Das Recht auf Vergessenwerden / Das Recht auf Löschung

Nur dann, wenn die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten auch weiterhin aufrecht ist, darf der Verantwortliche die betreffenden Daten einer natürlichen Person weiterhin verarbeiten. Ansonsten ist er verpflichtet, die Daten zu löschen.

 

Das "right to be forgotten" besteht nicht erst ab Inkrafttreten der DSGVO ab 25.5.2018, sondern bereits im DSG 2000 gibt es in § 27 DSG ein "Recht auf Löschung", welches an sich die selben Recht für die betroffene Person gewährleistet. Der mediale Hype um dieses spezielle Recht ist "neuer Wein in alten Schläuchen".

Recht auf Löschung

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

Verlust der Zweckbindung, dh die personenbezogenen Daten sind nicht mehr notwendig.

  1. Widerruf der Einwilligung und Fehlen einer anderen Rechtsgrundlage (z.b. berechtigtes Interesse) für die Verarbeitung 
  2. Widerspruch gegen die Verarbeitung und es gibt keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Widerspruch bei Direktwerbung bzw. Profiling
  3. unrechtmäßig Verarbeitung
  4. Löschung zur Erfüllung einer rechtlichen Verpflichtung 
  5. Erhebung von personenbezogenen Daten über ein Kind

Bei einer Veröffentlichung der personenbezogenen Daten durch den Verantwortliche ist dieser bei einer Löschungsverpflichtung gehaltenunter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen zu treffen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

 

Die Löschung ist nicht notwendig, wenn und soweit die Verarbeitung erforderlich ist,

 

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke soweit das Löschungsrecht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

 

ErwG 66 der DSGVO:

 

Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen – auch technischer Art – treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.

Löschen = physisch Löschen oder den Zugang unmöglich machen?

 Es ist in der DSGVO nicht geklärt, ob das Löschen iSd DSGVO als tatsächlich physisches Löschen der Daten gesehen wird, oder es uU ausreicht, dass der Zugang zu den personenbezogenen Daten unmöglich gemacht wird. 

 

Der OGH hat dazu entschieden, dass Löschen iSd § 27 DSG physisches Löschen ist.

 

Personenbezogene Daten sind nach dem DSG zu löschen, auch wenn sie auf zwei unterschiedlichen Systemen verarbeitet werden.

 

Löschen“ heißt physisch löschen, dh so unkenntlich machen, dass eine Rekonstruktion nicht mehr möglich ist  (OGH 13.9.2012, 6 Ob 107/12x)

 

Es reicht nach der Judikatur des OGH nicht aus, dass die Datenorganisation geändert wird, sodass ein gezielter Zugriff auf die Daten nicht mehr möglich ist (OGH 6 Ob 41/10p, 6 Ob 112/10d).

 

Die Unterbindung des Datenzugriffes bzw. dessen Einschränkung auf einen kleineren Personenkreis ist nicht ausreichend.

 

 

 

 

 

 

 

 

Sanktion

Wenn der Verantwortliche ein Löschungsersuchen einer betroffenen Person nicht ordnungsgemäß erfüllt, dann hat diese die Möglichkeit, eine Beschwerde bei der Aufsichtsbehöre einzulegen. 

 

Die Strafdrohung des Art 83 Abs 5 DSGVO bei bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs , je nachdem, welcher der Beträge höher ist.