon aus Gründen der Dokumentation und um es später nachweisen zu können, ist die Schriftform für einen Löschantrag aber sehr zu empfehlen – entweder klassisch per Post oder auch per E-Mail. Eine ausführliche Begründung ist nicht nötig, für einen Löschantrag reicht auch ein Einzeiler. Einige Daten können hilfreich für den Antrag sein.  

  • Name, Anschrift, Geburtstag oder E-Mail-Adresse: Versetzen Sie sich in die Perspektive des Unternehmens, das ja sichergehen muss, dass der Antrag tatsächlich von Ihnen stammt und nicht von einer dritten Person. Senden Sie daher ruhig jene Daten mit, die dem Unternehmen sowieso bereits vorliegen und die bei der Identifizierung behilflich sein können. 
  • Keine neuen Daten: Wenn dem Unternehmen allerdings bestimmte Daten – etwa Geburtstag oder E-Mail-Adresse – noch gar nicht vorliegen, ist es auch nicht hilfreich, sie dem Löschantrag beizufügen. Schließlich ist es nicht Sinn der Sache, dass das Unternehmen hinterher über mehr Daten verfügt, als es ohnehin bereits verarbeitet hat. 

Wer sicher gehen möchte, kann die zu löschenden personenbezogenen Daten in seinem Schreiben auch konkret benennen – das ist aber keine Pflicht. Ebenso ist es möglich, die Löschung von bestimmten oder allen personenbezogenen Daten zu verlangen. Ein Beispiel für den zweiten Fall könnte etwa eine falsche Anschrift sein, während andere Daten weiter gespeichert werden dürfen.  

Schließlich kann es unter Umständen beim Löschprozess helfen, wenn im Antrag weitere Empfänger dieser Daten aufgeführt werden, damit sie ebenfalls über die Löschung informiert werden. Eine einfache Musterformulierung für einen Löschantrag finden Sie unten – Sie brauchen hier lediglich die Daten in den eckigen Klammern zu ergänzen: 

Muster für einen Löschantrag 

Anschrift Empfänger  

Anschrift Absender  

   [Ort], den [Datum]  

   

Löschantrag nach Art. 17 DS-GVO  

Sehr geehrte Damen und Herren,  

mit diesem Schreiben beende ich meine Teilnahme am [Programm einfügen] und beantrage die Löschung meines Kundenkontos unter der Kundennummer [Kundennummer einfügen]. Ich beantrage die sofortige Löschung aller meiner Daten nach Art. 17 DS-GVO.  

Bitte lassen Sie mir eine Bestätigung der geforderten Maßnahmen zukommen.  

Vielen Dank und mit besten Grüßen  

[Unterschrift] 

 

Wie geht es nach dem Löschantrag weiter? 

Wenn Sie unsere Formulierungshilfe für den Löschantrag verwendet haben, haben Sie gleichzeitig auch eine Bestätigung angefordert. Das ist grundsätzlich sinnvoll – für eigene Dokumentationszwecke, aber im Fall der Fälle auch für die gerichtliche Eskalation. Was nun, wenn das Unternehmen die Anfrage aber einfach ignoriert? In diesem Fall setzt es sich automatisch ins Unrecht, denn eine Reaktion innerhalb eines Monats ist Ihr gesetzliches Recht. 

Abhängig davon, wie wichtig und eilig Ihnen der Fall ist, können Sie nun ein paar Mal an Ihr Anliegen erinnern. Fruchtet auch dies nicht, bleibt Ihnen die Beschwerde bei der zuständigen Aufsichtsbehörde. Nun gibt es in Deutschland ein komplexes System aus Datenschutzbehörden. Sie können sich aber unbesorgt an Ihre lokale Landesbehörde wenden – Fragen der Zuständigkeit klären die Behörden glücklicherweise untereinander, indem sie Anfragen weiterleiten. 

Nun haben sich in der Praxis möglicherweise auch bei einem erfolgreichen Löschantrag Daten aus sozialen Netzwerken andernorts im Internet verbreitet. Müssen Betroffene im Nachgang also jeden einzelnen Seitenbetreiber noch einmal um Löschung der gleichen Daten bitten? Nein, denn laut Erwägungsgrund 66 zur DSGVO muss der ursprünglich Verantwortliche, der die Daten veröffentlicht hat, über die gesamte Datenverarbeitungskette hinweg auf die Löschung hinwirken.  

Selbsttest: Wie leicht lassen sich Daten wirklich löschen? 

Papier gilt bekanntlich als geduldig. Greift also das noch recht junge „Recht auf Vergessenwerden“ aus der DS-GVO tatsächlich? Weil wir das in der Praxis erproben wollten, haben wir es bei DataGuard bei rund einem  Dutzend realer, nicht mehr benötigter Kundenkonten ausprobiert: von Onlinediensten über Bonuspunkt-Programme, bis zu Internet-Shops haben wir per E-Mail oder Kontaktformular mit einem schlichten Einzeiler gekündigt. Die Ergebnisse sind ermutigend:  

  • Alle Löschanträge wurden tatsächlich innerhalb der vorgesehenen Monatsfrist beantwortet – es gab keinerlei Nachfragen zur Verifizierung der Identität. 
  • Keines der angefragten Unternehmen verweigerte die Löschung (wofür allerdings auch nach Kündigung des Vertragsverhältnisses keine rechtliche Grundlage bestanden hätte). 
  • Kleiner Wermutstropfen: Nicht alle Unternehmen haben einen konkreten Zeitrahmen für die Löschung genannt. Positiv hervorheben in Sachen Transparenz lässt sich ein Unternehmen, das seine Löschroutine beschrieben hat und erklärt hat, warum aus technischen Gründen die Löschung erst in sechs Wochen erfolgen kann.  

