Worum geht's?
Die Datenschutzgrundverordnung regelt den Umgang mit personenbezogenen Daten und gibt Personen verschiedene Werkzeuge in die Hand, die eigenen Daten besser zu schützen. Betroffenenrechte wie das Recht auf Löschung (Art. 17 DSGVO) und das Recht auf Berichtigung (Art. 16 DSGVO) dienen der Information und Transparenz und schützen die im Grundgesetz festgehaltene informelle Selbstbestimmung. Doch auch wenn die DSGVO die Rechte klar regelt, stellt es viele Unternehmen vor Herausforderungen, diesen auch nachzukommen. Welche Rechte Betroffene haben und wie Unternehmen reagieren sollten, wenn das Recht auf Löschung oder Berichtigung eingefordert wird, lesen Sie jetzt.
1. Was ist das Recht auf Löschung? Art. 17 DSGVO
Laut Datenschutzgrundverordnung (DSGVO) stehen Betroffenen verschiedene Betroffenenrechte zu. Dazu gehört neben dem Recht auf Auskunft (Art. 15 DSGVO), Einschränkung der Bearbeitung, Datenübertragbarkeit (Art. 20 DSGVO) und Berichtigung auch das Recht auf Löschung.
In der Datenschutzgrundverordnung ist dieses Betroffenenrecht unter Art. 17 DSGVO zu finden. Es sagt Betroffenen zu, dass diese unter bestimmten Voraussetzungen das Recht haben, von Unternehmen, Behörden oder anderen Stellen, die von ihnen personenbezogene Daten erheben, verarbeiten und speichern, eine Löschung dieser Daten zu verlangen – und zwar beispielsweise in folgenden Fällen:
- Die erhobenen personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre erteilte Einwilligung in die Datenerhebung.
- Die erhobenen Daten wurden unrechtmäßig erhoben oder verarbeitet.
- Es gibt keine geltende Rechtsgrundlage für die Erhebung und Speicherung der Daten (sog. „Erfüllung einer rechtlichen Verpflichtung“)
- Die Person hat zulässig Widerspruch gegen die Verarbeitung eingelegt (nur in gesonderten Fällen).
Das Recht bzw. den Anspruch auf Löschung der Daten gemäß Artikel 17 DSGVO müssen Betroffene gegen den Verantwortlichen geltend machen. Das können etwa Unternehmen sein, die im Rahmen ihrer Geschäftstätigkeit Daten erheben, aber auch Behörden oder Privatpersonen.
Als Betroffene im Sinne der DSGVO zählen etwa Kunden, Websitebesucher, Mitarbeiter eines Unternehmens oder Kandidaten, die sich auf eine offene Stelle bewerben. In jedem Fall muss es eine natürliche Person sein – für Unternehmen, Vereine oder sonstige Personenzusammenschlüsse gilt das Recht auf Löschung nicht.
Praxis-Tipp
Artikel 17 DSGVO bzw. das Recht auf Datenlöschung umfasst auch das „Recht auf Vergessenwerden“. Hierbei geht es nicht nur um die Löschung der personenbezogenen Daten durch den Verantwortlichen, sondern auch durch Dritte. Sind die Daten beispielsweise im Zuge einer Presseberichterstattung in (Online-)Medien veröffentlicht oder durch Verweise in Suchmaschinen wie Google auffindbar, haben Betroffene das Recht, dass auch diese Informationen gelöscht werden.
2. Was ist das Recht auf Berichtigung? Art. 16 DSGVO
Neben dem Recht auf „Vergessenwerden“ und Löschung sieht die DSGVO ein Recht auf Berichtung vor, wenn gespeicherte personenbezogene Daten nicht korrekt oder unvollständig sind. Das Recht auf Berichtung ist in Art. 16 DSGVO geregelt.
Wie beim Recht auf Löschung der DSGVO richtet sich der Anspruch auch hier gegen die verantwortliche Stelle, die die Daten des Betroffenen speichert und verarbeitet – also etwa ein Unternehmen, eine öffentliche Behörde oder auch eine Privatperson.
Ist der Anspruch gerechtfertigt – sind also die gespeicherten Daten falsch oder unvollständig – ist der Verantwortliche zur unverzüglichen Korrektur verpflichtet.
- Die Daten sind nicht korrekt, weil sie mit der Realität nicht übereinstimmen. Hat eine Person beispielsweise geheiratet und den Namen ihres Ehepartners angenommen, hat sie ein Recht auf Korrektur des alten Namens. Dieses Recht auf Berichtung unwahrer Tatsachen besteht auch dann, wenn die Person selbst dafür verantwortlich ist, dass die betreffenden Daten nicht korrekt vorliegen.
