Kann das Löschen von personenbezogenen Daten per AGB geregelt werden kann? 

Bei einer kostenpflichtigen App werden sensible Gesundheitsdaten verarbeitet. In Folge einer Lösch- anfrage sollen die Daten gelöscht und nicht mehr gesperrt vorgehalten werden. Kann das Löschen per AGB geregelt werden kann? 

Wie werden Löschungsfristen in der DSGVO geregelt?

Art. 17 DSGVO - Recht auf Löschung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Wann kann ein Antrag auf Löschung gestellt werden?

Um eine Löschung nach Art. 17 DSGVO durchsetzen zu können, muss einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Werden die Daten z.B. im Rahmen einer ärztlichen Behandlung gespeichert, kann nicht willkürlich eine Löschung beantragt werden, da seitens der Ärztekammer eine Aufbewahrungsfrist ärztlicher Aufzeichnungen von mindestens 10 Jahren vorgeschrieben ist,
vgl. § 10 Abs. 3 BO.

Werden sensible Gesundheitsdaten z. B. aber in einer privaten und freiwillig verwendeten Fitness-App gespeichert, kann der Betroffene die Löschung der Daten verlangen.


Ergebnis: Die gesetzliche Grundlage für das Recht auf Löschung ergibt sich aus der DSGVO.
In AGB kann nichts Gegenteiliges geregelt werden.

Würde sich etwas  ändern, wenn die Daten nach der Löschaufforderung anonymisierten gespeichert werden?

Nein, prinzipiell ändert eine Anonymisierung der Daten nichts. Zweck und Rechtsgrundlage müssen ja zum Zeitpunkt der Datenerhebung vorgelegen haben (und andauern).
Mit einer Anonymisierung dürfte sich beides ändern.

Hier stellt sich zudem die Frage, ob eine Anonymisierung von sensiblen Gesundheitsdaten überhaupt möglich wäre, wenn der Personenbezug bereits vorhanden war. Es wäre vermutlich lediglich eine Pseudonymisierung (Art. 4 DSGVO) umsetzbar.

Ausweg: Einwilligung des Betroffenen

Stand: 14.09.2022

Gibt es ein Recht auf Löschung von SCHUFA-Einträgen?

Was steht im Urteil des OLG Stuttgart vom 10.08.2022? (9 U 24/22)

Urteil des OLG Stuttgart (9 U 24/22)

Sachverhalt:

A bekam vom Amtsgericht München aufgrund seiner geleisteter Zahlung im Rahmen seines Verbraucher-Insolvenzverfahrens nach drei Jahren vorzeitig Restschuldbefreiung.  Diese Informationen wurden öffentlich unter www.insolvenzbekanntmachungen.de veröffentlicht. Die beklagte SCHUFA entnahm diese (und weitere ihr verfügbare) Daten über den Kläger, speicherte sie und machte sie ihren Vertragspartners zugänglich, sofern diese ein berechtigtes Interesse an der Kreditfähigkeit des Klägers darlegen konnten.

Auf der Grundlage des von der SCHUFA angewendeten sog. Code of Conduct für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien, vorgelegt vom Verband „Die Wirtschaftsauskunfteien e.V.“ (nachfolgend: CoC, Anl. B4) löscht die SCHUFA personenbezogene Daten taggenau drei Jahre nach Ausgleich gespeicherter Forderungen bzw. - nach Antrag betroffener Personen - wenn die Speicherung nach individueller Prüfung nicht mehr erforderlich ist.

Der Kläger hält eine 6-Monatsfrist für ausreichend. Eine darüber hinausgehende Speicherung seiner Daten sei rechtswidrig. Ausschlaggebend sei § 3 Abs. 1 f. InsBekV, wonach diese Daten aus dem Portal www.insolvenzbekanntmachungen.de nach 6 Monaten zwingend zu löschen sind. Sein Hauptargument: Die weitere Speicherung erschwere ihm entgegen dem mit der Restschuldbefreiung verfolgten Zweck eines wirtschaftlichen Neustarts die Teilnahme am Wirtschaftsleben, obwohl er sich während der Wohlverhaltensperiode vorbildlich verhalten und so viele Schulden getilgt habe, dass die Restschuldbefreiung vorzeitig erteilt worden sei. Insbesondere sei ihm die Finanzierung einer Wohnung oder eines Hauses sowie eines neuen Autos ebenso wenig möglich wie die Überziehung seines Kontos, obwohl es keine gesicherten wissenschaftlichen Erkenntnisse über konkrete Neuverschuldungen mit Zahlungsausfällen und Insolvenzen innerhalb von drei Jahren nach der Restschuldbefreiung gebe.

