1.
Ausgangslage ^
2.
Das Recht auf Löschung und Vergessenwerden ^
2.1.
Die Rechtslage gemäß DSG 2000 ^
2.1.1.
Löschen auf Antrag und Widerspruchsrecht ^
2.1.2.
Löschen aus eigenem Antrieb ^
2.1.3.
Löschfristen und Aufbewahrungspflichten ^
2.1.4.
Die Durchführung einer Löschung ^
2.1.5.
Sanktionen ^
2.2.
Änderungen durch die Datenschutz-Grundverordnung ^
2.2.1.
Löschpflichten und Speicherdauer ^
Das Recht auf Löschung findet sich in Art. 17 DS-GVO. Demnach ist der Verantwortliche (ehemals Auftraggeber) dazu verpflichtet, Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind; wenn ein Betroffener seine Zustimmung widerruft und es keine anderweitige Rechtsgrundlage für die Verarbeitung gibt; wenn ein Betroffener berechtigterweise Widerspruch gegen die Verarbeitung erhebt; wenn die Daten unrechtmäßig verarbeitet wurden oder wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Diese Löschpflichten decken sich weitestgehend mit der Rechtslage gemäß DSG.45 Neu eingefügt wurde eine gesonderte Löschverpflichtung für Dienste der Informationsgesellschaft46, die personenbezogene Daten Minderjähriger verarbeiten.47
2.2.2.
Das Recht auf Vergessenwerden ^
2.2.3.
Sanktionen ^
2.3.
Die Verwendung von Cloud-Diensten ^
3.
Fazit ^
- 1 Vgl. Veritas Technologies LLC., The Data Berg Report, http://images.info.veritas.com/Web/Veritas/%7B364a7ca5-e05c-4fce-971b-88e18c62eafb%7D_45145_EMEA_Veritas_Strike_Report_Gulf.pdf (alle Internetadressen zuletzt aufgerufen am 9. Januar 2017), 2015.
- 2 Ebenda.
- 3 Schild, Datenlöschen in SAP – Wo liegt das Problem? DANA 1/2013, S. 13.
- 4 Die VO (EU) 2016/679 (im Folgenden: DS-GVO) gilt ab dem 25. Mai 2018 (Art. 99 Abs. 2 DS-GVO).
- 5 Vgl. Compuware Report, Unprepared for GDPR? http://resources.compuware.com/hubfs/Collateral/White_Papers/31465_Test_Data_Privacy_wp_6_002.pdf, 2016.
- 6 Vgl. bereits § 1 Abs. 4 und § 12 DSG 1978; Art. 5 lit. e und Art. 8 lit. c Europäische Datenschutzkonvention 1981.
- 7 Vgl. EuGH 21. Dezember 2016, C-203/15 und C-698/15. EuGH 8. April 2014, C-293/12 und C-594/12; VfGH 27. Juni 2014, G 47/2012.
- 8 § 6 Abs. 1 Z 5 DSG.
- 9 Siehe Kapitel 2.2.2.
- 10 § 1 Abs. 3 Z 2 DSG. Dem Grundrecht auf Datenschutz kommt unmittelbare Drittwirkung zu, es gilt somit auch gegenüber Privaten.
- 11 Vgl. Art. 6 lit. d und e, Art. 12 lit. b und c RL 1995/46/EG.
- 12 Bspw. eine Gewerbeberechtigung oder Konzession, die zur Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit ermächtigen. Vgl. Knyrim, Handbuch Datenschutzrecht2 (2012), S. 86 f.
- 13 Vgl. §§ 8 und 9 DSG. Ob Daten auf rechtmäßige Weise verwendet werden, richtet sich aber nicht ausschließlich nach den Bestimmungen des DSG (vgl. VwGH 28. Januar 2013, 2012/12/0050).
- 14 § 27 Abs. 4 DSG. Vgl. auch VwGH 28. Mai 2013, 2009/17/0011.
- 15 Zur Aufhebung des § 28 Abs. 2 DSG wegen eines Verstoßes gegen Art. 10 EMRK, siehe VfGH 8. Oktober 2015, G 264/2015.
- 16 § 29 DSG. Zum Begriff «indirekt personenbezogene Daten» § 4 Z 1 DSG.
- 17 Eine Löschung muss auch dann vorgenommen werden, wenn der Betroffene dies nicht eigens beantragt. Vgl. ErläutRV zu § 27 Abs. 1 DSG.
- 18 Vgl. Dohr/Pollierer/Weiss/Knyrim, Kommentar Datenschutzrecht2, § 27 DSG Rz 10.
- 19 Für die Verwendung sensibler Daten (§ 4 Z 2 DSG) vgl. § 9 Z 3 DSG.
- 20 § 8 Abs. 1 Z 1 DSG.
- 21 § 8 Abs. 3 Z 4 DSG.
- 22 Der vorliegende Artikel kann daher nur Hinweise geben, ohne Anspruch auf Vollständigkeit.
- 23 Vgl. § 51 Abs. 3 ÄrzteG; § 12 RAO.
- 24 § 92 Abs. 1 TKG.
- 25 § 97 Abs. 2 TKG.
- 26 § 99 Abs. 1 u. 2 TKG.
- 27 § 101 Abs. 1 u. 2 TKG.
- 28 Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000 (Standard- und Muster-Verordnung 2004 – StMV 2004) i.d.F. BGBl. II Nr. 278/2015.
- 29 § 26 Abs. 7 DSG.
- 30 § 13 PHG.
