Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Das Recht auf Vergessenwerden : Eine Erklärung

5 minute gelesen
Letzte aktualisierung 30. Juni 2022

Das „Recht auf Vergessenwerden“ ist ein Schlüsselelement der neuen EU-Datenschutz-Grundverordnung (DSGVO) – das Konzept ist aber schon etwa fünf Jahre älter als die aktuelle Gesetzgebung.  Es umfasst das Recht der Verbraucher, mit einem Antrag die Löschung aller personenbezogenen Daten bei einem Unternehmen – oder des „Verantwortlichen“ in DSGVO-Terminologie – zu verlangen.  Aber es geht noch weiter: Die Bestimmungen DSGVO (siehe Artikel 17) sehen vor, dass Suchmaschinen wie Google Verweise auf personenbezogene Daten löschen müssen, die in den Suchergebnissen öffentlich auftauchen.

Mit anderen Worten, die Verbraucher haben das Recht, ihre Privatsphäre im Internet zu schützen.  Der Begriff des Rechts auf Vergessenwerden gewinnt weltweit immer mehr an Bedeutung. In Kalifornien wurde kürzlich das Recht auf Vergessenwerden im Rahmen des California Consumer Privacy Act eingeführt. North Carolina arbeitet an einer gesetzlichen Regelung des Rechts auf Vergessenwerden, und es gibt erste Bemühungen, das Thema im US-Kongress diskutieren zu lassen.

Im Grunde will ich damit sagen: das Recht auf Vergessenwerden scheint in den kommenden Jahren zum neuen Normalzustand zu werden.

Anmerkung des Redakteurs: Das Recht auf Vergessenwerden, das Recht auf Löschung und das Recht zum Löschen sind konzeptionell so ähnlich, dass wir sie in diesem Blog einfach alle als Recht auf Vergessenwerden bezeichnen.

Das Recht auf Vergessenwerden: Geschichte

Das Recht auf Vergessenwerden als Konzept hat sich aus der seit langem vertretenen Überzeugung entwickelt, dass die Vergangenheit einer Person nach einer gewissen Zeit bei der Arbeitssuche nicht mehr berücksichtigt werden sollte. Mit dem Aufkommen des Internets und indizierter Suchmaschinen (wie Google) wurden diese Arten von Aufzeichnungen leichter zugänglich.

Zeit für eine kurze Geschichtsstunde: Im Jahr 2014 urteilte die spanische Justiz im Fall Google Spain SL, Google Inc gegen Agencia Española de Protección de Datos, Mario Costeja González (2014) zugunsten eines Rechts auf Vergessenwerden. Der Fall drehte sich um eine Meldung in der Zeitung La Vanguardia über eine Zwangsversteigerung des Eigentums von Herrn Costeja, die im Jahr 1998 zur Begleichung seiner Sozialversicherungsschulden erforderlich war. Im Jahr 2009 kontaktierte Costeja die Zeitungen, weil bei einer Suche nach seinem Namen die alte Meldung in der Ergebnissen erschien. Die Zeitung lehnte seine Aufforderung ab, da es sich um eine staatliche Pflicht-Mitteilung handelte. Costeja setzte sich dann mit Google Spain in Verbindung, um das Suchergebnis entfernen zu lassen.

Schließlich entschieden die EU-Gerichte, dass Google die Suchergebnisse entfernen muss aber dass die Zeitung – und das ist wichtig – nicht zur Löschung des Originalartikels verpflichtet ist. Das Urteil schuf effektiv einen Präzedenzfall und bekräftigte das Recht auf Vergessenwerden als Gesetz, mit mehreren Vorbehalten.

Heute ist Recht auf Vergessenwerden im Artikel 17 der DSGVO verankert.  Und mit dem Recht auf Löschung, das jetzt in Kalifornien per Gesetz vorgeschrieben ist, hat das Recht auf Vergessenwerden nun auch die Küsten der USA erreicht.

Kann ich ein Unternehmen auffordern, meine Daten zu löschen?

