Der EDSA (Europäischer Datenschutzausschuss) macht das Recht auf Löschung (Art. 17 DGSVO) zum Gegenstand der koordinierten Aktion der Datenschutzbehörden für 2025.
Thema der nächsten koordinierten Aktion der Europäischen Datenschutzaufsichtsbehörden für 2025 ist das Recht auf Löschung – eines der wichtigsten Betroffenenrechte für die Praxis. Grund genug, um einen genaueren Blick auf Art. 17 DSGVO zu werfen.
Nach dem Koordinierten Durchsetzungsrahmenwerk (Coordinated Enforcement Framework [CEF]) der Datenschutzbehörden wählen diese jährlich ein vorrangiges und in der Regel besonders praxisrelevantes Thema für ihre sog. koordinierte Aktion aus. Das CEF zielt darauf ab, die Durchsetzung der DSGVO und die Zusammenarbeit zwischen den nationalen Datenschutzaufsichtsbehörden in der EU zu „straffen“ und zu optimieren. Die einzelnen nationalen Behörden können sich der koordinierten Aktion auf freiwilliger Basis anschließen. Die Ergebnisse der nationalen Maßnahmen werden dann in Berichten (sog. Reports) zusammengefasst und gemeinsam analysiert, um tiefere Einblicke in das Thema zu gewinnen und eine gezielte Nachverfolgung sowohl auf nationaler als auch auf EU-Ebene zu ermöglichen.
2025 wird sich die koordinierte Aktion auf Art. 17 DSGVO konzentrieren
Für 2025 wurde die Umsetzung des Rechts auf Löschung durch Verantwortliche nach Art. 17 DSGVO ausgewählt. Dabei handelt es sich (neben dem Recht auf Auskunft) um eines der wichtigsten Betroffenenrechte nach der DSGVO, das oftmals zusammen mit oder im Anschluss an ein sog. Auskunftsersuchen geltend gemacht wird. Das Recht auf Löschung (Art. 17 DSGVO) ist eines der Rechte, die Betroffene gegenüber Unternehmen, die ihre Daten verarbeiten, am häufigsten ausüben. Ebenso häufig ist es Gegenstand von Beschwerden bei den Aufsichtsbehörden.
Ziel der koordinierten Aktion ist es unter anderem, die Umsetzung das Recht auf Löschung in der Praxis zu bewerten. Die Aktion selbst soll im ersten Halbjahr 2025 gestartet werden. Die koordinierte Aktion zum Recht auf Löschung ist die vierte Initiative im Rahmen des CEF. Die koordinierten Aktionen in den Vorjahren beschäftigten sich mit der Nutzung von Cloud-Diensten durch den öffentlichen Sektor (2022), der Rolle und Anerkennung des Datenschutzbeauftragten (2023) und dem Auskunftsrecht (2024). Der Report zum Auskunftsrecht soll Anfang 2025 zur Verfügung stehen.
Das Recht auf Löschung gemäß Art. 17 DSGVO
Der Regelungsinhalt von Art. 17 DSGVO ist vielschichtig und erschließt sich erst bei näherer Betrachtung.
Pflicht zur Löschung
Art. 17 Abs. 1 DSGVO bestimmt zunächst, dass personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person und damit eigenständig durch den Verantwortlichen unverzüglich gelöscht werden müssen, wenn einer der in Art. 17 Abs. 1 DSGVO aufgeführten Gründe vorliegt. Die Pflicht zur Löschung besteht also nicht nur bei einem „Löschungsverlangen“ eines Betroffenen, sondern automatisch dann, wenn einer der in Art. 17 Abs. 1 DSGVO aufgeführten Gründe vorliegt. Aus dieser objektiven Pflicht folgt, dass der Verantwortliche in regelmäßigen Abständen überprüfen muss, ob die Verarbeitung personenbezogener Daten durch ihn (noch) rechtmäßig ist, und Fristen für die regelmäßige Überprüfung und Löschung vorsehen muss (siehe EG 39 DSGVO, sog. Löschfristen, Löschroutinen, verankert in einem Löschkonzept). Diese Pflicht steht im engen Zusammenhang mit den Prinzipien zur Zweckbindung, Datenminimierung und Speicherbegrenzung (Art. 5 Abs. 1 lit. b), c) und e) DSGVO. Verstöße gegen diese Pflicht sind in der Vergangenheit mit teilweise erheblichen Bußgeldern geahndet worden. Verstöße gegen Vorschriften der DSGVO können zudem Schadensersatzansprüche nach Art. 82 DSGVO nach sich ziehen – so auch Verstöße gegen Art. 17 DSGVO.
