Praxistipp DSGVO #9: Das Recht auf Vergessenwerden

- September 29, 2016

In Art. 17 DSGVO ist nicht nur die Pflicht der Unternehmen zur Löschung nicht mehr benötigter Daten festgelegt, sondern auch das im Vorfeld viel diskutierte „Recht auf Vergessenwerden“. Die Überschrift des Artikels verknüpft beide Vorgaben:

– In den in Art. 17 Abs. 1 lit. (a) bis (f) genannten Fällen muss ein Verantwortlicher (das Unternehmen) personenbezogene Daten löschen
– Die betroffene Person hat das Recht die Löschung zu verlangen
– Hat das Unternehmen Daten öffentlich gemacht, die dann gelöscht werden müssen, muss er dafür Sorge tragen, dass auch Verknüpfungen zu diesen Daten gelöscht werden (Art. 17 Abs. 2 DSGVO).

Diesbezügliche Ausnahmen gelten unter anderem für das Recht auf freie Meinungsäußerung.

In der Praxis ist daher (abgesehen von dem im Praxistipp DSGVO #8: Löschkonzepte beschriebenen Aufbau eines Löschkonzepts) zunächst zu prüfen, ob Daten öffentlich gemacht wurden und an welcher Stelle. Sodann ist weiter zu prüfen, ob eine der in Art. 17 Abs. 3 DSGVO gelisteten Ausnahmen greift und keine Löschung nötig ist. Sofern die betroffene Person eine Löschung verlangt hat und keine Ausnahmen vorliegt, müssen andere Verantwortliche, die die öffentlich gemachten Daten weiterverwendet haben, von der Pflicht zur Löschung informiert werden.

Umsetzung des „Rechts Vergessen zu werden“

In der Unternehmenspraxis sollte im Rahmen des Aufbau eines Löschkonzept ein Prozess mit definiert werden, der bestimmt, wie im Fall der nötig werdenden Umsetzung des „Rechts auf Vergessenwerden“ verfahren wird:

– Wer prüft die rechtlichen Voraussetzungen
– Wer informiert auf welchem Weg ggfls. die anderen Verantwortlichen
– Wie ist ein Informationsfluss zwischen einzelnen Abteilungen gewährleistet
– Wer prüft die technischen Möglichkeiten der Umsetzung und führt sie ggfls. durch.

Es bleibt abzuwarten, welche Rolle das ursprünglich vom Europäischen Gerichtshof beschriebene Recht Vergessen zu werden, in der Praxis von Unternehmen abseits von Google tatsächlich spielen wird. Die Erfahrungen mit Google jedoch zeigen, dass es alles andere als leicht werden wird, in diesem Bereich einen angemessenen Ausgleich der Interessen zu finden – von dem Aufwand der tatsächlichen Umsetzung im Unternehmen einmal ganz abgesehen.

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.