8 Min

Das Recht auf Vergessenwerden nach DSGVO: Alles was Sie darüber wissen sollten

Das Wichtigste in Kürze

  • Die DSGVO hat die Rechte von Betroffenen gestärkt.
  • Sie können Ihr Recht auf Löschung personenbezogener Daten per einfacher E-Mail geltend machen.
  • Unternehmen müssen innerhalb eines Monats auf den Löschantrag reagieren.
  • Die Löschung darf nur in genau bestimmten Ausnahmefällen abgelehnt werden.

In diesem Beitrag

Die europäische Datenschutz-Grundverordnung (DSGVO) hat die Rechte Betroffener gestärkt. Eines dieser Rechte ist das Recht auf Löschung personenbezogener Daten, auch bekannt als das „Recht auf Vergessenwerden“. Was besagt dieses Recht eigentlich genau und vor allem: Wie lässt es sich in der Praxis geltend machen? Wir bei DataGuard haben den Praxistest gemacht.

Wie regelt die DSGVO das Recht auf Löschung?

Das Recht auf Vergessenwerden besagt, dass betroffene Personen gegenüber dem jeweils Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen können. Hierfür werden in Artikel 17 der DSGVO Gründe genannt, auf die sich Betroffene berufen können. Zu den wichtigsten Gründen für einen Löschantrag zählen:

  • Der Zweck für die Speicherung ist entfallen. Ein zentrales Prinzip der DSGVO besagt, dass jede Speicherung und Verarbeitung personenbezogener Daten an einen Zweck gebunden sein muss. Damit gilt auch: Sobald der Zweck nicht mehr besteht, dürfen die Daten nicht länger gespeichert werden.
  • Widerruf der Einwilligung. Eine Einwilligung des Betroffenen ist eine mögliche Grundlage für die Verarbeitung personenbezogener Daten. Wird diese Einwilligung zurückgezogen, müssen alle Daten gelöscht werden, für die eine Einwilligung ursprünglich erteilt wurde. Zumindest dann, wenn es keine andere Rechtsgrundlage gibt. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bereits erfolgten Verarbeitung nicht berührt.
  • Unrechtmäßige Verarbeitung. Erfolgte die Datenverarbeitung von Anfang an unrechtmäßig, kann die unverzügliche Löschung der personenbezogenen Daten verlangt werden.

Die DSGVO zählt noch weitere Gründe auf, mit denen eine Datenlöschung verlangt werden kann. Hierzu zählt etwa der Fall, in dem ein Unternehmen Daten ohne aktive Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ verarbeitet hat. Das ist nicht per se unrechtmäßig – die DSGVO erkennt das Konzept des „berechtigten Interesses“ an. Widerspricht der Betroffene hier jedoch, müssen die Daten gelöscht werden, wenn es keine andere Rechtsgrundlage gibt.

Wann sollte ich meine Daten löschen lassen?

Wir haben gesehen, dass ein Löschantrag sich auf unterschiedliche Gründe beziehen kann. Ein wichtiges Recht im Rahmen der DSGVO ist das Auskunftsrecht, mit dem sich jede Person informieren kann, welche Daten ein Unternehmen oder eine Behörde über sie gespeichert hat. Stellt sich im Rahmen einer solchen Auskunft heraus, dass Daten unrechtmäßig gespeichert wurden, ist ein Löschantrag sinnvoll.

Der in der Praxis am häufigsten auftretende Fall dürfte die Kündigung eines bestimmten Programms oder Dienstes sein. Erfolgt im Rahmen solch einer Kündigung nicht automatisch die Bestätigung, dass gespeicherte Daten gelöscht werden, empfiehlt es sich, von seinem Recht auf Löschung aktiv Gebrauch zu machen.

Wie mache ich von meinem Recht auf Löschung Gebrauch?

Grundsätzlich ist für einen Antrag auf Löschung keine bestimmte Form erforderlich. Schon aus Gründen der Dokumentation und um es später nachweisen zu können, ist die Schriftform für einen Löschantrag aber sehr zu empfehlen – entweder klassisch per Post oder auch per E-Mail. Eine ausführliche Begründung ist nicht nötig, für einen Löschantrag reicht auch ein Einzeiler. Einige Daten können hilfreich für den Antrag sein.

  • Name, Anschrift, Geburtstag oder E-Mail-Adresse: Versetzen Sie sich in die Perspektive des Unternehmens, das ja sichergehen muss, dass der Antrag tatsächlich von Ihnen stammt und nicht von einer dritten Person. Senden Sie daher ruhig jene Daten mit, die dem Unternehmen sowieso bereits vorliegen und die bei der Identifizierung behilflich sein können.
  • Keine neuen Daten: Wenn dem Unternehmen allerdings bestimmte Daten – etwa Geburtstag oder E-Mail-Adresse – noch gar nicht vorliegen, ist es auch nicht hilfreich, sie dem Löschantrag beizufügen. Schließlich ist es nicht Sinn der Sache, dass das Unternehmen hinterher über mehr Daten verfügt, als es ohnehin bereits verarbeitet hat.

Wer sicher gehen möchte, kann die zu löschenden personenbezogenen Daten in seinem Schreiben auch konkret benennen – das ist aber keine Pflicht. Ebenso ist es möglich, die Löschung von bestimmten oder allen personenbezogenen Daten zu verlangen. Ein Beispiel für den zweiten Fall könnte etwa eine falsche Anschrift sein, während andere Daten weiter gespeichert werden dürfen.

Schließlich kann es unter Umständen beim Löschprozess helfen, wenn im Antrag weitere Empfänger dieser Daten aufgeführt werden, damit sie ebenfalls über die Löschung informiert werden. Eine einfache Musterformulierung für einen Löschantrag finden Sie unten – Sie brauchen hier lediglich die Daten in den eckigen Klammern zu ergänzen:

Muster für einen Löschantrag

Anschrift Empfänger 

Anschrift Absender 

   [Ort], den [Datum] 

  

Löschantrag nach Art. 17 DS-GVO

Sehr geehrte Damen und Herren, 

mit diesem Schreiben beende ich meine Teilnahme am [Programm einfügen] und beantrage die Löschung meines Kundenkontos unter der Kundennummer [Kundennummer einfügen]. Ich beantrage die sofortige Löschung aller meiner Daten nach Art. 17 DS-GVO. 

Bitte lassen Sie mir eine Bestätigung der geforderten Maßnahmen zukommen. 

Vielen Dank und mit besten Grüßen 

[Unterschrift]

 

Wie geht es nach dem Löschantrag weiter?

Wenn Sie unsere Formulierungshilfe für den Löschantrag verwendet haben, haben Sie gleichzeitig auch eine Bestätigung angefordert. Das ist grundsätzlich sinnvoll – für eigene Dokumentationszwecke, aber im Fall der Fälle auch für die gerichtliche Eskalation. Was nun, wenn das Unternehmen die Anfrage aber einfach ignoriert? In diesem Fall setzt es sich automatisch ins Unrecht, denn eine Reaktion innerhalb eines Monats ist Ihr gesetzliches Recht.

Abhängig davon, wie wichtig und eilig Ihnen der Fall ist, können Sie nun ein paar Mal an Ihr Anliegen erinnern. Fruchtet auch dies nicht, bleibt Ihnen die Beschwerde bei der zuständigen Aufsichtsbehörde. Nun gibt es in Deutschland ein komplexes System aus Datenschutzbehörden. Sie können sich aber unbesorgt an Ihre lokale Landesbehörde wenden – Fragen der Zuständigkeit klären die Behörden glücklicherweise untereinander, indem sie Anfragen weiterleiten.

Nun haben sich in der Praxis möglicherweise auch bei einem erfolgreichen Löschantrag Daten aus sozialen Netzwerken andernorts im Internet verbreitet. Müssen Betroffene im Nachgang also jeden einzelnen Seitenbetreiber noch einmal um Löschung der gleichen Daten bitten? Nein, denn laut Erwägungsgrund 66 zur DSGVO muss der ursprünglich Verantwortliche, der die Daten veröffentlicht hat, über die gesamte Datenverarbeitungskette hinweg auf die Löschung hinwirken.

Selbsttest: Wie leicht lassen sich Daten wirklich löschen?

Papier gilt bekanntlich als geduldig. Greift also das noch recht junge „Recht auf Vergessenwerden“ aus der DSGVO tatsächlich? Weil wir das in der Praxis erproben wollten, haben wir es bei DataGuard bei rund einem Dutzend realer, nicht mehr benötigter Kundenkonten ausprobiert: von Onlinediensten über Bonuspunkt-Programme, bis zu Internet-Shops haben wir per E-Mail oder Kontaktformular mit einem schlichten Einzeiler gekündigt. Die Ergebnisse sind ermutigend:

  • Alle Löschanträge wurden tatsächlich innerhalb der vorgesehenen Monatsfrist beantwortet – es gab keinerlei Nachfragen zur Verifizierung der Identität.
  • Keines der angefragten Unternehmen verweigerte die Löschung (wofür allerdings auch nach Kündigung des Vertragsverhältnisses keine rechtliche Grundlage bestanden hätte).
  • Kleiner Wermutstropfen: Nicht alle Unternehmen haben einen konkreten Zeitrahmen für die Löschung genannt. Positiv hervorheben in Sachen Transparenz lässt sich ein Unternehmen, das seine Löschroutine beschrieben hat und erklärt hat, warum aus technischen Gründen die Löschung erst in sechs Wochen erfolgen kann.

Im Großen und Ganzen verhielten sich somit erfreulicherweise alle angeschriebenen Unternehmen DSGVO-konform. Physisch kontrollieren lässt sich auf diese Art die Löschung natürlich nicht. Wer Zweifel hegt, ob die Löschung wirklich erfolgt, könnte beispielsweise ein Jahr später erneut ein Auskunftsersuchen nach der DSGVO an die Firma stellen. Wenn diese dann angibt, immer noch Daten gespeichert zu haben, stimmt offensichtlich etwas nicht.

Wie sollten Unternehmen mit einem Löschantrag verfahren?

Bis zu diesem Punkt haben wir Löschanträge aus der Perspektive Betroffener betrachtet. Nun soll es um die Unternehmenssicht gehen: Wie sieht die Reaktion auf einen Löschantrag idealerweise aus? Festzuhalten ist hier zunächst: Zum „Wie“ der Löschung macht das Gesetz keine exakten Vorgaben. Neben Artikel 17 der DSGVO sind zur Orientierung hier die Grundsätze der Datenverarbeitung relevant, wie sie in Artikel 5 der Verordnung formuliert werden.

Vor einer Löschung ist es wichtig, die Anfrage zu prüfen. Dabei kann folgender Fragenkatalog helfen:

  • Ist die Anfrage legitim? Hier geht es im ersten Schritt darum, die Identität der Person zu überprüfen, die einen Antrag auf Löschung gestellt hat. Bestehen berechtigte Zweifel, können und sollten Sie weitere Informationen anfordern.
  • Besteht eine Verpflichtung zur Löschung? Diese Frage ist nicht ganz einfach zu beantworten. Dem Recht auf Löschung können Pflichten zur Aufbewahrung entgegenstehen – etwa aus steuerlichen Gründen oder im Fall von Patientenakten bei Ärzten. Mehr zu diesem scheinbaren Widerspruch lesen Sie auch in unserem Fachartikel zur Vereinbarkeit von DS-GVO und GoBD.

Konnten beide Fragen positiv beantwortet werden, sind Sie gemäß DSGVO zu einer „unverzüglichen“ Löschung verpflichtet. Was bedeutet das in der Praxis? Gut aufgestellt ist Ihr Unternehmen mit einem professionellen Löschkonzept. „Unverzüglich“ ist dann so zu verstehen, dass Sie die Löschung im Rahmen Ihrer üblichen technischen und organisatorischen Prozesse nicht schuldhaft hinauszögern.

Allgemein anerkannt ist aber auch, dass aus technischen Gründen nicht jede Löschung mit einem Mausklick erfolgen kann. Zu berücksichtigen sind hier beispielsweise Back-ups, bei denen die Löschung möglicherweise Monate dauern kann. Wichtig ist jedoch folgende Frist: Ob sie bereits gelöscht haben, der Löschprozess andauert oder Gründe gegen die Löschung sprechen – Sie müssen den Antragsteller innerhalb eines Monats über Ihre ergriffenen Maßnahmen informieren, und zwar unentgeltlich.

Wann müssen Unternehmen Daten nicht löschen?

Die DS-GVO formuliert mehrere Gründe, die gegen einen Antrag auf Löschung personenbezogener Daten vorgebracht werden können. Darunter finden sich:

Right to be forgotten blog


Hier kommt es im Einzelfall oft zu Abwägungsentscheidungen. So wies jüngst der Bundesgerichtshof (BGH) eine Klage auf Löschung gegen den Suchmaschinenanbieter Google zurück. Hier hatte der ehemalige Geschäftsführer eines Wohlfahrtsverbands darauf hinwirken wollen, für ihn negative Nachrichten nicht mehr mit einer Suche nach seinem Namen zu verbinden. Demgegenüber urteilte der BGH, dass das öffentliche Interesse an der Berichterstattung überwiege.

Fazit

Das Recht auf Löschung gehört zu den wichtigsten Errungenschaften der DSGVO. Ein Stück Vertrauen gehört zwar dazu – denn wer kann im Informationszeitalter wirklich sicher wissen, ob auch die letzte Sicherheitskopie eines Datensatzes gelöscht wurde? Gleichwohl zeigt unser kleiner Selbsttest: Die Vorschrift wirkt. Das „Vergessenwerden“ ist Ihr gutes Recht – nutzen Sie es also!

Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen.

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Anne Hillmer Anne Hillmer
Anne Hillmer

Mit Datenschutz beschäftigte sich Anne Hillmer zum ersten Mal in einem Beratungsunternehmen für Datenschutz und Compliance. Schon bald entdeckte sie für sich die hohe politische und gesellschaftliche Brisanz des Themas. Während ihrer Tätigkeit für das Bundesamt für Sicherheit in der Informationstechnik (BSI) lernte sie dann die technische Seite und die Sicherheitsanforderungen der Datenverarbeitung kennen. Bei ihrer Arbeit verfolgt sie ein klares Ziel: „Datenschutz bedeutet für mich Privatsphäre. Ich möchte dazu beitragen, dass Privatsphäre als Menschenrecht respektiert wird – besonders in Zeiten, in denen sich Technologie oft schneller entwickelt als die Gesetzgebung und sich somit nicht nur Chancen, sondern auch viele Herausforderungen ergeben.“ Zum Abschalten nach getaner Arbeit setzt Anne auf eine bewährte Kombi: Sport und frische Luft.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren