Jusletter IT

Löschung personenbezogener Daten im Internet

  • Author: Verena Stolz
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection, E-Commerce
  • Citation: Verena Stolz, Löschung personenbezogener Daten im Internet, in: Jusletter IT 11 December 2014
The author offers an overview of the possibilities of obtaining a deletion of personal data on the internet; this on the basis of the current jurisdiction of the European Court of Justice (EuGH), the Austrian data protection law and in view of the EU data protection basic regulation, which will shortly come into force; she explores, if a general right to deletion of personal data on the internet exists. (ah)

Inhaltsverzeichnis

  • 1. Ausgangslage
  • 2. Die sog. «Google-Entscheidung» des EuGH
  • 2.1. Sachverhaltsabriss und Tenor
  • 2.2. Zum Löschungsanspruch – «Recht auf Vergessen werden»?
  • 2.3. Bemerkungen und Kritik
  • 3. Ansprüche auf Grundlage des Österreichischen Datenschutzgesetzes
  • 3.1. Zur datenschutzrechtlichen Löschung
  • 3.2. Übermittlung unrichtiger oder rechtswidrig verarbeiteter Daten
  • 4. Löschungsansprüche nach der Datenschutz-Grundverordnung – ein erster Überblick
  • 4.1. Allgemeines und rechtliche Grundlagen
  • 4.2. Das Recht auf Löschung gem. Art 17 DSGVO
  • 5. Ausblick

1.

Ausgangslage ^

[1]

Das Internet vergisst nie! Was online ist, bleibt online! In diesem Sinne wurde in der Vergangenheit häufig versucht, unerfahrene und selbst erfahrene Internetuser zu sensibilisieren und ihnen vor Augen zu halten, dass Inhalte, die einmal online gestellt wurden, dort bleiben und der User daher selektieren sollte, was er von sich im WWW preis gibt. Seit der mit großer Spannung erwarteten «Google-Entscheidung» des EuGH1 scheinen diese und ähnliche Hinweise an Bedeutung verloren zu haben, zumal der EuGH (offenbar) bekräftigt hat, dass Suchmaschinenbetreiber verpflichtet sind, personenbezogene Daten aus ihrer Suchergebnisliste zu löschen; doch hat der EuGH dies tatsächlich in dieser Form festgestellt?

2.

Die sog. «Google-Entscheidung» des EuGH ^

2.1.

Sachverhaltsabriss und Tenor ^

[2]
Anlass des mittlerweile weitgehend bekannten Verfahrens war ein Rechtsstreit zwischen Google Spain SL und der spanischen Aufsichtsbehörde für den Schutz personenbezogener Daten («AEPT») sowie dem Betroffenen Mario Costeja Gonzáles, der versuchte, einen Onlineeintrag der bereits über 10 Jahre zurücklag, zu löschen; dieser Eintrag erschien bei Eingabe seines Namens in die Suchmaschine. Die Aufsichtsbehörde gab der gegen Google gerichteten Beschwerde statt und verlangte die Entfernung der Daten aus dem Suchmaschinenindex. Dagegen hat Google Klage erhoben, wobei das Gericht sodann den EuGH gem. Art. 267 AEUV insgesamt neun Fragen zur Auslegung der Datenschutz-Richtlinie Nr. 95/46 EG des Europäischen Parlaments und des Rates («Datenschutz-RL») vorgelegt hat. Die Fragen haben u.a. die Pflichten der Suchmaschinenbetreiber und das Recht auf Löschung personenbezogener Daten des Einzelnen beinhaltet.
[3]
Sowohl der Generalanwalt, als auch der Gerichtshof haben die Anwendbarkeit der Datenschutz-RL bejaht und die Tätigkeit von Google generell als Verarbeitung personenbezogener Daten eingestuft; dies nicht ganz überraschend, da der Gerichtshof bereits im Jahr 2003 in der Entscheidung Lindqvist2 festgestellt hat, dass die Handlung, nämlich auf einer Internetseite auf verschiedene Personen hinzuweisen, eine Verarbeitung im Sinne der Datenschutz-RL darstellt. Da die Datenschutz-RL den Begriff der Verarbeitung personenbezogener Daten sehr weit fasst, fällt auch die Tätigkeit des Suchmaschinenbetreibers aus der Sicht des EuGH unter eine Datenverarbeitung. Der EuGH ist in dieser Hinsicht nicht der Auffassung des Generalanwaltes gefolgt, der die Verantwortlichkeit von Google als Suchmaschinenbetreiber u.a. unter Hinweis auf die Unkenntnis von der Existenz der personenbezogenen Daten mangels Kontrolle abgelehnt hat.3

2.2.

