Warum das Recht auf Vergessenwerden für Unternehmen und Bürger eine radikale Änderung bedeutet

Warum das Recht auf Vergessenwerden für Unternehmen und Bürger eine radikale Änderung bedeutet

Das im Rahmen der Datenschutz-Grundverordnung (DSGVO) etablierte Recht auf Vergessenwerden bietet Bürgern einen verbesserten Schutz ihrer Daten und zwingt Unternehmen zum unmittelbaren Handeln, wenn sie hohe Bußgelder vermeiden möchten.

Franzosen sprechen von „le droit à l’oubli“, dem Recht auf Vergessen – ein Prinzip, das aus dem französischen Rechtsraum stammt und Bürgern das Recht auf Vergessenwerden in der digitalen Welt einräumt. Dieses Prinzip wird auch im Rahmen der neuen Datenschutz-Grundverordnung etabliert. Wenn die neue Regelung im Mai 2018 in Kraft tritt, können die Aufsichtsbehörden in Fällen von Verstößen Bußgelder erheben.

Ein Meilenstein aus diesem Bereich ist der Google-Fall im Jahr 2014 in Spanien, bei dem ein spanischer Bürger im Rahmen der dort bereits gültigen Gesetze erfolgreich vor Gericht erstritt, dass Suchergebnisse zu seinen Schulden gegenüber der Sozialversicherung gelöscht werden. Das Recht auf Vergessenwerden basiert auf dem Prinzip, dass Organisationen nur die personenbezogenen Daten nutzen dürfen, für die der Benutzer sein ausdrückliches Einverständnis gegeben hat. Tatsächlich haben die Bürger im Rahmen des in der DSGVO etablierten Rechts auf Vergessenwerden die Möglichkeit, eine Löschung von Daten zu verlangen, wenn Daten falsch, unangemessen oder unerheblich sind oder der Datenumfang für den Zweck der Verarbeitung zu weitreichend angelegt ist.

Die DSGVO erweitert das Recht auf Löschung und ermöglicht es Einzelpersonen, das Löschen von Informationen einzufordern, die sie Dritten zuvor zur Verfügung gestellt haben, sofern die Verarbeitung dieser Daten nicht mehr länger erforderlich ist und für die Aufbewahrung der Daten kein berechtigter Grund mehr besteht. Als solcher Grund gilt die Einhaltung einer Rechtsvorschrift oder das öffentliche Interesse im Bereich des Gesundheits- oder Rechtswesens.

Das maximale Bußgeld für einen solchen Rechtsverstoß kann EUR 20 Mio. bzw. 4 % des Jahresumsatzes einer Unternehmensgruppe betragen, je nachdem, welche Summe die höhere ist. Das bedeutet, dass Unternehmen dringend in Erfahrung bringen müssen, über welche persönlichen Daten sie in welchem Umfang verfügen und wo sich diese Daten befinden, und dass sie geeignete Tools und Prozesse implementieren müssen, um die Handhabung persönlicher Daten unter Einhaltung der DSGVO-Vorschriften sicherzustellen.

Erzwingung umfassenderer Persönlichkeitsrechte

Entgegen entsprechenden Medienberichten ist das Recht auf Vergessenwerden kein völlig neues Konzept. Das zugrunde liegende Prinzip wurde 1995 im Rahmen der Datenschutzrichtlinie der Europäischen Union eingeführt. Demnach kann eine Person das Löschen personenbezogener Daten verlangen, wenn die Verarbeitung nicht in Übereinstimmung mit der Richtlinie erfolgt.

Diese persönlichkeitsrechtliche Anforderung bekommt durch das Recht auf Vergessenwerden der DSGVO und das „Recht auf Löschung“ eine größere Bedeutung. Praktisch hat das zur Folge, dass ein Datenverantwortlicher, der von einer Einzelperson eine Anfrage im Rahmen des Rechts auf Löschung erhält, alle Kopien der fraglichen Daten sowie alle Verknüpfungen zu diesen Daten von jedem erdenklichen IT-Gerät löschen muss, einschließlich Servern und Sicherungen, Cloud-Systemen und tragbarer Geräte.

In Fällen, in denen der Datenverantwortliche die Daten veröffentlicht hat, muss er außerdem „angemessene Maßnahmen“ ergreifen, um andere Datenverantwortliche, die die Daten verarbeiten, die Gegenstand des Widerspruchs der Einzelperson sind, zu informieren, damit auch diese weiteren Datenverantwortlichen Verknüpfungen zu und Kopien von diesen Daten löschen können.

Sofern Uneinigkeit über das Recht auf Löschung besteht, muss der Datenverantwortliche Schritte unternehmen, die die Verarbeitung der personenbezogenen Daten einer Person einschränken, bis eine Einigung erfolgt.

Ein umfassender Ansatz

Wie können sich Unternehmen nun auf das Recht auf Vergessenwerden und das Recht auf Löschung vorbereiten? Judith Vieberink, Rechtsanwältin der Kanzlei First Lawyers, rät Unternehmen zu einem umfassenden Ansatz.

„Als Erstes ist eine Bestandsaufnahme zu den unterschiedlichen Arten personenbezogener Daten erforderlich, die Sie verarbeiten. Und zwar unternehmensweit und über alle globalen Systeme hinweg“, sagt sie.

„Als Nächstes müssen Sie in Erfahrung bringen, welche Anwendungen Sie für die Verarbeitung der personenbezogenen Daten verwenden und wo sie sich befinden: innerhalb oder außerhalb Europas“, da Sie so herausfinden, welche Systeme von den Regelungen der DSGVO betroffen sind.

In einem dritten Schritt, so Vieberink, sollte die Staatsangehörigkeit der Personen ermittelt werden, über deren Daten Sie verfügen. „Die personenbezogenen Daten europäischer Staatsbürger sind weltweit geschützt, und Datenverantwortliche und Datenverarbeiter innerhalb und außerhalb der EU fallen unter die Regelungen der DSGVO.“

Und als Letztes müssen Sie als Datenverantwortlicher ermitteln, mit welchen dritten Verarbeitern Sie zusammenarbeiten, damit sichergestellt ist, dass personenbezogene Daten auch vollständig gelöscht werden können.

Vieberink zufolge bestünde der beste Weg, die Daten zu verwalten und das Löschen zu gewährleisten, darin, den Datenfluss im Unternehmen zu bestimmen, entsprechende Richtlinien zum Datenfluss anzuwenden und diesen Datenfluss dauerhaft zu überwachen, damit er nachvollziehbar und prüfbar bleibt.

„Es gibt mehrere Möglichkeiten, dies zu tun. Micro Focus hat beispielsweise eine Technologie für das Suchen und Verwalten von Daten entwickelt, sowohl für strukturierte als auch für unstrukturierte Daten“, erläutert sie.

CISO Compliance-Beauftragter Datenhoheit Datenschutzverstoß Recht

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond