Bei einer kostenpflichtigen App werden sensible Gesundheitsdaten verarbeitet. In Folge einer Lösch- anfrage sollen die Daten gelöscht und nicht mehr gesperrt vorgehalten werden. Kann das Löschen per AGB geregelt werden kann?
Art. 17 DSGVO - Recht auf Löschung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Wann kann ein Antrag auf Löschung gestellt werden?
Um eine Löschung nach Art. 17 DSGVO durchsetzen zu können, muss einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Werden die Daten z.B. im Rahmen einer ärztlichen Behandlung gespeichert, kann nicht willkürlich eine Löschung beantragt werden, da seitens der Ärztekammer eine Aufbewahrungsfrist ärztlicher Aufzeichnungen von mindestens 10 Jahren vorgeschrieben ist,
vgl. § 10 Abs. 3 BO.
Werden sensible Gesundheitsdaten z. B. aber in einer privaten und freiwillig verwendeten Fitness-App gespeichert, kann der Betroffene die Löschung der Daten verlangen.
Ergebnis: Die gesetzliche Grundlage für das Recht auf Löschung ergibt sich aus der DSGVO.
In AGB kann nichts Gegenteiliges geregelt werden.
Nein, prinzipiell ändert eine Anonymisierung der Daten nichts. Zweck und Rechtsgrundlage müssen ja zum Zeitpunkt der Datenerhebung vorgelegen haben (und andauern).
Mit einer Anonymisierung dürfte sich beides ändern.
Hier stellt sich zudem die Frage, ob eine Anonymisierung von sensiblen Gesundheitsdaten überhaupt möglich wäre, wenn der Personenbezug bereits vorhanden war. Es wäre vermutlich lediglich eine Pseudonymisierung (Art. 4 DSGVO) umsetzbar.
Ausweg: Einwilligung des Betroffenen
Stand: 14.09.2022
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