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Begründung:

Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig.

Danach muss die im Rahmen der nach Art. 6 Abs. 1 lit. f) DSGVO vorzunehmenden, konkreten Interessenabwägung zugrunde zu legenden Interessen der Betroffene selbst darlegen. Denn aus der Formulierung der Verarbeitungsbeschränkung in Art. 6 Abs.1 lit. f), 2. Halbs. DSGVO „[…] sofern nicht […]“ ergibt sich ein - vom Betroffenen zu widerlegendes - Regel-Ausnahme-Verhältnis für die Zulässigkeit der zur Wahrung berechtigter Interessen erforderlichen Datenverarbeitung. Diese ist nach Art. 6 Abs. 1 lit. f) DSGVO gerade dann rechtmäßig i. S. d. Art. 5 Abs. 1 DSGVO, wenn sie zur Wahrung berechtigter Interessen erfolgt und die Interessen und Rechte der betroffenen Person nicht überwiegen. Nach der Systematik ist die Verarbeitung also immer dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist, selbst wenn Interessen des Betroffenen gegenüberstehen, solange diese nur gleichwertig sind.

Sie wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt
(so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Vorliegend konnte der Kläger kein überwiegendes Interesse und keine überwiegenden Rechte nachweisen.

Ergebnis:

Die Verarbeitung durch die Beklagte erfolgte aus Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung ihrer eigenen sowie der berechtigten Interessen ihrer Vertragspartner als Dritte, ohne dass überwiegende Interessen des Klägers dem entgegenstehen würde.

(Vorzeitiger) Löschungsantrag ist gescheitert.

Gegenteilige Auffassung:

OLG-Schleswig, Urteil vom 02.07.2021

Die Sache ist vor dem BGH anhängig!

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Fazit:

Eine Verarbeitung personenbezogener Daten, wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt (so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Stand: 14.09.2022

Löschungsfristen: Muss ein Kunde die Löschung seiner Daten aus unserem Kundenstamm schriftlich beantragen?

Was steht im Art. 17 Abs.1 DSGVO bzgl. Löschungsfristen?

Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Muss ein Kunde die Löschung seiner Daten aus unserem Kundenstamm schriftlich beantragen?

Nein, ein Antrag auf Löschung kann formlos erfolgen
(d.h. auch per Telefon, per E-Mail oder schriftlich).

Welche Richtlinien oder Vordrucke müssen beachtet werden?

Grundsätzlich:

Einem Löschantrag muss unverzüglich (ohne schuldhaftes Zögern) nachgekommen werden.

Die Antwort, dass ordnungsgemäß gelöscht wurde (oder dass eine Löschung noch nicht möglich ist (z.B. weil Aufbewahrungsverpflichtungen aus gesetzlichen Gründen bestehen)), sollte in jedem Fall in Textform (also mindestens E-Mail) erfolgen.

Vor allem:

1. Prüfen, wer die Rechte geltend macht? Z.B. bei Todesfall: ist die Person Erbe und daher befugt, den Widerruf einer Einwilligung zu beantragen? Anderenfalls muss aber ohnehin geprüft werden, ob noch eine Rechtsgrundlage besteht, die Daten aufzubewahren.

2. Welche Daten sind eigentlich wo gespeichert: Überblick verschaffen 3. Antwort verfassen mit Bestätigung oder Ablehnung der Löschung

Stand: 22.06.2022

Hohes Bußgeld gegen die Danske Bank – was ist da der Hintergrund?

Die dänische Datenschutzbehörde stellt fest, dass die Danske Bank nicht in der Lage war zu dokumentieren, dass sie personenbezogene Daten gemäß den Datenschutzbestimmungen gelöscht hat. Die Behörde hat der Bank daher eine Geldstrafe von 10 Millionen DKK auferlegt.

Bei einem aufsichtsrechtlichen Verfahren der dänischen Datenschutzbehörde hat sich herausgestellt, dass die Bank in mehr als 400 Systemen nicht in der Lage war, zu dokumentieren, dass Regeln für die Löschung und Speicherung personenbezogener Daten festgelegt wurden oder dass personenbezogene Daten manuell gelöscht wurden. Diese Systeme verarbeiten personenbezogene Daten von Millionen von Menschen.