Zum Löschungsanspruch – «Recht auf Vergessen werden»?4 ^

[4]

Mit der Kernfrage des Vorlageantrages wollte das vorlegende Gericht allerdings wissen, ob die betroffene Person vom Suchmaschinenbetreiber verlangen kann, von der Ergebnisliste sowie von Links zu von Dritten rechtmäßig veröffentlichten Internetseiten mit wahrheitsgemäßen Informationen über sie zu entfernen, weil diese Informationen ihr schaden können oder weil sie möchte, dass sie nach einer gewissen Zeit einfach «vergessen werden». Google, sowie diverse Regierungen (u.a. auch die Österreichische) haben diese Frage verneint. Der Gerichtshof hat diese Frage im Sinne des Klägers bejaht und dabei darauf abgestellt, dass die von der Suchmaschine mögliche vereinfachte Zusammenstellung von personenbezogenen Daten eine erhebliche Beeinträchtigung der Grundrechte der betroffenen Person hervorruft. Der EuGH stellt darauf ab, dass sich aus den Anforderungen der Datenschutz-RL ergibt, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind. Bemerkenswert ist, dass diesbezüglich der EuGH eine umfassende Interessensabwägung der Suchmaschinenbetreiber verlangt. Da die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 (Achtung des Privat- und Familienlebens) und Art. 8 (Schutz personenbezogener Daten) der Charta der Grundrechte der Europäischen Union verlangen kann, dass die Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, überwiegen diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit am Zugang zu der Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche; es besteht daher in dieser Hinsicht ein Recht des Betroffenen, zu einem späteren Zeitpunkt nicht mehr mit einem Online-Eintrag in Verbindung gebracht zu werden.5 Die Interessen des Einzelnen überwiegen aber dann nicht, wenn sich aus besonderen Gründen ergeben sollte, dass der Eingriff in die Grundrechte dieser Person durch das überwiegende Interesse der breiten Öffentlichkeit daran gerechtfertigt ist. Allein aus dieser Abwägungspflicht ergibt sich, dass der EuGH kein absolutes Recht auf Vergessenwerden im Internet zusichert.6

2.3.

Bemerkungen und Kritik ^

[5]
Die detaillierte, umfassend begründete Entscheidung des EuGH ist zu begrüßen. Besonders hervorzuheben ist, dass der EuGH sämtliche Vorlagefragen ausschließlich auf Grundlage der EU-Datenschutz-RL aus dem Jahr 1995 gelöst hat, was wiederum zeigt, dass die Richtlinie, die zeitlich weit vor dem klassischen Internetzeitalter verlautbart wurde, dennoch geeignet ist, als Subsumptionsgrundlage für komplexe Internetsachverhalte zu dienen.
[6]

Ob diese Entscheidung allerdings langfristig zur Stärkung des Persönlichkeitsschutzes führen wird, bleibt vorerst dahingestellt. Es sind bereits kurz nach Vorliegen des EuGH-Urteils in der Literatur erste Zweifel aufgetaucht, die beispielsweise die Frage aufwerfen, ob der EuGH nicht die Realitäten des Mediums Internet verkennt.7 Ein Löschungsanspruch des Betroffenen ist erst nach sorgfältiger Abwägung zwischen (vorwiegend) der Medienfreiheit einerseits und dem Recht des Betroffen zu beurteilen. Man kann aus dem EuGH-Urteil keinen allgemeinen Löschungsanspruch ableiten, da die Löschung stets eine Einzelfallentscheidung bleibt.8 Es ist daher ein Irrglaube zu meinen, seit dem EuGH-Urteil bestehe ein Recht auf Vergessen im Internet.9 Dem Gerichtshof geht es nicht um ein Vergessenwerden, da dies voraussetzt, dass bestimmte Informationen überhaupt nicht mehr im Internet auffindbar sind, was der Gerichtshof nicht fordert.10 Es wird für die vorzunehmende Interessensabwägung besonders geschultes Personal erforderlich sein; dies auch um den sog. «Streisand-Effekt» zu vermeiden, dem auch der spanische Kläger González zum Opfer gefallen ist, da er «vergessen werden» wollte» und ihn plötzlich die ganze Welt kannte.11 Löschungsanträge von Personen mit einem gewissen Prominentenstatus, die großes Interesse daran haben, dass gewisse Informationen aus den Suchergebnissen verschwinden, werden der Entscheidung des EuGH zufolge wenig Aussicht auf Erfolg haben, zumal wohl ein Anspruch der Allgemeinheit an diesen Informationen besteht.

