Was ist Artikel 17 der DSGVO (Recht auf Löschung) und 4 Möglichkeiten zur Einhaltung

Artikel 17 der DSGVO, auch bekannt als „Recht auf Löschung“ oder „Recht auf Vergessenwerden“, ist ein Abschnitt der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, der es Einzelpersonen ermöglicht, die Löschung ihrer personenbezogenen Daten aus der Datenbank einer Organisation zu verlangen. Dieses Recht ist integraler Bestandteil der DSGVO, die darauf abzielt, Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten zu geben.

Das Recht auf Löschung gibt Einzelpersonen die Möglichkeit, dafür zu sorgen, dass ihre personenbezogenen Daten nicht mehr verarbeitet werden. In manchen Fällen ist damit auch die vollständige Entfernung der Daten aus allen Aufzeichnungen, einschließlich der Aufzeichnungen von Drittanbietern, verbunden.

Artikel 17 stellt kein absolutes Recht dar, kann aber unter bestimmten Bedingungen ausgeübt werden. Gründe für die Löschung sind beispielsweise Situationen, in denen die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind oder wenn die betroffene Person ihre Einwilligung widerruft und keine anderen legitimen Gründe für die Datenverarbeitung vorliegen.

Zu Ihrer Information hier der Einleitungstext von Artikel 17 der DSGVO:

„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.“

Erfahren Sie mehr über die Auswirkungen von KI auf die Cybersicherheit: KI-Cybersicherheit: Schutz von KI-Systemen vor Cyberbedrohungen.

Das Recht auf Löschung (Recht auf Vergessenwerden) verstehen

Gründe für die Löschung

Einzelpersonen können unter verschiedenen Voraussetzungen die Löschung personenbezogener Daten verlangen. Ein wichtiger Grund liegt vor, wenn die Daten für den ursprünglichen Erhebungszweck nicht mehr benötigt werden. Mit der Zeit nimmt die Relevanz bestimmter Datenpunkte ab, sodass ihre Aufbewahrung unnötig und aus Datenschutzsicht potenziell riskant wird. Ein weiterer gültiger Grund liegt vor, wenn eine Person die Einwilligung, auf der die Datenverarbeitung beruhte, widerruft und keine anderen Rechtsgrundlagen eine weitere Verarbeitung rechtfertigen.

Weitere Bedingungen sind beispielsweise Fälle, in denen Daten unrechtmäßig verarbeitet wurden oder aufgrund gesetzlicher Verpflichtungen gelöscht werden müssen. Widerspricht eine Person der Verarbeitung und liegen keine zwingenden berechtigten Gründe für eine Fortsetzung vor, müssen die Verantwortlichen dem Löschungsantrag nachkommen. Diese Kriterien stellen sicher, dass die Datenverarbeitung weiterhin zweckgebunden und rechtlich gerechtfertigt ist und die Datenschutzrechte der betroffenen Person gewahrt bleiben.

Verantwortlichkeiten des Verantwortlichen für öffentliche Daten

Verantwortliche haben besondere Pflichten, wenn personenbezogene Daten öffentlich zugänglich gemacht werden. Nach Erhalt eines Löschungsantrags müssen sie die Daten nicht nur aus ihren eigenen Systemen löschen, sondern auch angemessene Schritte unternehmen, um andere Verantwortliche, die die Daten verarbeiten, über den Löschungsantrag zu informieren. Dies erweitert den Umfang des Rechts auf Löschung erheblich.

Diese Verantwortung, die Löschung auf Dritte auszudehnen, wird jedoch durch eine Angemessenheitsprüfung abgewogen. Verantwortliche müssen die Durchführbarkeit und den Aufwand für die Kontaktaufnahme mit jedem Dritten abwägen. In der Praxis erfordert dies häufig eine Einzelfallbeurteilung, um den Umfang der ergriffenen Maßnahmen zu bestimmen.

Ausnahmen vom Recht auf Löschung

Obwohl das Recht auf Löschung umfassend ist, gibt es bemerkenswerte Ausnahmen. Unternehmen sind nicht verpflichtet, Daten zu löschen, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung, beispielsweise der Einhaltung von Steuergesetzen oder behördlichen Vorschriften, erforderlich ist.

Das Recht besteht zudem nicht, wenn die Daten für die Wahrnehmung von Aufgaben im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt erforderlich sind, um sicherzustellen, dass wesentliche gesellschaftliche Funktionen nicht beeinträchtigt werden. Eine weitere wichtige Ausnahme stellt die Verteidigung von Rechtsansprüchen dar. Daten müssen aufbewahrt werden, wenn sie für ein Gerichtsverfahren oder zur Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs erforderlich sind.

Best Practices zur Sicherstellung der Einhaltung von Artikel 17 der DSGVO

1. Datenverarbeitung verstehen und dokumentieren

Um die Einhaltung von Artikel 17 sicherzustellen, sollten Unternehmen das Verständnis und die Dokumentation aller Datenverarbeitungsaktivitäten priorisieren. Dies erfordert die Erstellung eines umfassenden Inventars aller gesammelten Daten sowie die Identifizierung der Gründe für deren Erhebung und der Rechtsgrundlage für deren Verarbeitung. Eine gut dokumentierte Datenübersicht hilft nicht nur bei der effizienten Bearbeitung von Löschanfragen, sondern verbessert auch die allgemeine Datenverwaltung.

