Löschpflichten: Was das Recht auf Vergessenwerden wirklich bedeutet
Die EU-Datenschutz-Grundverordnung sieht ein Recht auf Vergessenwerden vor. Die nicht umsetzbare Idee eines digitalen Radiergummis ist damit allerdings nicht gemeint. Sondern ein umfassendes Löschen.
Digitaler Radiergummi ist Geschichte
Erinnern Sie sich noch an die Diskussion um den sogenannten digitalen Radiergummi? Aus irgendeinem Grund glaubte man, dass der Datenschutzhinweis „Das Internet vergisst nicht“ keine Gültigkeit mehr hätte. Es zeigte sich allerdings schnell, dass zum Beispiel die Verschlüsselung von Bildern und das Löschen des Schlüssels nicht garantieren können, dass es das Bild nicht noch irgendwo im Internet gibt.
Mit dem digitalen Radiergummi war das Recht auf Vergessenwerden verknüpft. Während die EU-Kommission und auch die Bundesregierung dieses Recht als Erweiterung der bestehenden Löschpflichten im Datenschutz verankern wollten, wies zum Beispiel die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf die technische Unmöglichkeit des Vergessens im Internet hin. Vielmehr solle man Suchmaschinenanbieter dazu verpflichten, zu löschende Inhalte nicht mehr als Suchtreffer aufzuführen, sie also aus dem Index zu nehmen.
Nach einem Urteil des Europäischen Gerichtshofs (EuGH) sehen sich die Suchmaschinenbetreiber mit entsprechenden Löschanträgen konfrontiert. Das Recht auf Vergessenwerden ist zudem weiterhin Teil der kommenden EU-Datenschutz-Grundverordnung (EU-DSGVO). Müssen wir jetzt also weiter nach einem digitalen Radiergummi suchen, den es nicht gibt?
Löschpflichten bleiben bestehen
Die gute Nachricht ist, dass das Ergebnis der Trilog-Verhandlungen zur DSGVO keinen digitalen Radiergummi nennt, sondern die aus dem deutschen Datenschutzrecht bekannten Löschverpflichtungen aufführt.
Einer Mitteilung der EU-Kommission ist zu entnehmen, wie sie das „Recht auf Vergessenwerden“ versteht: Wenn die Betroffenen nicht möchten, dass ihre Daten weiter verarbeitet werden, und es keine legitimen Gründe für deren Speicherung gibt, müssen die Daten gelöscht werden.
Das klingt nicht nur vertraut, das ist es auch. Der Artikel 17 der DSGVO (Right to erasure, Right to be forgotten) hat aber weitere Forderungen im Gepäck.
Informationspflichten zum Löschen beachten
Schon das Bundesdatenschutzgesetz (BDSG) fordert, dass von der
- Berichtigung unrichtiger Daten,
- der Sperrung bestrittener Daten sowie
- der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung
die Stellen zu verständigen sind, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden. Allerdings nur, wenn dies keinen unverhältnismäßigen Aufwand erfordert und keine schutzwürdige Interessen des Betroffenen entgegenstehen.
Die DSGVO spricht nun davon, dass (auch) bei Veröffentlichung der Daten die anderen Stellen, die die Daten verarbeiten, von dem Löschwunsch bzw. der Löschverpflichtung zu informieren sind. Dabei sind im Rahmen des wirtschaftlich und technisch Machbaren (auch technische) Maßnahmen zu ergreifen, um die anderen Verarbeiter darüber zu informieren.
Die Löschpflicht umfasst dabei neben den Daten und Datenkopien auch Links auf die Daten und Kopien.
Löschkonzept vervollständigen
Wie zum Beispiel eine Umfrage von TÜV Süd ergeben hat, sieht es allerdings bei den Löschkonzepten vieler Unternehmen nicht gut aus: Der TÜV Süd Datenschutzindikator (DSI) zeigt, dass etwa die Hälfte der Befragten keine klare Regelung für die Sperrung oder Löschung von nicht länger benötigten Daten hat.
So ist zu befürchten, dass manches Unternehmen keine Übersicht hat,
- was wann zu löschen ist,
- wo sich die Daten befinden und
- wie sie verteilt wurden.
Es ist deshalb höchste Zeit, das Löschkonzept einmal genauer unter die Lupe zu nehmen – nicht nur zur Vorbereitung auf die DSGVO, sondern auch, um bestehendes Datenschutzrecht einzuhalten.