3.

Ansprüche auf Grundlage des Österreichischen Datenschutzgesetzes ^

3.1.

Zur datenschutzrechtlichen Löschung ^

[7]
Ansprüche auf Löschung datenschutzrechtlich relevanter Inhalte existieren auch auf Grundlage des Österreichischen Datenschutzgesetzes (öDSG), welches wiederum auf den Bestimmungen der Datenschutz-RL beruht. Das öDSG regelt etwa in § 27 das Recht des Betroffenen auf Richtigstellung oder Löschung von Daten.
[8]

Daten sind dieser Bestimmung zufolge grundsätzlich zu löschen, sobald sie für den Zweck der Datenanwendung nicht mehr benötigt werden. Die Weiterverwendung für einen anderen Zweck ist nur dann zulässig, wenn die Voraussetzungen für die Übermittlung12 vorliegen; der Wechsel des ursprünglichen Zweckes innerhalb eines Rechtsträgers ist datenschutzrechtlich als Übermittlung zu qualifizieren.

[9]
Unter Löschung ist «eine Maßnahme mit der Wirkung, dass der Verantwortliche der Verarbeitung nicht mehr über die personenbezogenen Daten verfügt» zu verstehen.13 Definiert wird die Löschung in § 3 Abs. 4 Z 5 des deutschen Bundesdatenschutzgesetzes (BDSG) – weder im öDSG noch in der Datenschutz-RL wurde eine Definition getroffen – als das Unkenntlichmachen gespeicherter personenbezogener Daten. Um das Löschungsgebot zu erfüllen, genügt es daher nicht, die Daten so zu verändern, dass ein gezielter Zugriff auf die betreffenden Daten ausgeschlossen ist.14 Die Daten dürfen nicht mehr rekonstruierbar sein.15 Der Löschungsanspruch nach § 27 öDSG bezieht sich auch auf Daten, die offline verarbeitet werden; manuelle Dateien sind beispielsweise im Zuge einer Löschung unleserlich zu machen («Schwärzung als Löschungsvorgang»).16
[10]
Die Löschungspflicht trifft stets den jeweiligen Auftraggeber17, wenn die Daten unrichtig sind oder ihre Verarbeitung unzulässig ist; der Betroffene muss grundsätzlich die Löschung nicht beantragen; der Auftraggeber hat vielmehr selbst aktiv zu werden (§ 27 Abs. 1 Z 1 öDSG). Die Einhaltung dieser Löschungspflicht unterliegt der Kontrolle durch die Datenschutzbehörde, allenfalls auch auf Anregung durch den Betroffenen.18 Abgesehen von der Unrichtigkeit veröffentlichter personenbezogener Daten kann der Betroffene eine Löschung seiner Daten dann begehren, wenn die Verwendung der Daten unzulässig ist. Diverse Betreiber rechtfertigen in der Praxis eine (neue) Datenanwendung zumeist damit, dass sie sich auf eine konkludente Zustimmung der Betroffenen stützen. Eine solche kann allerdings gem. § 8 Abs 1 Z 2 öDSG jederzeit widerrufen werden, was zu einer Unzulässigkeit der weiteren Verwendung der Daten führt.19
[11]