Wenn Sie sich in einem Land befinden, in dem Recht auf Vergessenwerden oder eine ähnliche gesetzliche Regelung gilt, können Sie mit einem Antrag durch Betroffene die Löschung Ihrer personenbezogenen Daten bei einem Unternehmen oder eine Auskunft über diese Daten verlangen. Das bedeutet nicht, dass der Verantwortliche jedem derartigen Antrag nachkommen wird oder sollte.  Es gibt rechtliche Unterschiede zwischen öffentlichen, privaten und fehlerhaften Daten.

Wann ist das Recht auf Vergessen anwendbar?

Zunächst müssen Sie die Aufforderung direkt an denjenigen richten, der die zu löschenden Daten gesammelt hat. Google hat dafür ein spezielles Anfrageformular, Facebook ein anderes, und so weiter.

Der „Verantwortliche“ – also das Unternehmen, das gerade über die Daten verfügt, die Sie gelöscht haben möchten – muss Ihren Antrag dann auf der Grundlage rechtlicher Präzedenzfälle prüfen. Einige tragfähige Gründe für einen Antrag nach dem Recht auf Vergessenwerden sind unter anderem:

  1. dass im Internet Daten vorliegen, die alt und veraltet sind oder anderweitig derzeit nicht relevant sind
  2. dass die betroffene Person entscheidet, dass der Verantwortliche nicht mehr auf ihre Daten zugreifen darf, wenn die Daten nicht öffentlich zugänglich sind
  3. dass Daten gestohlen oder geändert wurden
  4. dass ein Richter oder ein anderes Gerichtsorgan entschieden hat, dass diese Daten gelöscht werden müssen

reasons for a right to be forgotten request Vergessenwerden

Kurz gesagt, die „betroffene Person“ – die Person, die den Antrag stellt – kann sich in vielen Fällen auf einen starken Rechtsrahmen berufen, um zu verlangen, dass ihre personenbezogenen Daten von einem Verantwortlichen gelöscht werden. Beispielsweise sind offensichtlich falsche oder beleidigende Daten einen guter Grund für die Löschung. Es gibt natürlich Ausnahmen.

Gibt es Ausnahmen vom Recht auf Vergessenwerden ?

Ausnahmen von Recht auf Vergessenwerden :

  1. Wenn die Daten aufgrund der Informations- und Meinungsfreiheit verfügbar bleiben sollten.
  2. Wenn die Daten in Verbindung zu einem laufenden oder aktuelles Gerichtsverfahren stehen.
  3. Wenn die Daten für die öffentliche Gesundheit von Bedeutung sind.
  4. Wenn die Daten im öffentlichen Interesse archiviert werden sollten, da sie für die wissenschaftliche oder historische Forschung von Bedeutung sind.

Ausnahmen vom Recht auf Vergessenwerden beziehen sich größtenteils auf das öffentliche Interesse, die Meinungs- und die Informationsfreiheit.

Kontroverse um das Recht auf Vergessenwerden

Es ist nicht überraschend, dass das Recht auf Vergessenwerden ein umstrittenes Thema mit überzeugenden Argumenten auf beiden Seiten ist. Auf der einen Seite steht das Recht eines Einzelnen auf Privatsphäre, andererseits ist die Meinungs- und Informationsfreiheit zu beachten.

Die Kontroverse läuft darauf hinaus, wo man die Grenze zwischen den beiden zieht. Im zuvor erwähnten Fall Costeja lag diese Grenze beim Suchergebnis. Die sachliche Information, dass Herr Costeja die Immobilie zur Schuldentilgung verkauft hatte, ist eine öffentliche Angelegenheit und sollte nicht aus dem Internet gelöscht werden. Google wurde allerdings gerichtlich angewiesen, das Suchergebnis, über das auf die öffentlichen Information über den Verkauf der Immobilie durch Herrn Costeja verwiesen wurde, zu löschen und zu unterdrücken. Im Urteil wurde argumentiert, dass die Tilgung der Schulden durch Herrn Costeja schon lange zurücklag, weshalb die Suchergebnisse „unzureichend, irrelevant oder übertrieben“ seien. Das Gericht hat Herrn Costeja das Recht auf Vergessenwerden aus diesen Gründen eingeräumt, aber nicht geurteilt, dass einem Antrag auf Löschung der Daten immer nachgekommen werden muss.

