Recht auf Vergessenwerden

Das sog. Recht auf Vergessenwerden wurde lange Jahre als Politikum diskutiert. Aufgrund der wachsenden Technologisierung und Digitalisierung wurde schon früh diskutiert, wie man in Zeiten des Internets seine digitalen Spuren verwischen kann. Hier setzte das Recht auf Vergessenwerden an, indem es die Möglichkeit zur Debatte stellte, Daten so zu löschen, dass der digitale Fußabdruck nicht mehr nachvollziehbar ist. Der vorliegende Beitrag soll beleuchten, was genau das Recht auf Vergessenwerden ist, welchen Weg es bis zur Rechtssetzung genommen hat und der Blick dafür insbesondere auf die Datenschutz-Grundverordnung gerichtet werden. Ebenfalls beleuchtet wird ein relativ neues Urteil des EuGH, welcher schon vor der Datenschutz-Grundverordnung über ein Teilgebiet dieser Frage entschieden hat.

Zweck und erstes Modell des Rechts auf Vergessenwerden

Das Recht auf Vergessenwerden soll im Grunde genommen nichts anderes erreichen, als die Auffindbarkeit digitaler Informationen mit einem Personenbezug dauerhaft zu verhindern. Das Modell des Rechts auf Vergessenwerden wurde dabei zunächst vom Rechts- und Politikwissenschaftler Viktor Mayer-Schönberger entworfen, welcher vorschlug, elektronisch gespeicherte Informationen mit einem Ablaufdatum zu koppeln, sodass mit Erreichen einer bestimmten Zeitspanne die Daten automatisch gelöscht werden. Der Vorteil einer solchen Lösung bestünde darin, dass es keines weiteren Löschungsvorganges bedürfen würde, sondern Daten und Informationen schlichtweg nur für eine bestimmte Zeit auffindbar wären, danach eine automatische Löschung stattfände.

Das Recht auf Vergessen werden in nationalen Gesetzen

Das Recht auf Vergessenwerden ist national momentan noch nicht ausdrücklich gesetzlich geregelt, jedoch sind in einzelnen Datenschutzgesetzen – in Deutschland bspw. im Bundesdatenschutzgesetz (BDSG) – einige Rechte implementiert worden, die von der Schlagrichtung zumindest ähnlich wirken können. Es ist bspw. gesetzlich schon geregelt, unter welchen Voraussetzungen personenbezogene Daten zu löschen sind – dies jedoch abseits einer bestimmten Zeitdauer. Den einzelnen Rechten liegen die das gesamte BDSG durchziehenden Datenschutzprinzipien zugrunde, wobei hier auf die relevanten Prinzipien der Datensparsamkeit und Datenvermeidung hingewiesen sei. Diese gehen auf die gleiche Zielrichtung wie das Recht auf Vergessenwerden zurück, indem grundsätzlich so wenig Daten wie möglich gesammelt werden sollen, um diese zu schützen. In die gleiche Richtung wie das Recht auf Vergessenwerden zielen auch Regelungen zur Speicherdauer von Straftaten und Aufbewahrungsfristen für Informationen, Ein umfassendes Recht oder gar ein Recht ohne weitere Löschungsakte ist jedoch bisher nicht national geregelt worden.

Das Recht auf Vergessen werden in der Datenschutz-Grundverordnung

Dies ändert nun die Datenschutz-Grundverordnung. Als europäische Verordnung muss sie nicht – wie beispielsweise Richtlinien der EU – erst umgesetzt werden, sondern ist ab ihrem Inkrafttreten direkt in allen Mitgliedsstaaten anwendbar. Dabei hat das Recht auf Vergessenwerden eine Berg- und Talfahrt in der Diskussion um die Datenschutz-Grundverordnung hinter sich.