- Die Daten sind unvollständig, weil sie zwar objektiv richtig sind, es aber an wichtigen Informationsbestandteilen fehlt, wodurch der mit der Verarbeitung verfolgte Zweck nicht mehr erreicht werden kann. Liegen z. B. Auskunfteien wie der Schufa unvollständige Angaben vor, kann es passieren, dass die Kreditwürdigkeit oder das Zahlungsverhalten der betroffenen Person negativ bewertet wird. Der Betroffene kann dann die Berichtigung dieser Daten verlangen.
Fordert der Betroffene sein Recht auf Berichtung gemäß Art. 16 DSGVO ein, muss das verantwortliche Unternehmen (oder die Behörde, Privatperson) dem Anspruch unverzüglich nachkommen und die Daten berichtigen bzw. vervollständigen.
3. Wann und wie schnell müssen Unternehmen die Daten von Betroffenen berichtigen oder löschen?
Hat die betroffene Person einen rechtmäßigen Anspruch auf Berichtung oder Löschung ihrer personenbezogenen Daten gemäß DSGVO, muss das verantwortliche Unternehmen handeln. Konkret heißt das:
- Unrichtige Tatsachen sind zu korrigieren.
- Unvollständige Daten sind zu vervollständigen (sofern sie für den Zweck der Datenverarbeitung notwendig sind).
- Daten müssen aktuell gehalten werden.
- Die betreffenden Daten sind unverzüglich zu berichtigen bzw. zu löschen.
Unternehmen, die mit der Geltendmachung, Ausübung oder Verteidigung von Betroffenenrechten wie dem Recht auf Datenlöschung oder dem Recht auf Berichtung konfrontiert werden, wissen oftmals nicht, wie schnell sie den Forderungen nachkommen müssen – auch weil die DSGVO keinen konkreten Zeitrahmen dafür festlegt.
Stattdessen heißt es in der Datenschutzgrundverordnung, dass die Verantwortlichen einem geltend gemachten Anspruch auf Berichtigung fehlerhafter Daten unverzüglich nachkommen müssen – das heißt „ohne schuldhaftes Verzögern“. Ein klarer Zeitrahmen ist das aber noch immer nicht.
Unternehmer können hier folgende Faustregel hinzuziehen: Verlangt jemand von Ihnen, fehlerhafte oder unvollständige Daten zu berichtigen (Art. 16 DSGVO), sollten Sie innerhalb von zwei Wochen tätig werden. Bei einem Löschungsanspruch (Art. 17 DSGVO) müssen Sie innerhalb von vier Wochen reagieren. Es kommt hier wie so oft auf den Einzelfall an: An eine Privatperson, die personenbezogene Daten verarbeitet, werden nicht die gleichen Maßstäbe angelegt wie an ein Unternehmen mit eigener IT- und Datenschutz-Abteilung.
Was Sie ebenfalls nicht vergessen sollten: Gemäß Datenschutzgrundverordnung ist die Rechenschaftspflicht einzuhalten. Das heißt: Ändern, berichtigen oder löschen Sie personenbezogene Daten, muss jederzeit nachvollziehbar sein, wer das aus welchem Grund getan hat.
4. Wann gilt das Recht auf Löschung und Berichtigung nicht?
Auch wenn die DSGVO die Rechte von Betroffenen besonders schützt, indem sie ihnen unter anderem ein Recht auf Berichtung und Löschung zusteht, gibt es Ausnahmefälle, in denen die Rechte nicht greifen:
- Der Löschungsanspruch entfällt, wenn andere Gesetze eine fortdauernde Datenspeicherung verlangen. So müssen Unternehmen z. B. Rechnungen 10 Jahre lang aufbewahren. In dieser Zeit kann ein Kunde nicht darauf bestehen, dass diese Rechnung – und damit seine personenbezogenen Daten wie Lieferadresse oder Bankdaten – gelöscht werden.
- Das Recht auf Berichtung kann in Ausnahmenfällen durch staatliche Stellen eingeschränkt werden. Darunter fallen etwa Aspekte der nationalen oder öffentlichen Sicherheit, die Verfolgung von Straftaten oder die Landesverteidigung.
Greift laut DSGVO das Recht auf Löschung oder auf Berichtung nicht, muss das für die Datenerhebung verantwortliche Unternehmen (Privatperson, Behörde) die betroffene Person darüber informieren und die Ablehnung begründen. Die Datenschutzgrundverordnung sieht hierfür eine Frist von einem Monat nach Eingang des Antrags auf Korrektur oder Löschung vor. Als Unternehmen müssen Sie den Betroffenen zudem über sein Recht aufklären, Beschwerde bei einer Aufsichtsbehörde einzulegen.