Wichtig aus Praxissicht sind die folgenden Gründe für eine Löschung:
- Der Zweckfortfall, d.h. die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet werden, nicht mehr notwendig (lit. a): Diese Alternative liegt zum Beispiel dann vor, wenn die Daten zur Begründung oder Durchführung eines Vertrags verarbeitet worden sind und der Vertrag erfüllt wurde (Ausnahme: Aufbewahrungspflichten, dazu nachstehend).
- Der Widerruf einer Einwilligung, wenn für die (weitere) Verarbeitung keine andere Rechtsgrundlage besteht (lit. b): Diese Alternative erfasst z.B. die Fälle, in denen der Betroffene seine Einwilligung zum Versand eines Newsletters erteilt hat, diese aber widerrufen hat.
- Die Einlegung eines Widerspruchs durch den Betroffenen nach Art. 21 Abs. 1 DSGVO (lit. c): Dies betrifft vor allem die Verarbeitung aufgrund eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO, wenn der Verantwortliche keine besonders schützenswerten Gründe geltend machen kann, oder nach Art. 21 Abs. 2 DSGVO (Widerspruch gegen Direktwerbung, z.B. per Briefpost).
- Die unrechtmäßige Verarbeitung der Daten (lit. d): Daten sind selbstverständlich dann zu löschen, wenn die Verarbeitung der Daten unrechtmäßig war, also weder auf einen gesetzlichen Erlaubnistatbestand noch auf eine Einwilligung des Betroffenen gestützt werden kann.
Das Recht auf Löschung bzw. die Verpflichtung zur Löschung richtet sich gegen „Verantwortliche“ (Art. 4 Nr. 7 DSGVO). „Verantwortliche“ können neben den Stellen, die Daten eines Betroffenen originär verarbeiten (in den oben genannten Beispielen die Unternehmen, die einen Vertrag mit dem Betroffenen geschlossen haben, oder die Werbetreibenden) auch Suchmaschinenbetreiber sein, da diese nach der Rechtsprechung eine eigenständige Datenverarbeitung durchführen, in dem sie den Nutzern* die aufbereiteten Suchergebnisse bereitstellen. Oftmals wird das sog. Auslistungsbegehren gegen Suchmaschinenbetreiber auf einen Widerspruch nach Art. 21 Abs. 1 DSGVO in Verbindung mit Art. 17 Abs. 1 lit. c) DSGVO gestützt.
Recht auf Vergessenwerden – „Tilgung der Spuren“
Das „Recht auf Vergessenwerden“ ist in Art. 17 Abs. 2 DSGVO geregelt. Gemäß dem Leitsatz „Das Internet vergißt nie“ gilt es vor allem für Verarbeitungen, bei denen personenbezogene Daten im Internet verarbeitet werden und somit unbegrenzt abrufbar und reproduzierbar sind. Das Recht auf Löschung zielt auf die „Tilgung von Spuren“ personenbezogener Daten ab, die durch Veröffentlichungen, insbesondere im Internet, einer breiten Öffentlichkeit zugänglich sind. Den Verantwortlichen, der die personenbezogenen Daten öffentlich gemacht hat, zu deren Löschung er verpflichtet ist, trifft eine Informationspflicht: Er muss weitere Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass der Betroffene von ihnen die Löschung aller Links zu den Daten oder von Kopien oder Replikationen verlangt hat. Er muss zur Erfüllung dieser Informationspflicht unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, treffen. Die Umsetzung dieser Informationspflicht kann in der Praxis schwierig sein, denn der originär für die Verarbeitung Verantwortliche wird, vor allem in Fällen einer Verbreitung im Internet, nicht alle Verantwortlichen kennen, die die Daten verarbeiten. Wie weit seine Recherche- und Informationspflicht geht, ist eine Frage des Einzelfalls. Jedenfalls müssen zumindest die Anbieter der wichtigsten Suchmaschinen über das Löschungsverlangen informiert werden. Im Gegensatz zur Löschpflicht, die sich geographisch auf die EU beschränkt, kann die Informationspflicht weltweit greifen.