Der Betroffene hat zudem die Möglichkeit, einen begründeten Antrag auf Richtigstellung oder Löschung an den Auftraggeber zu stellen.20 In diesem Antrag hat er den Grund für seinen Anspruch zu nennen. Der Auftraggeber hat darauf binnen 8 Wochen nach Einlangen des Antrags auf Richtigstellung oder Löschung zu reagieren. Der Auftraggeber hat dabei den Beweis der Richtigkeit der Daten und der Rechtmäßigkeit der Datenanwendung zu erbringen; der Betroffene hat die Unrichtigkeit oder Unrechtmäßigkeit der Daten zu behaupten und zu begründen.21 Der Betroffene kann schließlich seinen Anspruch auf Richtigstellung oder Löschung im öffentlichen Bereich bei der Datenschutzbehörde bzw. im privaten Bereich beim zuständigen Landesgericht geltend machen. Dabei kann er eine Rechtsverletzung behaupten, wenn der Auftraggeber seiner Reaktionspflicht nicht nachkommt oder die Mitteilung des Auftraggebers, dass er dem Antrag nicht entspricht, rechtswidrig ist.22

3.2.

Übermittlung unrichtiger oder rechtswidrig verarbeiteter Daten ^

[12]
Wenn unrichtige oder rechtswidrig verarbeitete Daten vor ihrer Richtigstellung oder Löschung bereits übermittelt wurden, hat der Auftraggeber die Empfänger derartiger Daten zu verständigen. Dies gilt jedoch nur dann, wenn dies – insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung – keinen unverhältnismäßigen Aufwand bedeutet.23 Weiters müssen die Empfänger noch feststellbar sein.
[13]

Für den Fall, dass die Richtigstellung oder Löschung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind die Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen (§ 27 Abs. 6 öDSG). Bei einer Sperrung gibt der Verantwortliche seine Verfügung über die Daten nicht endgültig auf, sondern er legt nur fest, dass die Nutzung ganz oder teilweise zu wesentlichen Teilen unterbleibt.24 Die zunächst mit einer berechtigten Anmerkung versehenen Daten sind zum Zeitpunkt der Reorganisation der Datenanwendung endgültig richtig zu stellen, manuelle Daten sind im Gegensatz dazu sofort richtig zu stellen oder zu vernichten.25

[14]
Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet und lässt sich weder ihre Richtigkeit, noch ihre Unrichtigkeit feststellen, ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Dieser sog. «Bestreitungsvermerk» ist nur anzubringen, wenn der Auftraggeber die Richtigkeit der Daten nicht feststellen kann. Kann er die Richtigkeit begründen und belegen, muss er den Bestreitungsvermerk nicht anbringen. Die Entscheidung über die Richtigkeit der Daten und die Notwendigkeit eines Bestreitungsvermerks ist letztlich der Datenschutzbehörde oder dem Gericht zu überlassen. Einem Richtigstellungs- oder Löschungsantrag kann entsprochen werden, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist.26
[15]
Es ist daher festzuhalten, dass sich der Löschungsanspruch nach dem öDSG auf unrichtige Daten oder entgegen den Bestimmungen des DSG verarbeitete Daten richtet; d.h. ein allgemeiner Löschungsanspruch veröffentlichter personenbezogener Daten existiert (auch) auf Grundlage des öDSG nicht.

4.

Löschungsansprüche nach der Datenschutz-Grundverordnung – ein erster Überblick ^

4.1.

Allgemeines und rechtliche Grundlagen ^

[16]

Die Datenschutzreform in der Europäischen Union besteht aus einer allgemeinen Verordnung, die den Großteil der Verarbeitung personenbezogener Daten in der EU abdeckt, das ist die Datenschutz-Grundverordnung (DSGVO).27 Diese soll die Datenschutz-RL 95/46/EG aus dem Jahr 1995 ersetzen. Als Grund für diese umfassende Novellierung gilt im Allgemeinen die fortschreitende Globalisierung und Digitalisierung; nicht nur Geheimdienste bedienen sich an personenbezogenen Daten im Internet, sondern diese Daten bilden auch die Grundlage für erfolgreiche Unternehmen wie Facebook und Google.28 Im Gegensatz zur Datenschutz-RL ermöglicht es die DSGVO den EU-Mitgliedstaaten nicht mehr, strengere nationale Regelungen entsprechend ihrer Rechtstraditionen vorzusehen. Als in der EU unmittelbar anwendbare Verordnung wird sie alle nationalen Datenschutzgesetze ablösen.

