Big Data und Compliance

Konkretere Forderungen an das Recht auf Vergessenwerden

| Autor / Redakteur: Oliver Schonschek / Nico Litzel

Aktuelle Gerichtsurteile und Richtlinien konkretisieren die Löschpflicht personenbezogener Daten.
Aktuelle Gerichtsurteile und Richtlinien konkretisieren die Löschpflicht personenbezogener Daten. (Bild: © Brian Jackson - stock.adobe.com)

Eine der großen Herausforderungen in Big-Data-Projekten ist die rechtskonforme Löschung der Daten. So besteht oftmals Unklarheit, wie zum Beispiel das Recht auf Vergessenwerden aus der Datenschutz-Grundverordnung (DSGVO) umzusetzen ist. Neue Gerichtsurteile und Richtlinien der Aufsichtsbehörden für den Datenschutz sorgen für mehr Informationen, was diese Löschpflicht umfasst.

Wenn in Umfragen zu Big-Data-Projekten nach Hindernissen gefragt wird, taucht der Datenschutz in den meisten Fällen weit vorne in der Liste auf. Dabei ist es nicht nur die Umsetzung der Vorgaben, es beginnt bereits mit dem Verständnis, was denn genau gefordert wird.

Das datenschutzkonforme Löschen personenbezogener Daten macht gerade bei Big Data einige Probleme, denn in den Datenbergen sind viele verschiedene Datenkategorien enthalten, die unterschiedlichen Löschpflichten und Aufbewahrungsvorgaben unterliegen können.

Schaut man in die Datenschutz-Grundverordnung (DSGVO / GDPR), findet man dort insbesondere das Recht auf Vergessenwerden in Artikel 17. Unter anderem heißt es dort: Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er (...) zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Bei Online-Projekten mit großen, verteilten Datenmengen ist die Datenlöschung keine leichte Aufgabe. So stellt sich zum Beispiel die Frage, ob von der EU-Verordnung auch Links und Datenkopien betroffen sind, die außerhalb der EU zu finden sind.

Urteil zu Suchmaschinenbetreiber

Suchmaschinenbetreiber wie Google werden häufig mit Löschaufforderungen konfrontiert, sie sind deshalb ein gutes Beispiel für die Umsetzung der Löschpflichten. CNIL (Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich) hatte 2016 eine Sanktion von 100.000 Euro gegen die Google Inc. verhängt wegen der Weigerung des Unternehmens, in Fällen, in denen es einem Auslistungsantrag stattgibt, die Auslistung auf sämtliche Domains seiner Suchmaschine anzuwenden.

Die Google Inc. entfernte die betreffenden Links nur aus den Ergebnissen, die bei Sucheingaben auf Domains angezeigt wurden, die den Versionen ihrer Suchmaschine in den Mitgliedstaaten entsprachen. Die Google Inc. erhob beim Conseil d'État (Staatsrat, Frankreich) Klage auf Nichtigerklärung des Beschlusses vom 10. März 2016. Sie ist der Auffassung, das Auslistungsrecht setze nicht zwangsläufig voraus, dass die streitigen Links ohne geografische Beschränkung auf sämtlichen Domains ihrer Suchmaschine entfernt würden.

Im September 2019 entschied dann der Europäische Gerichtshof (EuGH): Der Betreiber einer Suchmaschine ist nicht verpflichtet, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen. Er ist jedoch verpflichtet, sie in allen mitgliedsstaatlichen Versionen vorzunehmen und Maßnahmen zu ergreifen, um die Internetnutzer davon abzuhalten, von einem Mitgliedstaat aus auf die entsprechenden Links in Nicht-EU-Versionen der Suchmaschine zuzugreifen. Das Recht auf Vergessenwerden bzw. die Löschverpflichtung nach DSGVO kennt also Grenzen.

Urteil zu Online-Archiven

Doch es gibt noch weitere Gerichtsurteile rund um das Löschen von Daten: Das Recht auf Vergessenwerden gilt künftig auch gegenüber Online-Archiven, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im November 2019.

Das Bundesverfassungsgericht hat demnach das Recht auf Vergessenwerden fortentwickelt. Bislang war das durch die Rechtsprechung des EuGH geschaffene und in die geltende Datenschutzgrundverordnung übernommene Recht auf Vergessenwerden überwiegend auf das Verhältnis von Suchmaschinenbetreibern und betroffenen Personen angewendet worden. Das Recht auf Vergessenwerden wurde nun vom Bundesverfassungsgericht direkt gegenüber Online-Archiven von Presseunternehmen angewandt.