Eine effektive Dokumentation umfasst die Kategorisierung von Daten nach Sensibilität, Aufbewahrungsfristen und damit verbundenen Risiken. Regelmäßige Audits sollten durchgeführt werden, um diese Aufzeichnungen konsistent zu aktualisieren. Durch die Implementierung eines systematischen Ansatzes zur Aufzeichnungsführung können Unternehmen schnell feststellen, ob bestimmte Daten gelöscht werden müssen, und so die rechtzeitige Einhaltung von Löschanforderungen sicherstellen.

2. Implementieren Sie klare Richtlinien zur Datenlöschung

Klare und klar definierte Richtlinien zur Datenlöschung sind für die Einhaltung von Artikel 17 unerlässlich. Diese Richtlinien müssen die Bearbeitung von Löschanfragen detailliert beschreiben, einschließlich der Überprüfung der Identität des Antragstellers und der Legitimität der Anfrage. Detaillierte Richtlinien stellen sicher, dass jede Anfrage zeitnah und korrekt bearbeitet wird, um Fehler oder Verzögerungen zu vermeiden, die zu Verstößen führen könnten.

Unternehmen sollten zudem standardisierte Verfahren für die systematische Schulung ihrer Mitarbeiter zu Datenlöschprotokollen einrichten. Dazu können regelmäßige Workshops und E-Learning-Module gehören, um die Mitarbeiter über die neuesten gesetzlichen Anforderungen und internen Richtlinien auf dem Laufenden zu halten.

3. Ermöglichen Sie einfache und transparente Löschanfragen

Die Ermöglichung einfacher und transparenter Löschanfragen ist für die Einhaltung der Vorschriften von entscheidender Bedeutung. Unternehmen sollten den betroffenen Personen unkomplizierte und zugängliche Möglichkeiten zur Einreichung ihrer Anfragen bieten. Dies kann Online-Formulare, dedizierte E-Mail-Adressen oder Kundenservice-Hotlines umfassen, die speziell für die Bearbeitung von Datenschutzanfragen eingerichtet sind.

Ebenso wichtig ist die Transparenz bei der Kommunikation des Status von Löschanfragen. Kontinuierliche Updates zum Fortschritt der Anfragen fördern das Vertrauen und demonstrieren das Engagement eines Unternehmens für die Einhaltung der DSGVO. Klare Kommunikation verhindert Missverständnisse und stellt sicher, dass die Betroffenen wissen, welche Schritte zur Bearbeitung ihrer Anfragen unternommen werden.

4. Überwachung und Prüfung der Compliance

Unternehmen sollten ihre Datenschutzrichtlinien und -praktiken regelmäßig überprüfen. Dazu gehört auch die Kontrolle, ob Löschanfragen innerhalb der vorgegebenen Fristen bearbeitet und alle Rechte der betroffenen Personen gewahrt werden. Audits helfen, Lücken und Schwachstellen im Prozess zu identifizieren und ermöglichen so rechtzeitige Korrekturmaßnahmen.

Die Festlegung von Key Performance Indicators (KPIs) im Zusammenhang mit der Datenlöschung kann zu kontinuierlichen Verbesserungen führen. Kennzahlen wie die Anzahl der eingegangenen Löschanfragen, die Bearbeitungszeit und etwaige Verstöße liefern wertvolle Erkenntnisse, die Unternehmen zur Optimierung ihrer Datenverarbeitungsverfahren nutzen können.

DSGVO-Konformität mit Exabeam

Exabeam unterstützt Unternehmen dabei, sowohl die technologischen als auch die betrieblichen Anforderungen der DSGVO zu erfüllen, darunter:

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt maschinelles Lernen und Verhaltensanalysen, um ungewöhnliche Aktivitäten zu identifizieren, die auf den Versuch eines Angreifers hindeuten könnten, Daten zu finden und darauf zuzugreifen. Die Bedrohungszeitleisten Exabeam kombinieren Ereignisse aus Anomalien und Korrelationsregeln, um Ereignisse nach Benutzer oder Gerät zu gruppieren.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenzielle Vorfälle zu erkennen, die zu Datendiebstahl führen könnten. Ideale Protokollquellen, die Anwendungsfällen zugeordnet sind, und das MITRE ATT&CK ^Ⓡ-Framework zeigen, welche Tools im Sicherheitsarsenal kombiniert werden können, um ein klares Bild der Ereignisse zu zeichnen.

Visualisierung und Dashboards: Exabeam bietet klare, Compliance-basierte DSGVO-Dashboards zum einfachen Herunterladen, Exportieren oder regelmäßigen Versenden per E-Mail zur Unterstützung der DSGVO-Vorgaben und der Anforderungen des Datenschutzbeauftragten.