Skip to main content
Logo von MKM LEGAL
Datenstränge auf dunklem Hintergrund verschwimmen

Europaweit koordinierte Prüfung der Datenschutzaufsichtsbehörden

... zum Recht auf Löschung bzw. „Recht auf Vergessenwerden“ gemäß Art. 17 DSGVO

Wir alle wünschen uns eine geschützte Privatsphäre, damit unsere persönlichen Daten nicht missbraucht oder unerwünscht genutzt werden können. Dazu gehört auch, dass personenbezogene Daten unter bestimmten Voraussetzungen zu löschen sind. Dieses Recht ist in Art. 17 der Datenschutzgrundverordnung (DSGVO) als Recht auf Löschung bzw. auf Vergessenwerden festgelegt. Die praktische Umsetzung dieses zentralen Betroffenenrechts stellt Unternehmen jedoch oft vor Herausforderungen. Um eine bessere Umsetzung zu gewährleisten, hat der Europäische Datenschutzausschuss (EDSA) am 5. März 2025 seine koordinierte Maßnahme zum Recht auf Löschung bzw. auf Vergessenwerden gemäß Art. 17 DSGVO bekannt gegeben. Auch deutsche Datenschutzaufsichtsbehörden werden sich daran beteiligen. Zu diesem Zweck wird ein europaweit abgestimmter Fragebogen an Unternehmen verschiedener Sektoren gesendet, um die Umsetzung dieses Rechts zu überprüfen.

Was ist das Recht auf Löschung bzw. das Recht auf Vergessenwerden?

Gemäß den Grundsätzen der Zweckbindung und der Datenminimierung (Art. 5 Abs. 1 lit. b und c) dürfen personenbezogene Daten nur so lange verarbeitet werden, wie dies für die Zwecke, für die sie erhoben oder sonst verarbeitet wurden, erforderlich ist.

Nach Erreichen des ursprünglichen Zwecks ist eine Weiterverarbeitung nur erlaubt, wenn sie mit diesem vereinbar ist, eine rechtliche Grundlage, beispielsweise die Einwilligung zur Aufnahme in einen Bewerberpool, besteht oder wenn sie zur Erfüllung von Verpflichtungen erforderlich ist, die beispielsweise aus dem Steuerrecht resultieren können.

Unter bestimmten Voraussetzungen hat die betroffene Person das Recht, vom Verantwortlichen die Löschung ihrer personenbezogenen Daten zu verlangen. Der Verantwortliche ist dann verpflichtet, diese Daten zu löschen, sofern der Löschantrag nach Art. 17 Abs. 1 DSGVO begründet ist. Gründe, die zu einem Löschantrag berechtigen, können sein: Das Erreichen des Zwecks der Verarbeitung, die betroffene Person widerruft ihre Einwilligung, die betroffene Person legt Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, die personenbezogenen Daten wurden unrechtmäßig verarbeitet oder die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

Diese Pflicht zur Löschung durch den Verantwortlichen besteht gem. Art. 17 Abs. 3 DSGVO nur dann nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung im öffentlichen Interesse, aus Gründen der öffentlichen Gesundheit, für Archivzwecke oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Auch wenn der Verantwortliche seiner Löschungspflicht nachkommt, bleiben Daten, die im Internet veröffentlicht wurden, für die Allgemeinheit zugänglich (beispielsweise die Veröffentlichung von Mitarbeiterfotos auf der Webseite des Unternehmens). In diesem Fall greift das sogenannte „Recht auf Vergessenwerden“. Der Verantwortliche hat dann gemäß Art. 17 Abs. 2 DSGVO die Pflicht, alle angemessenen Maßnahmen zu treffen, um andere Verantwortliche, insbesondere Suchmaschinenbetreiber, die veröffentlichte Daten verarbeiten, über den Antrag auf Löschung aller Links, Kopien oder Replikationen in Bezug auf die personenbezogenen Daten zu unterrichten. Zudem sind gemäß Art. 19 DSGVO etwaige Empfänger durch den Verantwortlichen über den Löschantrag zu unterrichten („Drittmitteilung“). Eine Pflicht zur Drittmitteilung besteht nur dann nicht, wenn sich diese als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden wäre.

Welche Fristen gelten für die Erfüllung der Löschpflicht und wie ist dabei vorzugehen?

Wenn eine betroffene Person ihr Recht auf Löschung ausübt, muss die Löschung gemäß Art. 17 Abs. 1 DSGVO unverzüglich erfolgen. „Unverzüglich” bedeutet „ohne schuldhaftes Zögern” („without undue delay”). Als zeitliche Obergrenze nennt Art. 12 Abs. 3 DSGVO einen Monat, um dem Verantwortlichen einen ausreichenden Zeitraum für die Prüfung der Anspruchsvoraussetzungen zu geben. Die Ausschöpfung dieser Frist wird jedoch nur in Ausnahmefällen zulässig sein, beispielsweise wenn eine umfassende Prüfung der Ausnahmetatbestände nach Art. 17 Abs. 3 DSGVO erforderlich ist, die Identität des Antragstellers nicht vorher geklärt werden kann oder ein außerordentlich hoher Löschungsaufwand erforderlich ist. In der Regel dürfte eine Frist von zwei Wochen noch als „unverzüglich“ gelten. In komplexen Fällen kann die Frist von einem Monat um weitere zwei Monate verlängert werden. Der Verantwortliche muss dann die betroffene Person über die Fristverlängerung und deren Gründe informieren.