Im ersten Entwurf der Datenschutz-Grundverordnung war das Recht auf Vergessenwerden zunächst eingeführt worden, um jeder Person einen Löschungsanspruch zuzugestehen, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Das Recht auf Vergessenwerden wurde für die Abstimmung am 21. Oktober 2013 dann jedoch aus dem Entwurf entfernt und auf das Recht auf Löschung beschränkt. Es wurde danach wiederum als Teil der Datenschutz-Grundverordnung begriffen. In der Version der Datenschutz-Grundverordnung vom 27. November ist es daher ausdrücklich geregelt.

Die Erwägungsgründe für das Recht auf Vergessenwerden

In den Erwägungsgründen der Datenschutz-Grundverordnung findet sich die Begründung für das Recht auf Vergessenwerden. So bestimmt Erwägungsgrund 53 zunächst:

 “A natural person should have the right to have personal data concerning them rectified and a ‘right to be forgotten’ where the retention of such data is not in compliance with this Regulation or with Union or Member State law to which the controller is subject.

 In particular, data subjects should have the right that their personal data are erased and no longer processed, where the data are no longer necessary in relation to the purposes for which the data are collected or otherwise processed, where data subjects have withdrawn their consent for processing or where they object to the processing of personal data concerning them or where the processing of their personal data otherwise does not comply with this Regulation.

 This right is in particular relevant, when the data subject has given their consent as a child, when not being fully aware of the risks involved by the processing, and later wants to remove such personal data especially on the Internet. The data subject should be able to exercise this right notwithstanding the fact that he or she is no longer a child.

 However, the further retention of the data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, for reasons of public interest in the area of public health, [for archiving purposes in the public interest, for historical, statistical and scientific purposes] or for the establishment, exercise or defence of legal claims.”

 Nach diesem Erwägungsgrund besteht der Zweck des Rechts auf Vergessenwerden also darin, dass Personen ein Recht gewährt werden soll, die Löschung ihrer personenbezogenen Daten zu verlangen und die weitere Verarbeitung zu verbieten. Als mögliche Gründe für dieses Recht wird angeführt, dass sich der Zweck der ursprünglichen Datenerhebung erledigt haben kann, die betroffene Person eine ursprüngliche Einwilligung widerrufen bzw. Widerspruch gegen die Verarbeitung eingelegt hat oder wenn die Verarbeitung einen Verstoß gegen die Datenschutz-Grundverordnung oder nationales Recht darstellt.

Besonders wichtig sei das Recht auf Vergessenwerden für solche Fälle, in denen eine ursprüngliche Einwilligung nicht von einem Volljährigen stammen. Insbesondere Kinder könnten die Folgen einer solchen Einwilligung in die Verarbeitung ihrer personenbezogenen Daten nicht in vollem Umfang absehen. Für sie ist das Recht daher besonders wichtig, auch und grade wenn sie das Erwachsenenalter erreicht haben und erst dann die als Kind abgegebenen Daten gelöscht haben möchten.

In den Erwägungsgründen findet sich jedoch ebenfalls eine Eingrenzung des Rechts auf Vergessenwerden. Dort, wo die Meinungs- und Informationsfreiheit, das öffentliche Interesse oder die Rechtsdurchsetzung die weitere Verarbeitung personenbezogener Daten nötig macht, soll das Recht auf Vergessenwerden eingeschränkt sein.

Ergänzt werden diese Ausführungen durch Erwägungsgrund 54, welcher das Recht auf Löschung als Ergänzung des Rechts auf Vergessenwerden darstellt:

(54)  To strengthen the ‘right to be forgotten’ in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such data to erase any links to, or copies or replications of that personal data. […] 


Konkret geregelt ist das Recht auf Vergessenwerden sodann in Artikel 17 der Datenschutz-Grundverordnung, dort als Right to erasure (“to be forgotten”) aufgeführt. Artikel 17 der Datenschutz-Grundverordnung bestimmt in Paragraph 1:

„The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

 the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; 


  • the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing of the data; 

  • the data subject objects to the processing of personal data pursuant to Article 19(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing of personal data pursuant to Article 19(2); 

  • they have been unlawfully processed; 

  • the data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject; 

  • the data have been collected in relation to the offering of information society services referred to in Article 8(1).” 