Und was ist mit dem Widerspruchsrecht der DSGVO?
In besonderen Fällen können Betroffene der (eigentlich rechtmäßigen) Verarbeitung ihrer Daten komplett widersprechen. Damit das strikte Widerspruchsrecht von Art. 21 DSGVO greift, dürfen die Gründe für den Widerspruch jedoch nicht in der Datenverarbeitung selbst, sondern in der betroffenen Person liegen. Der Widerspruch gegen die Verarbeitung muss begründet werden. Eine Ausnahme besteht bei Direktwerbung: Hier kann das Widerspruchsrecht gemäß DSGVO auch ohne eine besondere Situation und ohne Begründung durch die betroffene Person eingefordert werden.
5. Wie muss ein Antrag auf Berichtigung oder Löschung aussehen?
Für einen Antrag auf Berichtung oder Löschung personenbezogener Daten sieht die DSGVO keine vorgeschriebene Form vor. Das bedeutet, der Anspruch kann durch die betroffene Person mündlich, am Telefon, per E-Mail oder postalisch geltend gemacht werden.
Klar ist aber: Verarbeiten Sie als Unternehmen persönliche Daten Ihrer Kunden, Mitarbeiter, Bewerber oder sonstigen Dritten elektronisch, müssen Sie in jedem Fall eine Möglichkeit für eine elektronische Antragstellung bieten.
Liegt Ihnen ein Antrag auf Berichtung falscher oder unvollständiger Daten vor, müssen Sie die betroffene Person spätestens einen Monat nach Eingang des Antrags darüber informieren, welche Maßnahmen Sie für die Datenkorrektur ergriffen haben. Können Sie die Frist nicht einhalten, müssen Sie dies dem Antragsteller gegenüber begründen.
6. Wie sollten Unternehmen mit Betroffenenrechten umgehen?
Auch wenn die DSGVO klar regelt, welche Rechte Verbraucher, Kunden, Mitarbeiter, Bewerber oder sonstige Dritte beim Umgang mit ihren Daten haben, ist häufig nicht klar, wie mit einer entsprechenden Anfrage umzugehen ist und was Unternehmen nach der DSGVO intern alles regeln müssen.
Das liegt auch daran, dass oftmals unterschiedliche Abteilungen und Bereiche des Unternehmens involviert sind, wenn es darum geht, Betroffenenrechten nachzukommen. Hier hilft ein Blick in Art. 12 DSGVO weiter. Landet ein Antrag auf Berichtigung oder Löschung personenbezogener Daten im Unternehmenspostfach, sollten Sie wie folgt vorgehen:
- Konkreter Anspruch: Prüfen Sie, welchen Anspruch der Antragsteller geltend macht (z. B. Recht auf Datenlöschung, Berichtigung, Auskunft DSGVO). Auch mehrere Rechte können in einem Antrag eingefordert werden.
- Zuständigkeit: Kontrollieren Sie die Zuständigkeit: Sind Sie der korrekte Ansprechpartner des Betroffenen? Organisieren Sie ggf. eine Weiterleitung der Anfrage an die verantwortliche Stelle.
- Identitätsfeststellung: Vergewissern Sie sich, dass die antragstellende Person die ist, die sie vorzugeben scheint: Wurden überhaupt Daten der Person verarbeitet? Stimmen die im Unternehmenssystem hinterlegten Daten überein? Falls nicht, prüfen Sie, wie eine zweifelsfreie Identitätsfeststellung möglich ist (z. B. durch Anforderung einer Ausweiskopie) und fragen Sie nach, welche Daten gemeint sind.
- Negativauskunft: Hat Ihr Unternehmen keine personenbezogenen Daten über den Antragsteller gespeichert, versenden Sie eine Negativauskunft, in der Sie ihn darüber aufklären.
- Interessenskollision: Stellen Sie sicher, dass die Anfrage des Betroffenen weder die Rechte anderer Personen noch Betriebsgeheimnisse o. ä. verletzt. Falls dem so ist, prüfen Sie, ob Sie dem Antrag dennoch nachkommen müssen. Das gilt auch für andere gesetzliche Regelungen wie z. B. einer steuerrechtlichen Aufbewahrungspflicht der Daten.