- 31 § 68 Abs. 1 ASVG. Die Verjährung ist gehemmt, solange ein Verfahren in Verwaltungssachen bzw. vor den Gerichtshöfen des öffentlichen Rechtes über das Bestehen der Pflichtversicherung oder die Feststellung der Verpflichtung zur Zahlung von Beiträgen anhängig ist.
- 32 Brodil, Löschung von Arbeitnehmerdaten, ZAS 2014/54, S. 335.
- 33 Grünanger, Recht auf Löschung des Personalakts? ecolex 8/2014, S. 675.
- 34 OGH 15. April 2010, 6 Ob 4/10p.
- 35 Art. 2 § 3 Z 11 DSG 1978 i.d.F. DSG-Novelle 1986.
- 36 A.A. Dohr/Pollierer/Weiss/Knyrim, Kommentar Datenschutzrecht2, § 27 DSG Rz 18.
- 37 Jahnel, Handbuch Datenschutzrecht (2010), S. 159.
- 38 Kasteliz/Leiter, OGH: Art der Löschung nach Ausübung des Widerspruchsrechts, jusIT 2010/69, S. 147.
- 39 Vgl. Knyrim, Handbuch Datenschutzrecht2 (2012), S. 81.
- 40 § 27 Abs. 6 DSG.
- 41 § 27 Abs. 8 DSG.
- 42 § 51 Abs. 2a DSG.
- 43 § 51 Abs. 1 Z 3 DSG.
- 44 Art. 5 Abs. 1 lit. e DS-GVO. Vgl. auch Erwägungsgrund 39.
- 45 Vgl. Kapitel 2.1.
- 46 Vgl. § 3 Z 1 ECG.
- 47 Art. 17 Abs. 1 lit. f DS-GVO.
- 48 Art. 21 DS-GVO.
- 49 Zur bisherigen Rechtslage vgl. § 107 TKG.
- 50 Art. 17 Abs. 3 DS-GVO.
- 51 Siehe dazu Kapitel 2.1.3.
- 52 Vgl. Art. 17 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO.
- 53 Vgl. Erwägungsgrund 39 zur DS-GVO.
- 54 Art. 13 Abs. 2 und Art. 14 Abs. 2 DS-GVO.
- 55 Art. 30 Abs. 1 lit. f DS-GVO.
- 56 Art. 12 Abs. 3 DS-GVO. Dem Betroffenen sind die Gründe der Verzögerung binnen eines Monats mitzuteilen.
- 57 Art. 12 Abs. 4 DS-GVO.
- 58 Art. 19 DS-GVO.
- 59 Art. 12 Abs. 2 i.V.m. Art. 11 Abs. 2 DS-GVO.
- 60 Art. 17 Entwurf zur DS-GVO vom 25. Januar 2012, KOM(2012) 11.
- 61 Mayer-schönberger, Delete: The Virtue of Forgetting in the Digital Age (2009).
- 62 EuGH, 13. Mai 2014, C-131/12.
- 63 Im Fall «Google Spain» 16 Jahre. Vgl. aber ein viel kritisiertes Urteil aus Italien, demzufolge Onlineartikel bereits nach 2 Jahren zu löschen sein sollen. http://www.golem.de/news/recht-auf-vergessenwerden-online-artikel-bekommen-ablaufdatum-1609-123354.html.
- 64 EuGH, 13. Mai 2014, C-131/12, Rz 99.
- 65 Vgl. Erwägungsgrund 66 zur DS-GVO.
- 66 Selbst sofern dies technisch möglich ist. Vgl. aber bspw. das Abfotografieren des Bildschirms.
- 67 Bspw. über Suchmaschinen. Damit würde in Anlehnung an EuGH C-131/12 und in Einklang mit Art. 7 und 8 GRC einer Prangerwirkung im Internet entgegengewirkt.
- 68 Art. 83 Abs. 5 lit. b DS-GVO.
- 69 Bundesgesetz betreffend Datensicherheitsmaßnahmen bei der Verwendung elektronischer Gesundheitsdaten (Gesundheitstelematikgesetz 2012 – GTelG 2012).
- 70 Vgl. Weichert, Cloud Computing und Datenschutz, DuD 10/2010, S. 682.
- 71 Art. 4 Z 8 DS-GVO. Im DSG wird der Begriff «Dienstleister» verwendet (§ 4 Z 5 DSG).
- 72 Der Auftragsverarbeiter ist weisungsgebunden (Art. 29 DS-GVO). Verstößt er gegen die DS-GVO und bestimmt die Zwecke der Verarbeitung selbst, gilt er diesbezüglich als Verantwortlicher (Art. 28 Abs. 10 DS-GVO, vgl. auch § 4 Z 4 DSG).
- 73 Art. 28 Abs. 1 DS-GVO. Vgl. auch § 10 Abs. 1 DSG.
- 74 Art. 28 Abs. 3 lit. e DS-GVO. Vgl. auch § 11 Abs. 1 Z 4 DSG.
- 75 Vgl. Artikel 29 Datenschutzgruppe, WP 196, Stellungnahme 05/2012 zum Cloud Computing, S. 10. S.a. Bogendorfer, Und was ändert sich für Dienstleister mit der DSGVO noch?, in: Knyrim (Hrsg.), Datenschutz-Grundverordnung (2016), S. 171.
- 76 Zum Problem der wirksamen Löschung bei Cloud-Diensten: Art. 29 Datenschutzgruppe, WP 196, S. 15.
- 77 Art. 28 Abs. 3 lit. g DS-GVO. Vgl. auch § 11 Abs. 1 Z 5 DSG.
- 78 Hammer/Schuler, Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten (2015), S. 13.