Die Drittmitteilung ist nicht ausdrücklich an eine Frist gebunden. Aufgrund der vergleichbaren Interessenlage ist sie jedoch – entsprechend den anderen Mitteilungs- und Informationsrechten – nach Art. 12 Abs. 4 DSGVO ebenso „unverzüglich“, spätestens innerhalb eines Monats, vorzunehmen.

Gibt es Möglichkeiten, Löschansprüche durchzusetzen, und wenn ja, welche?

Wenn der Verantwortliche dem Löschungsersuchen nicht fristgerecht nachkommt, kann die betroffene Person gemäß Art. 77 DSGVO Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Diese kann dann die Löschung anordnen. Zusätzlich drohen gemäß Art. 83 Abs. 5 lit. b DSGVO Geldbußen von bis zu 20 Mio. EUR bzw. von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Gemäß Art. 79 Abs. 1 DSGVO haben betroffene Personen zudem Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf zur Durchsetzung ihrer Rechte aus der DSGVO. Es besteht auch die Möglichkeit, gemäß Art. 82 DSGVO Schadenersatz einzufordern. Dieser umfasst materielle und immaterielle Schäden.

Welche Fragen hat die europaweite Aktion zum Recht auf Löschung in den Fokus gerückt?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat den europaweit abgestimmten Fragebogen zur Umsetzung des Rechts auf Löschung online zur Verfügung gestellt. Er soll Unternehmen auch als „Self-Check“ bzw. “Realitätscheck“ dienen.

Neben Fragen zum Sektor/Kerngeschäft des Verantwortlichen, den Personengruppen, die hauptsächlich von der Verarbeitung betroffen sind, der Art von personenbezogenen Daten, die  hauptsächlich verarbeitet werden, wird auch die Anzahl der eingegangenen Löschanträge erfragt, ob Löschanträge abgelehnt wurden, ob ein Prozess zur Umsetzung des Rechts auf Löschung entwickelt wurde, ob die Mitarbeiter in Bezug auf Löschanträge geschult sind, wie lange es durchschnittlich dauert, um Löschanträge vollständig zu bearbeiten, welche Maßnahmen bei der Veröffentlichung von personenbezogenen Daten ergriffen werden, um das Recht auf Vergessenwerden zu gewährleisten, wie die Kommunikation mit den betroffenen Personen erfolgt, ob es technische Standards gibt, die das Unternehmen befolgt, wenn personenbezogene Daten gelöscht werden sollen oder vor welchen Herausforderungen das Unternehmen im Zusammenhang mit der Umsetzung des Rechts auf Löschung und auf Vergessenwerden steht. Die Aufzählung ist nicht abschließend. Die einzelnen Fragen können über den oben angeführten Link eingesehen werden.  

Fazit

Angesichts der angekündigten Initiative zum Recht auf Löschung und Vergessenwerden ist zu erwarten, dass Aufsichtsbehörden die Löschprozesse genauer prüfen werden. Nicht zuletzt deshalb sollten Unternehmen ihre Richtlinien zur Umsetzung eines Löschkonzeptes und zum Umgang mit dem Recht auf Löschung und Vergessenwerden unter die Lupe nehmen und bei Bedarf überarbeiten. Dabei sollte insbesondere Folgendes beachtet werden:

  • Existiert ein dokumentiertes Löschkonzept?
  • Wie wird das Löschkonzept in der Praxis umgesetzt?
  • Unterstützt die eingesetzte Software die technische Umsetzung des Löschkonzepts und der sich aus dem Recht auf Löschung und Vergessenwerden ergebenden Pflichten?
  • Gibt es eine Richtlinie bzw. Anweisungen für die Bearbeitung von Löschanträgen?
  • Sind die Mitarbeiter im Umgang mit Löschanträgen angemessen geschult?

Gerne unterstützt die MKM Datenschutz GmbH Sie bei der Umsetzung dieser Anforderungen. 

 

Autorin: Rosemarie Popa (Senior Data Privacy Consultant)

Weitere Insights zum Thema

article
5. Juni 2025
Ist das erlaubt? 
Nutzung personenbezogener Daten zu Testzwecken
article
3. Juni 2025
EU Data Act – Teil 3
Data Act & DSGVO: Zerreißprobe für Unternehmen
article
30. Mai 2025
Wirksamer Widerruf trotz Aufbewahrung im Schließfach
Zerrissenes Testament im Schließfach gilt nicht
article
9. Mai 2025
EU Data Act – Teil 2
Der Data Act: Strategien und Schutzmechanismen des Geschäftsgeheimnisses
article
9. Mai 2025
Worauf Sie als Arbeitgeber jetzt achten müssen
Vorsicht bei Zustellung einer Kündigung per Einwurf-Einschreiben
article
7. Mai 2025
Übermittlung personenbezogener Daten von EU-Unternehmen nach UK
EDSA stimmt Verlängerungen des UK-Angemessenheitsbeschlusses bis 27. Dezember zu
article
29. April 2025
Wenn Funktion auf Kreativität trifft
Schutz einfacher Produkte im Urheberrecht am Beispiel Birkenstock
article
24. April 2025
Zwischen gesetzlichen Anforderungen und neuen Möglichkeiten
Künstliche Intelligenz in Unternehmen
Logo von MKM LEGAL
Rechtliches

Impressum

Datenschutzerklärung

AGB

Hinweisgebersystem

Kontakt

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Adressen

Äußere Sulzbacher Str. 118
90491 Nürnberg

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Leipziger Platz 9
10117 Berlin

Newsletter-Anmeldung