[17]
Primäres Ziel der Datenschutzreform ist es, eine Vollharmonisierung und Stärkung des Datenschutzes in der EU herbeizuführen. Rechtsgrundlage dafür bildet Art. 16 AEUV; danach kann die Union den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedsstaaten regeln, wenn die Verarbeitung im Rahmen der Ausübung von Tätigkeiten erfolgt, die in den Anwendungsbereich des Unionsrechts fallen. Aus der Sicht der Kommission wäre ohne gemeinsame EU-Vorschriften der Datenschutz in den Mitgliedsstaaten nicht im gleichen Maße gewährleistet, was den grenzüberschreitenden Verkehr personenbezogener Daten zwischen Mitgliedsstaaten mit unterschiedlichen Datenschutzanforderungen jedenfalls behindern würde; weiters ist die Kommission der Ansicht, dass die derzeitigen Probleme nicht allein von den Mitgliedsstaaten überwunden werden können. Es besteht aus der Sicht der Kommission ein besonderer Bedarf an einer harmonisierten, kohärenten Regelung, die einen reibungslosen Transfer personenbezogener Daten innerhalb der EU ermöglicht und gleichzeitig EU-weit allen Betroffenen einen wirksamen Datenschutz garantiert.29
[18]

Eine weitere Rechtsgrundlage für die EU-DSGVO ist das Subsidiaritätsprinzip nach Art. 5 Abs. 3 EUV; dieser Bestimmung zu Folge wird die Union nur tätig, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedsstaaten nicht ausreichend verwirklicht werden können. Das Recht auf Schutz personenbezogener Daten, das in Art. 8 der Charta der Grundrechte der Europäischen Union verankert ist, verlangt geradezu nach einem unionsweit einheitlichen Datenschutzniveau.

[19]

Bereits der Erstentwurf der Verordnung gestaltete sich zu einem der umfassendsten Rechtssetzungsprojekte in der EU Geschichte; der Widerstand und der Lobbyismus in- und ausländischer Regierungen war enorm; dies zeigt allein schon die Vielzahl der eingebrachten Änderungsanträge.30 Der Verordnungsentwurf musste daher grundlegend überarbeitet werden und wurde letztlich am 12. März 2014 mit 621 Stimmen vom Europäischen Parlament unterstützt; eine EU-weite Einigkeit besteht bislang allerdings noch nicht; eine endgültige Entscheidung wird für 2015 erwartet.

[20]

Die DSGVO soll räumlich auf jede Verarbeitung personenbezogener Daten von in der EU ansässigen Personen Anwendung finden, die dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensbeobachtung («profiling») dient.31 Mit dieser neuen Regelung ist das EU-Datenschutzrecht künftig auch auf Unternehmen aus Drittstaaten anwendbar, wenn diese ihre Dienste innerhalb der EU online anbieten; bislang wurde etwa in § 3 öDSG auf den Sitz des Auftraggebers abgestellt. Der Schutz personenbezogener Daten wird generell erweitert werden, indem einige Daten (z.B. genetische Daten) neu mitaufgenommen werden; es wird voraussichtlich nur noch ein Schutz für natürliche Personen bestehen und der Schutz nicht mehr auf juristische Personen ausgedehnt werden. Der z.B. im öDSG verankerte Begriff des «Auftraggebers» wird – was besonders begrüßenswert ist – ersetzt durch den Terminus des «Verantwortlichen». Verantwortliche trifft künftig eine Reihe von Informations- und Auskunftspflichten. Art. 11 des Verordnungsentwurfes führt etwa eine Verpflichtung zur Bereitstellung transparenter, leicht zugänglich und verständlicher Informationen an; es sind künftig Unternehmer angehalten, in Bezug auf die Verarbeitung personenbezogener Daten nachvollziehbare und klare Konzepte zu erarbeiten («Transparenzgebot»). Gem. Art. 14 des Verordnungsentwurfes haben Verantwortliche die Identität und Kontaktdaten des für die Datenverarbeitung Verantwortlichen, den Zweck der Datenverarbeitung und die Dauer der Datenspeicherung auch ohne Nachfragen des Betroffenen zu erteilen, soweit dies die Rechte des Betroffenen und zwar das Recht auf Auskunft, Löschung, Widerspruch sowie das Beschwerderecht an die Aufsichtsbehörde betrifft. Verantwortliche haben daher konkrete Vorkehrungen zu treffen, was wohl zu einem erheblichen technischen wie personellen Mehraufwand datenverarbeitender Unternehmen führen wird.32

4.2.