Im Großen und Ganzen verhielten sich somit erfreulicherweise alle angeschriebenen Unternehmen DS-GVO-konform. Physisch kontrollieren lässt sich auf diese Art die Löschung natürlich nicht. Wer Zweifel hegt, ob die Löschung wirklich erfolgt, könnte beispielsweise ein Jahr später erneut ein Auskunftsersuchen nach der DS-GVO an die Firma stellen. Wenn diese dann angibt, immer noch Daten gespeichert zu haben, stimmt offensichtlich etwas nicht.  

Wie sollten Unternehmen mit einem Löschantrag verfahren? 

Bis zu diesem Punkt haben wir Löschanträge aus der Perspektive Betroffener betrachtet. Nun soll es um die Unternehmenssicht gehen: Wie sieht die Reaktion auf einen Löschantrag idealerweise aus? Festzuhalten ist hier zunächst: Zum „Wie“ der Löschung macht das Gesetz keine exakten Vorgaben. Neben Artikel 17 der DS-GVO sind zur Orientierung hier die Grundsätze der Datenverarbeitung relevant, wie sie in Artikel 5 der Verordnung formuliert werden. 

Vor einer Löschung ist es wichtig, die Anfrage zu prüfen. Dabei kann folgender Fragenkatalog helfen: 

  • Ist die Anfrage legitim? Hier geht es im ersten Schritt darum, die Identität der Person zu überprüfen, die einen Antrag auf Löschung gestellt hat. Bestehen berechtigte Zweifel, können und sollten Sie weitere Informationen anfordern. 
  • Besteht eine Verpflichtung zur Löschung? Diese Frage ist nicht ganz einfach zu beantworten. Dem Recht auf Löschung können Pflichten zur Aufbewahrung entgegenstehen – etwa aus steuerlichen Gründen oder im Fall von Patientenakten bei Ärzten. Mehr zu diesem scheinbaren Widerspruch lesen Sie auch in unserem Fachartikel zur Vereinbarkeit von DS-GVO und GoBD.  

Konnten beide Fragen positiv beantwortet werden, sind Sie gemäß DS-GVO zu einer „unverzüglichen“ Löschung verpflichtet. Was bedeutet das in der Praxis? Gut aufgestellt ist Ihr Unternehmen mit einem professionellen Löschkonzept. „Unverzüglich“ ist dann so zu verstehen, dass Sie die Löschung im Rahmen Ihrer üblichen technischen und organisatorischen Prozesse nicht schuldhaft hinauszögern. 

Allgemein anerkannt ist aber auch, dass aus technischen Gründen nicht jede Löschung mit einem Mausklick erfolgen kann. Zu berücksichtigen sind hier beispielsweise Back-ups, bei denen die Löschung möglicherweise Monate dauern kann. Wichtig ist jedoch folgende Frist: Ob sie bereits gelöscht haben, der Löschprozess andauert oder Gründe gegen die Löschung sprechen – Sie müssen den Antragsteller innerhalb eines Monats über Ihre ergriffenen Maßnahmen informieren, und zwar unentgeltlich. 

Wann müssen Unternehmen Daten nicht löschen? 

Die DS-GVO formuliert mehrere Gründe, die gegen einen Antrag auf Löschung personenbezogener Daten vorgebracht werden können. Darunter finden sich:  

  • Das Recht auf freie Meinungsäußerung und Information, 
  • rechtliche Verpflichtungen, die die Verarbeitung erforderlich machen (etwa steuerrelevante Unterlagen oder medizinische Aufzeichnungen), 
  • öffentliche Interessen sowie 
  • die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.  

Hier kommt es im Einzelfall oft zu Abwägungsentscheidungen. So wies jüngst der Bundesgerichtshof (BGH) eine Klage auf Löschung gegen den Suchmaschinenanbieter Google zurück. Hier hatte der ehemalige Geschäftsführer eines Wohlfahrtsverbands darauf hinwirken wollen, für ihn negative Nachrichten nicht mehr mit einer Suche nach seinem Namen zu verbinden. Demgegenüber urteilte der BGH, dass das öffentliche Interesse an der Berichterstattung überwiege. 

Fazit 

Das Recht auf Löschung gehört zu den wichtigsten Errungenschaften der DS-GVO. Ein Stück Vertrauen gehört zwar dazu – denn wer kann im Informationszeitalter wirklich sicher wissen, ob auch die letzte Sicherheitskopie eines Datensatzes gelöscht wurde? Gleichwohl zeigt unser kleiner Selbsttest: Die Vorschrift wirkt. Das „Vergessenwerden“ ist Ihr gutes Recht – nutzen Sie es also! 

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München