In der Entscheidung des BVerfG „Recht auf Vergessen I“ geht es um eine Berichterstattung von einem 1981 begangenen Mord, aufgrund dessen der Täter zu lebenslanger Freiheitsstrafe verurteilt und 2002 aus der Haft entlassen wurde. Das BVerfG erkennt nach der Abwägung zwischen Pressefreiheit und Persönlichkeitsrechtsschutz eine Pflicht des Betreibers eines Online-Archivs bei namensbezogener Berichterstattung an, die zeitlichen Umstände – vorliegend über 30 Jahre – bei der Veröffentlichung zu berücksichtigen.

Die Entscheidung „Recht auf Vergessen II“ sieht demgegenüber die fachgerichtliche Abweisung eines Auslistungsanspruchs aus den Suchergebnissen nicht als Verletzung des Rechts auf informationelle Selbstbestimmung an. Die Beschwerdeführerin hatte sich erfolglos an Google gewandt, um eine Verlinkung ihres Namens auf den Bericht eines Nachrichtenmagazins blockieren zu lassen.

Es kommt also bei dem Recht auf Vergessenwerden genau auf den konkreten Fall und die konkreten Umstände an.

Aufsichtsbehörden geben Hinweise

Wie aber kann man den Löschanspruch prüfen? Gerade bei Big-Data-Projekten können sich ja viele Fallkonstellationen ergeben. Der Europäische Datenschutzausschuss, bestehend aus Vertretern der nationalen Datenschutzbehörden der EU-Länder, hat hierzu eine Richtlinie veröffentlicht und nennt darin Kriterien für das Recht auf Vergessenwerden, als Erläuterung der DSGVO. Diese Kriterien sind vielfältig und machen die Prüfung im Fall von großen Datenmengen nicht einfach, doch zumindest liefern die Richtlinien wichtige Hinweise zur Umsetzung der Löschpflichten.

Als Kriterien für das Recht auf Vergessenwerden nennen die Aufsichtsbehörden:

  • Das Recht, die Löschung zu beantragen, wenn die personenbezogenen Daten für die Verarbeitung (durch den Suchmaschinenanbieter) nicht mehr erforderlich sind
  • Das Recht, die Löschung zu beantragen, wenn die betroffene Person die Einwilligung widerruft, wenn diese die Rechtsgrundlage für die Verarbeitung (gemäß Artikel 6.1.a oder Artikel 9.2.a DSGVO) ist und wenn es keine andere Rechtsgrundlage für die Verarbeitung gibt
  • Das Recht, die Löschung zu beantragen, wenn die betroffene Person von ihrem Recht Gebrauch gemacht hat, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen
  • Das Recht, die Löschung zu beantragen, wenn die personenbezogenen Daten rechtswidrig verarbeitet wurden
  • Das Recht, die Löschung zu beantragen, wenn die personenbezogenen Daten zur Erfüllung einer gesetzlichen Verpflichtung gelöscht werden müssen
  • Das Recht, die Löschung zu beantragen, wenn die personenbezogenen Daten im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft für ein Kind erhoben wurden

Doch es gibt auch Ausnahmen bei dem Recht auf Vergessenwerden:

  • Die Verarbeitung ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich.
  • Die Verarbeitung ist erforderlich, um eine gesetzliche Verpflichtung des für die Verarbeitung Verantwortlichen zu erfüllen oder um eine Aufgabe zu erfüllen, die im öffentlichen Interesse oder bei der Ausübung der ihm übertragenen behördlichen Befugnisse zu erfüllen ist.
  • Andere rechtliche Verpflichtungen
  • Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt ausgeführt wird

Zweifellos wird es weitere Konkretisierungen und Leitlinien für die Löschpflichten im Datenschutz geben, man sollte also die Augen aufhalten. Trotzdem kann man natürlich nicht einfach auf die Umsetzung von Löschaufforderungen verzichten und sagen, man warte noch auf weitere Hinweise der Gerichte oder Aufsichtsbehörden. Wenn man einen Löschwunsch ablehnt, muss dies genau begründet und dokumentiert werden, andernfalls kann ein Verstoß gegen die DSGVO vorliegen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46303333 / Recht & Sicherheit)