Das Recht auf Löschung gem. Art 17 DSGVO ^

[21]

Der überarbeitete Verordnungsentwurf sieht ein Recht auf Löschung vor. Dieses Recht wird von der Europäischen Kommission auch als eines der Kernrechte interpretiert und in den Diskussionen um die Datenschutzreform regelmäßig in den Vordergrund gestellt. Gemäß Art. 17 DSGVO hat der Betroffene das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von ihn betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten sowie von Dritten die Löschung aller Querverweise auf diese personenbezogenen Daten bzw. aller Kopien und Replikationen davon zu verlangen, wenn einer der in Art. 17 DSGVO genannten Gründe zutrifft; an Gründen wird angeführt, dass die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerruft oder Widerspruch gegen die Verarbeitung eingelegt hat, ein Gericht oder eine Regulierungsbehörde rechtskräftig entschieden hat, dass die betreffenden Daten gelöscht werden müssen oder die Daten unrechtmäßig verarbeitet wurden.

[22]

Zum Teil sind diese Ausführungen bereits bekannt, da etwa auch das öDSG – basierend auf der Datenschutz-RL – vorsieht, dass Daten, sobald sie für den Zweck der Datenanwendung nicht mehr benötigt werden, zu löschen sind, zumal sie ansonsten als unzulässig verarbeitete Daten gelten. Bemerkenswert ist, dass das Recht auf Löschung jede Person berechtigt, ihre Einwilligung zur Datenverarbeitung zurückzuziehen und von dem Verantwortlichen die aktive Löschung der Daten zu verlangen.33 Mit der DSGVO werden daher Unternehmen auf Wunsch ihrer Kunden Daten löschen müssen; sie müssen allerdings nicht dafür Sorge tragen, dass die Daten nirgendwo im Internet mehr auffindbar sind; d.h. das primär angedachte und im ersten Verordnungsentwurf verankerte «Recht auf Vergessen» findet sich nicht mehr im aktuellen Verordnungstext. Ursprünglich war geplant, dem Betroffenen eine Löschung aller digitaler Spuren im Internet zu ermöglichen, sofern keine wichtigen Gründe für eine weitere Speicherung vorliegen. Verantwortliche wären damit verpflichtet, bei der Löschung von Daten auch beteiligte Dritte von der Löschung zu informieren, sodass allfällige Kopien der gelöschten Daten entfernt werden können.34 Da es sich im Sinne einer lebendigen Internetwirtschaft auch nicht als praktikabel erweist, wurde das Recht auf Vergessenwerden aus dem Verordnungsentwurf entfernt.

[23]

Verantwortliche haben allerdings nicht auf jeden Antrag mit umgehender Löschung zu reagieren; sie haben zunächst eine Interessensabwägung vorzunehmen; eine Löschung ist dann nicht vorzunehmen, wenn deren Speicherung zur Ausübung des Rechts auf freie Meinungsäußerung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für historische und statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung oder zur Erfüllung einer sonstigen gesetzlichen Pflicht erforderlich ist. Diese Interessenabwägung hat der Gerichtshof in dieser Form bereits in der Google EuGH-Entscheidung gefordert; nunmehr wird dies auch in der Verordnung verankert. Das Recht auf Löschung wird daher durch das europäische Gemeinwohl und durch die Grundrechte Dritter beschränkt. Der Gerichtshof hat zwar in der Google-Entscheidung ausgeführt, dass grundsätzlich das Recht des einzelnen, nicht mehr in Ergebnislisten von Suchmaschinenbetreibern aufzuscheinen gegenüber den Interessen Dritter überwiegt, allerdings nicht lückenlos.35 Es werden daher Unternehmen als datenschutzrechtlich Verantwortliche verantwortungsvolle Interessensabwägungen vorzunehmen haben.

