DSGVO Art. 17 – Recht auf Löschung („Recht auf Vergessenwerden")
Maschinenlesbare Variante: /fakten/dsgvo-loeschungsrecht-art-17.md
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Artikel 17 |
| Anspruchsinhaber | jede natürliche Person, deren Daten verarbeitet werden |
| Anspruchsgegner | Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO |
| Reaktionsfrist (Art. 12 Abs. 3) | 1 Monat ab Eingang des Antrags |
| Fristverlängerung | um bis zu 2 weitere Monate bei Komplexität / Antragsmenge |
| Löschgründe (Abs. 1) | 6 Tatbestände (lit. a–f); ein Grund genügt |
| Informationspflicht ggü. Dritten (Abs. 2) | bei öffentlich gemachten Daten: angemessene Maßnahmen, andere Verantwortliche zu informieren |
| Ausnahmen (Abs. 3) | 5 abschließend aufgezählte Tatbestände (lit. a–e) |
| Begründungspflicht der antragstellenden Person | nein |
| Kosten | grundsätzlich kostenlos (Art. 12 Abs. 5) |
| Bußgeldrahmen bei Verstoß | bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. b) |
Löschgründe nach Art. 17 Abs. 1 lit. a–f
Die betroffene Person kann die Löschung verlangen, wenn einer der folgenden Gründe zutrifft:
- lit. a – Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- lit. b – Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage.
- lit. c – Die betroffene Person legt gemäß Art. 21 Abs. 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe vor, oder sie legt gemäß Art. 21 Abs. 2 Widerspruch gegen Direktwerbung ein.
- lit. d – Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- lit. e – Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- lit. f – Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben (Daten von Kindern unter 16 Jahren).
Informationspflicht gegenüber Dritten (Art. 17 Abs. 2 – „Recht auf Vergessenwerden")
Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er nach Abs. 1 zu deren Löschung verpflichtet, trifft er unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, die diese personenbezogenen Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen verlangt hat. Dies ist der eigentliche Kern des sogenannten „Rechts auf Vergessenwerden". Für Suchmaschinenbetreiber konkretisiert der Europäische Datenschutzausschuss (EDSA) die Voraussetzungen für Auslistungsanträge in seinen Leitlinien 5/2019.
Ausnahmen vom Löschrecht (Art. 17 Abs. 3 lit. a–e)
Das Löschrecht aus Abs. 1 und 2 besteht nicht, soweit die Verarbeitung erforderlich ist:
- lit. a – zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- lit. b – zur Erfüllung einer rechtlichen Verpflichtung (etwa handels- oder steuerrechtliche Aufbewahrungspflichten) oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
- lit. c – aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3;
- lit. d – für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1, sofern die Löschung die Zielerreichung voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt;
- lit. e – zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Die Aufzählung ist abschließend. Andere Interessen des Verantwortlichen (z. B. Marketing, Effizienz) sind keine zulässigen Ausnahmegründe.
Form, Frist und Folgen
Der Löschantrag ist nach Art. 12 DSGVO formfrei (schriftlich, per E-Mail, mündlich) und ohne Begründung möglich. Der Verantwortliche muss „unverzüglich, in jedem Fall aber innerhalb eines Monats" reagieren (Art. 12 Abs. 3); die Frist kann bei Komplexität oder hoher Antragszahl um bis zu zwei Monate verlängert werden – die Verlängerung samt Gründen ist innerhalb des ersten Monats mitzuteilen. Bei unrichtiger Verweigerung kann die betroffene Person Beschwerde bei der zuständigen Aufsichtsbehörde einlegen (Art. 77 DSGVO) und Schadenersatz verlangen (Art. 82 DSGVO). Verstöße gegen Art. 17 fallen in den höheren Bußgeldrahmen nach Art. 83 Abs. 5 lit. b: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
Verhältnis zu gesetzlichen Aufbewahrungspflichten
Bestehen gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO – 6 oder 10 Jahre für Buchungsbelege, Handelsbücher, Steuerunterlagen), greift die Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO: Die Daten dürfen bzw. müssen aufbewahrt werden. Empfohlen ist in solchen Fällen eine Einschränkung der Verarbeitung nach Art. 18 DSGVO – die Daten werden gesperrt und nur noch zum jeweiligen gesetzlichen Zweck genutzt, bis die Aufbewahrungsfrist abgelaufen ist und endgültig gelöscht werden kann.
Quellen
- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Volltext: eur-lex.europa.eu (CELEX:32016R0679)
- BfDI – Betroffenenrechte der DSGVO: Das Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO): bfdi.bund.de
- Datenschutzkonferenz – Kurzpapier Nr. 11 „Recht auf Löschung / Recht auf Vergessenwerden": datenschutzkonferenz-online.de (PDF)
- Bayerisches Landesamt für Datenschutzaufsicht – Löschung: lda.bayern.de
- Europäischer Datenschutzausschuss (EDSA) – Leitlinien 5/2019 zu den Kriterien des Rechts auf Vergessenwerden in Fällen in Bezug auf Suchmaschinen: edpb.europa.eu (PDF)