Nach Artikel 17 Paragraph 1 der Datenschutz-Grundverordnung ist in den aufgeführten Fällen demnach eine Löschung ohne weitere Verzögerung vorzunehmen. Dabei wird u einerseits auf die bereits in den Erwägungsgründen vorgebrachten Gründe, andererseits auf konkrete Normen Bezug genommen.

Die Paragraphen 1a und 2 sind sodann freigelassen, in Paragraph 2a ist weiterhin geregelt:

„Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the data, that the data subject has requested the erasure by such controllers of any links to, or copy or replication of that personal data.“

Hierdurch wird das Recht auf Vergessenwerden weiter ergänzt. Ist eine verarbeitende Stelle ihrer Pflicht auf Löschung nachgekommen, muss sie vertretbare Maßnahmen ergreifen, um die Verarbeitung durch nachgelagerte Stellen ebenfalls zu beenden und das Recht auf Vergessenwerden weitestgehend druchzusetzen.

Paragraph 3 setzt sodann fest, wann die Paragraphen 1 und 2 keine Anwendung finden sollen und legt damit konkrete Gründe fest, wann die bereits im Erwägungsgrund 53 angeklungene Beschränkung des Rechts auf Vergessenwerden einschlägig wird. Hierfür wird wiederum die Informations- und Meinungsfreiheit, das öffentliche Interesse in verschiedenen Bereichen und die Durchsetzung von rechtlichen Ansprüchen angebracht:

„Paragraphs 1 and 2 shall not apply to the extent that processing of the personal data is necessary:

 for exercising the right of freedom of expression and information;

  • for compliance with a legal obligation which requires processing of personal data by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; 

  • for reasons of public interest in the area of public health in accordance with Article 9(2)(h) and (hb) as well as Article 9(4); 

  • for archiving purposes in the public interest or for scientific, historical, statistical and historical purposes in accordance with Article 83;
  • for the establishment, exercise or defence of legal claims.“

Umfang des Rechts auf Vergessenwerden in der Datenschutz-Grundverordnung

Nach der Datenschutz-Grundverordnung werden Daten nicht mit einem Verfallsdatum ausgestattet und somit nach Ablauf einer gewissen Zeit automatisch und überall gelöscht, sondern es wird lediglich die Zweckbindung und die Speicherfrist besser überwacht und kontrolliert werden. Das Recht auf Vergessenwerden ist damit ein konkret geregelter Löschungsanspruch für bestimmte Fälle, welcher jedoch wiederum aus (vertretbaren) Gründen der Einschränkung unterliegt.

Rezeption durch den EuGH

Zum Thema des Rechts auf Vergessenwerden ist unbedingt eine relativ neue Entscheidung des EuGH heranzuziehen. Der EuGH entschied in der Rechtssache C-131/12 einen Rechtsstreit zwischen einem spanischen Bürger und der spanischen Datenschutzbehörde AEPD sowie Google. Der Bürger hatte bei der Datenschutzbehörde eine Beschwerde gegen Google sowie eine weitverbreitete, spanische Tageszeitung eingereicht, da bei Eingabe seines Namens in die Suchmaschine des Google-Konzerns den Internetnutzern Links zu zwei Seiten der Tageszeitung vom 19. Januar bzw. 9. März 1998 angezeigt wurde, die eine Anzeige enthielten, in der unter Nennung des Namens des spanischen Bürgers auf die Versteigerung eines Grundstücks im Zusammenhang mit einer wegen Forderungen der Sozialversicherung erfolgten Pfändung hingewiesen wurde. Daraufhin beantragte dieser, die Tageszeitung anzuweisen, entweder die genannten Seiten zu löschen oder zu ändern, so dass die ihn betreffenden personenbezogen Daten dort nicht mehr angezeigt würden, oder zum Schutz der Daten von bestimmten, von den Suchmaschinen zur Verfügung gestellten technischen Möglichkeiten Gebrauch zu machen. Er beantragte ferner, Google anzuweisen, ihn betreffende personenbezogene Daten zu löschen oder zu verbergen, so dass diese weder in den Suchergebnissen noch in Links zur Tageszeitung erschienen. Argumentiert wurde dabei damit, dass die Pfändung seit Jahren vollständig erledigt sei und keine Erwähnung mehr verdiene.