[24]
Das Recht auf Löschung soll dem Verordnungsentwurf jedoch nicht unbeschränkt gelten. Es gilt nicht, wenn der für die Löschung Verantwortliche nicht überprüfen kann, ob die Person, die den Löschungsantrag stellt, tatsächlich die betroffene Person ist (Art. 17 Z 1a DSGVO). Die Betroffenen werden daher Ihre Identität entsprechend nachzuweisen haben und dem Löschungsantrag beispielsweise eine Kopie des Ausweises beizulegen haben. Eine sofortige Löschung ist auch dann nicht vorzunehmen, wenn der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet; in diesem Fall kann der Verantwortliche deren Verarbeitung in einer Art und Weise, die nicht den gewöhnlichen Datenzugangs- und Verarbeitungsoperationen unterliegt und die nicht mehr geändert werden kann, beschränken und zwar für die Dauer der Überprüfung der Richtigkeit der Daten oder wenn der Verantwortliche die Daten noch für Beweiszwecke benötigt und er die Daten daher aufbewahren muss (Art. 17 Z 4 DSGV). Auch diese Regelung ist kein Novum; wie oben ausgeführt enthält etwa auch das öDSG eine Zugriffssperre.
[25]
Die DSGVO wird daher kein grundlegend neues Recht schaffen, sondern wird primär datenschutzrechtlich relevante Rechtsbereiche, die größtenteils bereits in der Datenschutz-RL geregelt wurden, auf EU-Ebene vereinheitlichen.

5.

Ausblick ^

[26]
Die Ausführungen zu den bestehenden Löschungsansprüchen des Betroffenen verdeutlichen, dass ein allgemeiner, umfassender Löschungsanspruch des Betroffenen nicht existiert; dies auch nicht mit Umsetzung der DSGVO. Ein so viel zitiertes «Recht auf Vergessenwerden» gibt es nicht und wird es auch künftig nicht geben. Es wird grundsätzlich einfacher werden, auf Grundlage der EU-Verordnung einen Löschungsanspruch des Betroffenen zu begründen und letztlich durchzusetzen; dies schon aufgrund der EU-weiten Vereinheitlichung der Rechtsgrundlagen. Wie es jedoch Unternehmen in der Praxis bewerkstelligen sollen, umfassende Löschungen vorzunehmen, ist derzeit nicht ersichtlich und lässt der Verordnungsentwurf noch völlig offen.36 Ganz abgesehen davon, wie Unternehmen mit der Auslegungsfrage zu Recht kommen werden, ob Daten zu löschen sind oder ob deren Speicherung etwa durch ein öffentliches Interesse gerechtfertigt ist. Jedenfalls orientiert sich der abgeänderte Verordnungstext stärker an der Praxis, was begrüßenswert ist und auch zur Rechtssicherheit beitragen wird. Es bleibt zu hoffen, dass die Verordnung möglichst zeitnah umgesetzt wird.

 

Dr. Verena Stolz ist eine auf IP-Recht und Datenschutz spezialisierte Rechtsanwältin bei der Kanzlei PEHB in Salzburg.

