Persönlichkeitsrechte sind besonders gefährdet, wenn personenbezogene Daten öffentlich gemacht werden. Werden Daten z. B. im Internet veröffentlicht, reicht es in der Regel zum Schutz des Persönlichkeitsrechts nicht aus, dass die Stelle, die die Daten ursprünglich verarbeitet hatte, diese Daten löscht. Die Datenschutz-Grundverordnung will deshalb unter der Überschrift „Recht auf Vergessenwerden“ die Interessen der betroffenen Personen besser schützen.
Was gilt bisher?
Auch nach dem Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten, deren Speicherung nicht auf einer Einwilligung des Betroffenen beruht oder durch eine Rechtsvorschrift erlaubt oder sogar angeordnet ist, zu löschen.
Ist die weitere Speicherung unzulässig, gilt auch bisher, dass die Stellen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, zu verständigen sind. Ein solche Mitteilung kann allerdings entfallen, wenn sie unverhältnismäßigen Aufwand erfordert oder schutzwürdige Interessen des Betroffenen entgegenstehen (§ 35 Abs. 7 BDSG).
Was bringt die Zukunft?
Ergänzend zu den allgemeinen Regelungen zur Löschung von personenbezogenen Daten enthält Artikel 17 Abs. 2 DS-GVO eine Regelung zum sogenannten „Recht auf Vergessenwerden“. Der Verantwortliche soll sich dafür einsetzen, dass Daten, die er selbst löschen muss, auch bei Dritten, die die Daten erhalten haben, gelöscht werden.
Voraussetzung dafür, dass der Verantwortliche Maßnahmen für die betroffene Person ergreifen muss, ist zunächst, dass der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat. Zudem muss der Verantwortliche verpflichtet sein, die Daten sofern sie bei ihm gespeichert sind, zu löschen.
Wenn dann die betroffene Person von dem Verantwortlichen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, so muss der Verantwortliche „angemessene Maßnahmen“, auch technischer Art, treffen. Diese Maßnahmen dienen dem Zweck, die weiteren Verantwortlichen, die diese personenbezogenen Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten und die Löschung von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Bei der Frage, was „angemessene“ Maßnahmen in diesem Sinne sind, sind die „verfügbaren Technologien und Implementierungskosten“ für die Maßnahmen zu berücksichtigen.
Wurden die Daten z. B. im Internet veröffentlicht, ist natürlich zunächst diese eigene Veröffentlichung durch den Verantwortlichen zu unterbinden. Die vorgesehene Information weiterer Stellen über das Löschungsbegehren wird in vielen Fällen daran scheitern, dass es für den Verantwortlichen nicht nachvollziehbar ist, welche weiteren Stellen (weitere Verantwortliche) im Zuge der Veröffentlichung der Daten durch ihn diese nicht nur zur Kenntnis genommen, sondern selbst gespeichert haben. Zu den aus unserer Sicht angemessenen Maßnahmen könnte es zählen, dass ein Verantwortlicher, der Daten im Netz veröffentlicht hat, prüft, ob die Daten über Internetsuchmaschienenbetreiber (wie z. B. Google oder Yahoo) noch auffindbar sind. Wenn ja, wären die Suchmaschienenbetreiber zu informieren.
Die Löschung personenbezogener Daten sollte ohnehin – bestenfalls schon mit der ersten Speicherung personenbezogener Daten – geplant werden. Damit der Verantwortliche auch dem neuen „Recht auf Vergessenwerden“ gerecht werden kann, ist es notwendig, dort, wo die Empfänger von Daten bekannt sind, diese Information verfügbar zu halten, damit diese Empfänger nach Artikel 17 Abs. 2 DS-GVO informiert werden können. Dies sollte bei der Fortentwicklung des Löschungskonzeptes berücksichtigt werden.
Verstöße gegen die Pflicht, Daten zu löschen oder eine Verletzung der Pflichten aus dem „Recht auf Vergessenwerden“ können mit Geldbußen von bis zu EUR 20 Mio. oder – wenn der Verantwortliche ein Unternehmen ist – von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.
Siehe auch :
- „Recht auf Vergessenwerden“ – auch über Landesgrenzen hinweg
- Preview Datenschutz-Grundverordnung Teil 3: Neue Informationspflichten als „Motor“ des Datenschutzes (Variante 2: Erhebung bei der betroffenen Person)
- Preview Datenschutz-Grundverordnung Teil 2: Neue Informationspflichten als „Motor“ des Datenschutzes (Variante 1: Erhebung nicht bei der betroffenen Person)
- Preview Datenschutz-Grundverordnung Teil 1: „The honeymoon is over“ – Neue Höchstgrenzen für Bußgelder