Datenschutz Verstehen – Artikel 17 DSGVO
Kurze Einleitung
Stehen Unternehmen in einem Vertragsverhältnis mit ihren Kunden, besteht nach Art. 17 DSGVO das Recht auf Löschung der personenbezogenen Daten. Spätestens seit der Datenschutz-Grundverordnung vom 25.05.2018 sollte dieses Thema ernst genommen werden. Der europäische Gerichtshof machte bereits am 13.05.2014 klar, dass Betreiber von Suchmaschinen verpflichtet sind Sucheinträge mit Namensbezug zu löschen, weil dadurch Persönlichkeitsrechte verletzt werden. Und genau ein solches Verhalten wird erst recht nach der DSGVO mit hohen Bußgeldern bestraft.
Was ist der Artikel 17 DSGVO?
Der Art. 17 DSGVO befasst sich mit dem Recht auf Löschung beziehungsweise “Vergessenwerden”. Die Daten sind demnach unverzüglich zu löschen, wenn:
- Personenbezogene Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
- Die betroffene Person ihre Einwilligung widerruft.
- Personenbezogene Daten unrechtmäßig verarbeitet werden.
- Die Löschung der Daten eine rechtliche Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfordert.
- Daten von Kindern in Bezug auf angebotene Dienste (Webshops oder Online-Spiele) erhoben werden.
Wie muss Artikel 17 DSGVO umgesetzt werden?
Um datenschutzrechtliche Vorgaben hinsichtlich der Löschung gewährleisten zu können, müssen Löschprozesse eingeführt werden. Da die Bearbeitungsfrist für das Recht auf Löschung nur vier Wochen beträgt, besteht die Gefahr, dass personenbezogen Daten nicht rechtzeitig gelöscht werden. Besonders riskant ist die Situation immer dann, wenn mangelhafte beziehungsweise fehlende Übersichten der zu löschenden Daten vorliegen.
Checkliste Artikel 17 DSGVO:
- Zunächst einmal stellt die betroffene Person eine Anfrage an den Verantwortlichen für die Löschung der personenbezogenen Daten.
- Im Unternehmen wird die betroffene Person im Anschluss identifiziert.
- Wenn keine gesetzlichen Normen gegen die Löschung sprechen, (§ 257 HGB, § 147 AO) werden die Daten des Kunden gelöscht.
- Im Anschluss daran wird die betroffene Person, in Form einer Löschbestätigung, über den Löschvorgang nach Art. 19 DSGVO informiert.
- Somit ist der Löschvorgang abgeschlossen.
Wird eine Anfrage des Betroffenen derart gesteuert, kann gewährleistet werden, dass ein optimaler Löschvorgang unproblematisch abläuft. Für Unternehmen eignet sich am besten die Einführung eines Datenschutz-Management-Systems, sodass prozessgesteuerte Sicherheit in einer digitalen Umgebung geschaffen werden kann. Ebenfalls sollten Unternehmen immer den gesamten Datenverarbeitungsprozess im Blick behalten. Diese Prozesse sollten im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden, sodass auch die Identifizierung von beteiligten Dienstleistern (Auftragsverarbeitern) leicht fällt.
Wann ist Artikel 17 DSGVO zutreffend?
Grundsätzlich besteht das Recht auf Löschung für jede betroffene Person. Bevor der Löschantrag gestellt wird, muss die betroffene Person zunächst einmal Kenntnis über die gespeicherten Daten haben. Hierbei hilft das Auskunftsrecht nach Art. 15 DSGVO. Aber auch wenn der Artikel 17 DSGVO grundsätzlich schnell zutreffend erscheint, sollten Unternehmen in jedem Fall eine wirksame Legitimation erwirken. Denn sollten einmal personenbezogene Daten gelöscht oder anonymisiert worden sein, gemäß den technischen und organisatorischen Maßnahmen, wird es schwierig diese Veränderung zu korrigieren.
Unternehmen sollten zudem bei der Erfüllung des Artikel 17 DSGVO beachten, dass auch weitere Aufbewahrungsfristen aus anderen Gesetzen zutreffend sein können, wie zum Beispiel aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) oder Richtlinien, wie die Medical Device Regulation (MDR). In solchen Fällen wird oft ein Kompromiss in der Sperrung von personenbezogenen Daten gefunden für die Dauer der Aufbewahrungsfrist. Anschließend muss dann endgültig gelöscht werden.
Was passiert, wenn Artikel 17 DSGVO nicht erfüllt wird?
Werden die Vorgaben der DSGVO nicht eingehalten, drohen grundsätzlich Strafen in Form von Bußgeldern. Diese Bußgelder richten sich in der Regel an juristische Personen. Art. 83 DSGVO führt auf, welche Verstöße zu Bußgeldverfahren führen können. Dazu zählen unter anderem Verstöße gegen Betroffenenrechte, VVT, Informationspflichten, wie z.B. bei der Datenschutzerklärungen, der Übermittlungen von personenbezogenen Daten in Drittländer und Verstöße aus Art. 17 DSGVO.
Verstößt ein Unternehmen gegen die Rechte auf Löschung, so kann der betroffene die zuständige Aufsichtsbehörde kontaktieren. Diese hat aufgrund von Art. 58 DSGVO Untersuchungsbefugnisse. Diese umfassen unter anderem die Untersuchung in Form von Datenschutzprüfungen. Außerdem wird die Behörde den Verantwortlichen auf den Verstoß hinweisen. Darüber hinaus hat der Betroffene, aufgrund eines immateriellen Schadens ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Letztlich kann die Aufsichtsbehörde nach Art. 83 Abs. 4, 5 lit. b) DSGVO Geldbußen bis zu 20.000.000 Euro gegen den Verantwortlichen erheben.
Artikel 17 DSGVO Volltext
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.