- Recht auf Berichtigung DSGVO: Ist der Anspruch auf Berichtigung rechtmäßig, sind sämtliche Datenbestände, die die unkorrekten bzw. unvollständigen Daten enthalten, zu berichtigen (ggf. mittels Unterstützung durch IT-Abteilung, Personalbereich).
- Recht auf Löschung DSGVO: Stellen Sie bei einem zulässigen Löschungsanspruch sicher, dass die betreffenden Daten ordnungsgemäß gelöscht werden (z. B. durch Unkenntlichmachung, Anonymisierung, Schreddern – ein bloßes Verschieben der Dateien in den Papierkorb reicht nicht aus).
- Löschprotokoll: Protokollieren Sie den Löschvorgang, ohne erneut die Daten des Betroffenen zu verarbeiten. Auf Anfrage hat sowohl der Betroffene selbst als auch die Datenschutzbehörde Anspruch auf Herausgabe des Protokolls.
- Information des Betroffenen: Beachten Sie entsprechende Fristen und informieren Sie den Antragsteller spätestens nach einem Monat über die von Ihnen ergriffenen Maßnahmen. Löschen Sie die Löschbestätigung nach Versand an den Betroffenen.
Um mögliche Massenanfragen für Löschansprüche zukünftig rechtssicher und effizient umzusetzen, ist es sinnvoll, im eigenen Unternehmen DSGVO-konforme Löschkonzepte zu entwickeln. Denn: Berichtigen oder löschen Sie die Daten der betroffenen Person nicht, obwohl diese einen Anspruch darauf hat, begehen Sie eine unzulässige Datenverarbeitung. Betroffene können bei der zuständigen Datenschutzbehörde Beschwerde einreichen. Die Folge: Empfindliche Bußgelder.
Um Bußgelder aufgrund von Datenschutzverstößen zu vermeiden, sollten Sie als Unternehmen einen Schritt-für-Schritt-Plan entwickeln, wie mit Betroffenenanfragen umzugehen ist. Wer einen durchdachten Prozess erarbeitet, schafft es, Auskunftsersuchen von Betroffenen schnell, umfassend und vollständig zu beantworten. Dazu gehören neben einer guten Vorbereitung, einem strukturierten Datenschutzkonzept und einer kritischen Selbstkontrolle auch die Sensibilisierung der eigenen Mitarbeiter für den Datenschutz.
Ein Löschkonzept ist für alle im Verarbeitungsverzeichnis festgehaltenen Tätigkeiten empfehlenswert. Die Betroffenenanfrage selbst sollte wenn möglich durch einen spezialisierten Ansprechpartner (DSGVO-Datenschutzbeauftragter) bearbeitet werden, statt „kurz mal nebenbei“ vom Support oder einem Sachbearbeiter. Dies weist Ihr Unternehmen als professionell und seriös aus und zeigt dem Betroffenen, dass er und seine Rechte ernstgenommen werden.
7. Welche Strafen drohen, wenn Unternehmen Betroffenenrechten nicht nachkommen?
Kommen Unternehmen dem Recht auf Berichtigung oder Löschung personenbezogener Daten nicht nach, hat die betroffene Person das Recht, sich an die zuständige Datenschutzaufsichtsbehörde zu wenden. Gemäß Art. 57 DSGVO muss die Behörde bei einer solchen Beschwerde tätig werden: Sie kann eine Datenschutzprüfung in dem Unternehmen einleiten und Bußgelder verhängen (Art. 58 DSGVO).
Ein DSGVO-Bußgeld aufgrund eines Verstoßes gegen das Recht auf Berichtigung oder Datenlöschung kann für Ihr Unternehmen weitreichende Konsequenzen haben: Laut Datenschutzgrundverordnung sind in gravierenden Fällen Bußgelder in Höhe von bis zu 20 Mio. Euro bzw. bis zu 4% des Vorjahresumsatzes möglich – je nachdem, welcher Wert der höhere ist.
Besser also, wenn Sie die Rechte Ihrer Kunden, Websitebesucher, Mitarbeiter und sonstigen Dritten ernst nehmen – denn als Unternehmer kommen Sie ohnehin nicht um die Einhaltung der DSGVO herum. Und die gilt natürlich nicht nur intern, sondern auch für Ihren Außenauftritt: Website, Marketing und Kundenkommunikation müssen den Anforderungen der DSGVO ebenfalls genügen.
Riskieren Sie keine DSGVO-Abmahnung oder ein hohes Bußgeld – und sichern Sie Ihre Website jetzt mit unserem DSGVO-Check ab.
8. FAQ: Häufig gestellte Fragen zur DSGVO & Betroffenenrechten
Alles, was Sie wissen müssen