„Eine der Grundprinzipien der DSGVO ist, dass man nur personenbezogene Daten verarbeiten darf, die man benötigt – und wenn man sie nicht mehr benötigt, müssen sie gelöscht werden. Bei einer Organisation von der Größe der Danske Bank, die über viele und komplexe Systeme verfügt, ist es besonders wichtig, dass man auch dokumentieren kann, dass die Löschung tatsächlich erfolgt ist“, sagt Kenni Elm Olsen, Fachberater bei der dänischen Datenschutzbehörde.

Stand: 01.06.2022

Welche Regeln gelten bei einem Löschkonzept bzgl. Archive und Backups?

Welche Vorschriften gelten für ein Löschkonzept?

Art. 17 DSGVO regelt die Löschung von Daten.

Diese Punkte sollten in einem Löschkonzept berücksichtigt werden:

Gibt es ein Muster für ein gutes Löschkonzept?

Es gibt kein universelles Muster für ein Löschkonzept.

Jedes Löschkonzept ist unternehmensspezifisch, und kann auch je nach Abteilung sehr unterschiedlich aussehen.

LiiDU-Tipp:

Löschkonzept Schritt für Schritt in einer Excel-Tabelle erstellen:

Alle Punkte der vorherigen Folie Punkt für Punkt durchgehen und sich von Unternehmensbereich zu Unternehmensbereich vorarbeiten.

Wie ist der richtige Umgang mit Archiven und Backups?

Stand: 25.05.2022

Welche Löschfristen gelten für Fotografien, die Bildnisse zeigen?

Folgende Gesetze müssen hier zur Beantwortung hinzugezogen werden:

UrhG: Urheberrecht besteht 70 Jahre bei Fotografien (§ 64 UrhG);
hat mit Löschungspflichten nichts zu tun, sondern nur mit Urheberrechten, v.a. Verwertungsrechten nach §§ 15 ff. UrhG

KUG: bei Bildnissen muss eine Einwilligung vorliegen nach § 22 KUG oder eine Ausnahme nach § 23 KUG. Wenn Einwilligung widerrufen wird --> Löschung!

DSGVO: Löschung bei Zweckerreichung oder Wegfall des Zwecks, oder die anderen Gründe des Art. 17 DSGVO

Stand: 06.04.2022

Eine Bürgerin möchte, dass ihre Daten aus dem Internet gelöscht werden. Was ist zu tun?

BETROFFENENRECHTE:

Eine Bürgerin möchte jetzt, dass ihre Daten, die 2015 in einem Amtsblatt einer Gemeinde standen, weil sie Dozentin von Bildungsveranstaltungen der VHS der Gemeinde war, komplett aus dem Internet gelöscht werden. Diesem Wunsch ist die Gemeinde nachgekommen, soweit sie Zugriff hatten.

Allerdings wurde das PDF auch auf Websites wie docplayer.org und kipdf.com hochgeladen, was nicht die Gemeinde gemacht hat.

Die beiden Websites sind britisch bzw. amerikanisch und haben kein Impressum, keine Kontaktdaten bzw. es wird auf eine Mail an info@... nicht reagiert.

Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung

im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?

Hier muss unterschieden werden:

Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites außerhalb Europas befindet und nicht zu erreichen ist?

Evtl. Recht auf Vergessenwerden, Art. 17 DSGVO à Antrag bei Google, die Listung der Inhalte zu löschen.

Google entscheidet nach dem Löschungsantrag über die Entfernung. Gute Aussichten auf Löschung haben Grundrechtsverletzungen. Hier ist das informationelle Selbstbestimmungsrecht der betroffenen Dozentin betroffen à Inhalt im Netz ist zu löschen.

Wird Löschungsantrag abgelehnt: betroffene Person kann sich an die zuständige Aufsichtsbehörde der Suchmaschine wenden.

Wie ist die Rechtslage, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat und/oder es einen Vertrag darüber gibt?

Bei einem Vertrag über die Leistungen der Dozentin, sollte auch die Veröffentlichung eines Fotos, Ihres Namens etc. geregelt werden. Je klarer die diesbezügliche Regelung, desto besser.

Falls das nicht der Fall ist, muss der Vertrag ausgelegt werden.

Stand: 23.03.2022