Die spanische Datenschutzbehörde hat am 30. Juli 2010 die Beschwerde zumindest im Hinblick auf die Tageszeitung zurückgewiesen, da die Veröffentlichung der betreffenden Informationen rechtlich gerechtfertigt gewesen sei. Sie sei auf Anordnung des Arbeits- und Sozialministeriums und mit dem Ziel einer höchstmöglichen Publizität der Zwangsversteigerung und somit einer höchstmöglichen Zahl an Bietern erfolgt, womit die Veröffentlichung nicht zu beanstanden sei.

Der Beschwerde gegen Google wurde jedoch stattgegeben, da Suchmaschinenbetreiber eine Datenverarbeitung vornähmen, für die sie verantwortlich seien. Durch das Aufspüren und die Verbreitung der in Frage stehenden Daten sei das Grundrecht auf Datenschutz und die Würde der betroffenen Personen im weiteren Sinne, was auch den bloßen Willen der betroffenen Person umfasse, dass Dritte keine Kenntnis von diesen Daten hätten, beeinträchtigt worden. Der Suchmaschinenbetreiber könne zwar die Daten oder Informationen auf der betreffenden Website nicht entfernen, müsse aber die Verlinkung dahin unterlassen.

Hiergegen wendete sich wiederum Google mit gesonderten Klagen. Das betraute Gericht führte in der Verhandlung aus, es stelle sich die Frage, welche Verpflichtungen Google hinsichtlich des Schutzes personenbezogener Daten träfe. Die Antwort auf diese Frage hänge davon ab, wie die Richtlinie 95/46 im Kontext solcher Technologien, die nach ihrer Bekanntmachung aufgekommen seien, auszulegen sei. Daher müsste der EuGH mit der Auslegung betraut werden.

Der EuGH entschied in der Folge, dass Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46 dahin auszulegen sind, dass ein Suchmaschinenbetreiber wie Google zur Wahrung der in diesen Bestimmungen vorgesehenen Rechte dazu verpflichtet ist, von den generierten Suchergebnissen, die im Anschluss an eine anhand des Namens einer Person durchgeführten Suche angezeigt wird, Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Internetseiten nicht vorher oder gleichzeitig gelöscht werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Internetseiten als solche rechtmäßig ist (Rn. 88 des Urteils). Damit hat der EuGH schon vor der Datenschutz-Grundverordnung für das Teilgebiet der Suchmaschinen judiziert, dass nach Ablauf einer gewissen Zeitspanne eine Person das Recht hat, Einfluss auf die Suchergebnisse in der Weise zu nehmen, dass ein Anspruch auf die Löschung unliebsamer Links bestehe.

Fazit

Das Recht auf Vergessenwerden ist nunmehr sowohl in der EU-Datenschutz-Grundverordnung geregelt als auch vom EuGH für das Teilgebiet der Suchmaschinen anerkannt worden. Unter bestimmten Voraussetzungen besteht also ein Löschungsanspruch, welcher jedoch durch wichtige Gründe wiederum begrenzt ist. Ob für bestimmte Daten das Recht auf Vergessenwerden geltend gemacht werden kann, ist demnach eine Frage des Einzelfalles. Sollten Sie unliebsame Daten löschen wollen, wissen aber nicht, wie Sie diesen Anspruch durchsetzen können, wenden Sie sich gerne an uns. Als Fachanwälte für das Informationstechnologierecht helfen wir Ihnen, Ihr gutes Recht auf den Schutz ihrer personenbezogenen Daten durchzusetzen und stehen Ihnen mit Rat und Tat zur Seite!

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*