  1. 1 Urteil des EuGH C-131/12 vom 13. Mai 2014 (Google Spain und Google), vgl. dazu ÖJZ 2014/100, 690 (Lehofer) = MR-Int 1-2/14, 7 (Briem).
  2. 2 Urteil des EuGH C-101/01 vom 6. November 200.
  3. 3 Schlussanträge des Generalanwaltes Jääskinen zu Urteil des EuGH C-131/12 vom 13. Mai 2014, RN 82.
  4. 4 Dazu ausführlich z.B. Dietmar Jahnel, Löschungspflicht von Suchmaschinenbetreibern – Die «Google Spain und Google»-Entscheidung des EuGH, jusIT 4/2014, 149.
  5. 5 Martin Schmidt-Kessel, Carmen Langhanke, Isabell Gläser, Hannah Kathrin Herden, Recht auf Vergessen und Piercing the corporate veil, DPR 2014, 192f.
  6. 6 Volker Boehme-Neßler, Das Recht auf Vergessenwerden – Ein neues Internet-Grundrecht im Europäischen Recht, NVwZ 2014, 825f.
  7. 7 Z.B. Andreas Leupold, Google und der Streisand-Effekt: das Internet vergisst nicht, MR-Int 2014,3; Volker Boehme-Neßler, aaO.
  8. 8 Matthias Kettemann, Vergessen Sie das Recht auf Vergessen, Rechtspanorama die Presse 2014/21/03; Lelio Colloredo-Mannsfeld / Johannes Juranek, Wer eine Google-Löschung will, braucht Geld, Der Standard 2014/21/01.
  9. 9 Wolfgang Zankl, EuGH: «Recht auf Vergessenwerden», ecolex 2014, 676.
  10. 10 Dazu Norbert Nolte, Das Recht auf Vergessenwerden – mehr als nur ein Hype? NJW 2014, 2238f.
  11. 11 Wolfgang Zankl, aaO.
  12. 12 § 4 Z 12 DSG – Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers.
  13. 13 Dietmar Jahnel, Handbuch Datenschutzrecht, 412 Rz 7/64.
  14. 14 Spiros Simitis, Kommentar zum Bundesdatenschutzgesetz, (6. Auflage), § 3 Rz 180.
  15. 15 Dietmar Jahnel, aaO, 412 Rz 7/64.
  16. 16 Urteil der Datenschutzkommission vom 22. Oktober 2008, K 120.857/0010-DSK/2008; Urteil der Datenschutzkommission vom 25. Juni 2004, K 120.877/0017-DSK/2004.
  17. 17 Gem. § 4 Z 4 DSG sind Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z8), unabhängig davon, ob sie die Daten selbst verwenden oder damit einen Dienstleister beauftragen (Z5).
  18. 18 Urteil des Verwaltungsgerichtshofes vom 6. Juni 2007, 2001/12/0004.
  19. 19 Arzu Sedef, The Social Network – (k)ein Recht auf Datenlöschung?, Zak 2011/351, 183.
  20. 20 § 27 Abs 1 Z 2 DSG.
  21. 21 Hans Pollirer / Ernst Weiß / Rainer Knyrim, Kommentar zum DSG, 2. Auflage, 133.
  22. 22 Urteil des Verwaltungsgerichtshofes vom 6. Juni 2007, 2001/12/0004.
  23. 23 Hans Pollirer / Ernst Weiß / Rainer Knyrim, Kommentar zum DSG, 2. Auflage, 210/80.
  24. 24 Ulrich Damman / Spiros Simmitis, EU-Datenschutzrichtlinie, Anm. 16 und 17 zu Artikel 12,198.
  25. 25 Dietmar Jahnel, aaO, 421 Rz 7/74.
  26. 26 Dietmar Jahnel, aaO, 419 Rz 7/73.
  27. 27 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung), KOM(2012) 10, 25. Januar 2012.
  28. 28 Ekkehard Diregger, Widerstand gegen Aufweichung im EU-Datenschutz, Der Standard 2014/11/01
  29. 29 Vgl. Vorschlag der Europäischen Kommission zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012) 10.
  30. 30 Über 3000 Änderungsanträge wurden eingebracht, siehe z.B. http://www.europarl.de/de/aktuell_presse/
    veranstaltungen/ep_bericherstatter/vergangene_events_2013/datenschutz_2.html%20;jsessionid=F00D
    2A7B72142F4AED99A5C3EFABBA69     (zuletzt abgerufen am 13. November 2014).
  31. 31 Whitepaper zur geplanten «Datenschutz-Grundverordnung der Europäischen Union», www.watchdogs.at/datenschutz-grundverordnung (zuletzt abgerufen am 13. November 2014).
  32. 32 Christoph Engel, Die EU-Datenschutz-Grundverordnung: Was sich ändert, was bleibt – Teil I, jusIT 4/2013, 139.
  33. 33 Benedict Saupe, Vorstoß für mehr Datenschutz in der EU – das Datenschutzpaket der Kommission, AnwBl 2012, 372.
  34. 34 Christoph Engel, Die EU-Datenschutz-Grundverordnung: Was sich ändert, was bleibt – Teil II, JusIT 5/2013, 178.
  35. 35 Urteil des EuGH C-131/12 vom 13. Mai 2014.
  36. 36 Rainer Knyrim, Entwurf der neuen EU-Datenschutz-Grundverordnung in Scholz/Funk DGRI Jahrbuch 2012, 25.