Vor kurzem hat Frankreich beim Europäischen Gerichtshof ein Verfahren eingeleitet, in der beantragt wird, dass sich das Recht auf Vergessenwerden gemäß DSGVO universell auf alle Personen außerhalb der EU angewendet wird. Kritiker (darunter Google) argumentieren, dass eine Entscheidung zugunsten einer Ausweitung des Rechts auf Vergessenwerden zu einer globalen Zensur und einer Verletzung des Rechts auf Informationsfreiheit führen könnte.

Frankreich andererseits führt an, dass bei einer Aberkennung der universellen Gültigkeit des Rechts auf Vergessenwerden das Google-Suchergebnis immer noch in anderen Ländern angezeigt wird – was den Schutz durch das Recht auf Vergessenwerden effektiv nutzlos macht. Wenn Google das Ergebnis bei Google.fr löscht, könnte jeder einfach die US-Version von Google verwenden, um das ursprüngliche Ergebnis zu sehen.

Die Frage, wo man diese Grenze zwischen dem Recht auf Privatsphäre und der Informationsfreiheit ziehen muss, wird uns noch weiter beschäftigen. Verfolgen Sie, wie Gesetzgeber, Anwälte und Richter neue Regeln aufstellen und Urteile fällen – es ist eine faszinierende Diskussion.

Das Recht auf Vergessenwerden in den Nachrichten

Die neuesten Nachrichten drehen sich vorrangig um den Fall Google gegen Frankreich

Kanadas Datenschutzkommissar bittet Gerichte um ein Urteil zum Recht auf Vergessenwerden

Eine britische Wohltätigkeitsorganisation bittet die Gerichte, Überlebenden von Krebs im Kindesalter das Recht auf Vergessenwerden einzuräumen

Das Recht auf Vergessenwerden wird den Unternehmen in der tatsächlichen Umsetzung durch die Entwicklung und Anpassung weiterer Richtlinien Probleme bereiten. Jedes Unternehmen benötigt eine Strategie, um eine auf dem Recht auf Vergessenwerden basierende Aufforderung je nach den von Ihnen gespeicherten Daten und der geltenden Rechtslage zu handhaben.

how to manage an RTBF request Vergessenwerden

Unternehmen müssen:

Varonis DatAnswers erstellt einen Index Ihrer Daten und hilft Ihnen bei der Identifizierung von Dateien, die Datensubjektkennzeichen enthalten, so dass Unternehmen jeden Antrag auf Löschung oder Auskunft angemessen bearbeiten können. In unstrukturierte Daten können potenzielle Bußgelder in Millionenhöhe schlummern, wenn ein Verantwortlicher einen Lösch- oder Auskunftsantrag falsch handhabt und die Daten des Kunden weitergegeben oder weiterverwendet werden. Die Varonis Data Transport Engine kann dann helfen, alle entsprechenden Dateien an einen einzigen Ort zu verschieben, zu sammeln und zu sichern, so dass Sie die Daten problemlos isolieren oder löschen können – und so das Recht auf Vergessenwerden leichter achten können.

Möchten Sie mit einem unserer DSGVO-Experten darüber sprechen, wie Varonis Ihnen hilft, mit Lösch- und Auskunftsanträgen und dem Recht auf Vergessenwerden umzugehen? Vereinbaren Sie eine kostenlose 1:1-Demo und erkundigen Sie sich dabei über die DSGVO.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
was-ist-data-governance?-framework-und-best-practices
Was ist Data Governance? Framework und Best Practices
Data Governance unterstützt die Organisation, Sicherung und Standardisierung von Daten für verschiedene Organisationen. Erfahren Sie hier mehr über Data-Governance-Frameworks.
was-ist-das-nist-framework-für-cybersecurity?
Was ist das NIST-Framework für Cybersecurity?
Erfahren Sie, wie Sie das NIST-Framework für Cybersecurity in Ihrer eigenen Organisation umsetzen können.
einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
Einhaltung der Datenschutzgesetze von Illinois: Was Sie wissen müssen
The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
Die 12 PCI-DSS-Anforderungen: 4.0-Compliance-Checkliste
Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) tritt bald in Kraft. Bereiten Sie sich mit unserer PCI-DSS-Compliance-Checkliste vor.