Ausnahmen von der Pflicht zur Löschung personenbezogener Daten
Unter gewissen Voraussetzungen bestehen Ausnahmen von der Pflicht zur Löschung personenbezogener Daten (Art. 17 Abs. 3 DSGVO). Die aus Praxissicht wichtigsten Ausnahmen sind:
- Recht auf freie Meinungsäußerung und Information (lit. a)): Soweit die Verarbeitung zur Ausübung dieser Rechte erforderlich ist, besteht eine Ausnahme von der Löschpflicht. Hintergrund ist, dass verhindert werden soll, dass das Recht auf freie Meinungsäußerung und das Recht auf Information durch das Datenschutzrecht ausgehebelt werden. Zu denken ist hier insbesondere an Veröffentlichungen in der Presse und in anderen Medien. Die Ausnahme erfordert jedoch stets eine Abwägung zwischen den genannten Rechten und den Rechten des Betroffenen. Für Suchmaschinenbetreiber ist diese Ausnahme nicht einschlägig, denn diese können sich nach dem EuGH selbst nicht die genannten Rechte berufen. Gleichwohl wendet der EuGH Art. 17 Abs. 3 lit. a) DSGVO auch in diesen Fällen an und berücksichtigt damit indirekt die Meinungs- und Informationsfreiheit der „Publisher“ und der Internet-Nutzer.
- Erfüllung einer rechtlichen Verpflichtung: Der Verantwortliche benötigt die Daten zur Erfüllung einer rechtlichen Verpflichtung (lit. b): Daten, die aufgrund einer gesetzlichen Verpflichtung aufbewahrt werden müssen (z.B. nach Handels- oder Steuerrecht), darf der Verantwortliche nicht löschen. Er befindet sich hier also im Widerstreit zwischen seiner Löschpflicht auf der einen Seite (z.B. aufgrund eines vollständig erfüllten Vertrags) und einer gesetzlichen Pflicht zur Aufbewahrung oder Dokumentation der Daten (wie z.B. des Vertragsinhalts, der Rechnungen etc.). Zu bedenken ist dabei, dass ein Vollzugriff auf die Daten für die (geänderten) Zwecke der Erfüllung von Aufbewahrungs- und Dokumentationspflichten in der Regel nicht erforderlich ist, so dass in diesen Fällen oftmals eine „Sperrung“ der Daten verbunden mit Zugriffsbeschränkungen auf die Daten das Mittel der Wahl ist.
Bisher hat der EDSA nur eine Leitlinie zu einem Teilaspekt des Rechts auf Löschung angenommen
Die „Leitlinie 5/2019 zu den Kriterien des Rechts auf Vergessenwerden in Fällen in Bezug auf Suchmaschinen gemäß der DSGVO“, beschäftigt sich mit dem sog. Recht auf Auslistung als Teil des Rechts auf Vergessenwerden. Im Kern geht es dabei darum, dass Betroffene von Betreibern von Suchmaschinen verlangen, die Links zu bestimmten Beiträgen zu entfernen, die nach der Eingabe ihres Namens als Suchbegriff in den Ergebnissen auftauchen. Die Leitlinie gilt also nur für Suchmaschinenbetreiber als „Verantwortliche“ und von betroffenen Personen gestellte Auslistungsanträge (siehe auch: Update: Neues zum Recht auf Löschung gegen Suchmaschinenbetreiber).
Fazit für die Praxis: Vorgaben aus Art. 17 DSGVO frühzeitig überprüfen und umsetzen
Verstöße gegen die Betroffenenrechte der DSGVO wie z.B. gegen Art. 17 DSGVO können Bußgelder und Schadensersatzforderungen zur Folge haben. Das Recht auf Löschung ist ein wichtiges Thema, das von Unternehmen im Rahmen ihrer Datenschutz-Compliance, dem Risikomanagement und bei der Gestaltung ihrer operativen Prozesse von erheblicher Bedeutung ist. Das Ergebnis der koordinierten Aktion ist daher von erheblicher praktischer Bedeutung für Unternehmen und sollte bei der Umsetzung der Vorgaben nach Art. 17 DSGVO beachtet werden.
Bleiben Sie mit unserem Blog zu weiteren datenschutzrechtlichen Themen auf dem Laufenden. Einen Überblick über DSGVO-Bußgelder erhalten Sie mit dem CMS Enforcement Tracker. Unser regelmäßig aktualisierter Blog-Beitrag zur Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO informiert Sie laufend zu diesem Thema.
This article is also available in English.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.