Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

Art. 17 DSGVO: Recht auf Löschung - Recht auf Vergessenwerden

Änderungsdienst
veröffentlicht am

22.01.2022

Änderung

Neu aufgenommen

Dokumentdaten
Stand15.12.2021
Erstellungsgrundlage in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018
Rechtsgrundlage

Art. 17 DSGVO

Version002.00

Inhalt der Regelung

Die betroffene Person hat nach dieser Regelung das Recht, personenbezogene Daten über sie löschen zu lassen, sofern bestimmte Voraussetzungen gemäß Art. 17 Abs. 1 DSGVO vorliegen.

Absatz 1 gewährt der betroffenen Person in insgesamt sechs Fallgruppen ein Recht auf Löschung sie betreffender personenbezogener Daten und begründet eine Pflicht des Verantwortlichen, in genau diesen Fällen eine unverzügliche Löschung vorzunehmen.

Ein Recht auf unverzügliche Löschung besteht, wenn

  • die personenbezogenen Daten für den Zweck, für den sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
  • die Einwilligung, auf die sich die Verarbeitung stützte, widerrufen wird und eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt,
  • von der betroffenen Person Widerspruch gegen die Verarbeitung eingelegt wird und keine vorrangigen, berechtigten Gründe für die Verarbeitung vorliegen,
  • die personenbezogenen Daten unrechtmäßig verarbeitet werden,
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist oder
  • personenbezogene Daten von Kindern in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 DSGVO erhoben wurden.

Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er nach Absatz 1 zu deren Löschung verpflichtet, trifft ihn nach Absatz 2 die Pflicht, andere Verantwortliche, die diese Daten gespeichert und verarbeitet haben, über das Löschungsverlangen zu informieren.

Absatz 3 zählt fünf Ausnahmen auf, in denen eine Löschung nicht erfolgen kann.

Soweit die Verarbeitung

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
  • zur Erfüllung einer Rechtspflicht oder öffentlicher Aufgaben,
  • zum Schutz der öffentlichen Gesundheit,
  • für im öffentlichen Interesse liegende Archiv-, Forschungs-, und Statistikzwecke oder
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

erforderlich ist, besteht kein Recht auf Löschung.

nach oben

Ergänzende/korrespondierende Regelungen

Die Regelung dient der korrekten Erscheinungsform der personenbezogenen Daten(Art. 4 Nr. 1 DSGVO) einer betroffenen Person und korrespondiert mit den Grundsätzen der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO und der Speicherbegrenzung nach Art. 5 Abs. 1 Buchst. e DSGVO.

Art. 12 DSGVO regelt die allgemeinen Modalitäten für das Recht auf Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person.

Eine Einschränkung erfährt das Recht auf Löschung von Sozialdaten durch § 84 Abs. 1 SGB X, der die Ausnahmeregelungen des Art. 17 Abs. 3 DSGVO ergänzt.

Nach Art. 19 DSGVO teilt der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurde, jede Löschung der personenbezogenen Daten nach Art. 17 DSGVO mit. Er unterrichtet die betroffene Person über die Empfänger, wenn die betroffene Person dies verlangt.

Weitere Erläuterungen finden Sie in dem Erwägungsgrund ErwG 65 DSGVO-ErwG.

nach oben

Begriff und Vornahme der Löschung

Der Begriff der Löschung wird in der DSGVO nicht definiert. Er ist in Art. 4 Nr. 2 DSGVO lediglich als Form der Datenverarbeitung genannt.

Löschung bedeutet, dass die zu löschenden Informationen auf Dauer nicht mehr in Dateien, Dateisystemen oder in Papierform (also weder in digitaler noch in analoger Form) vorhanden sind. Dies erfolgt in der Regel durch Überschreiben oder die Vernichtung des Datenträgers. Möglich ist auch eine Verschlüsselung mit anschließender Vernichtung des Schlüssels. Die bloße Kennzeichnung der personenbezogenen Daten als zu löschende Daten genügt nicht.

Die Löschung muss auch sämtliche Kopien des Verantwortlichen, einschließlich der Sicherungskopien, umfassen.

Der Anspruch besteht auch ohne einen Antrag der betroffenen Person.

Die Löschung ist unverzüglich vorzunehmen.

Die Löschung erfolgt unentgeltlich (Art. 12 Abs. 5 DSGVO).

Alternativ zur Löschung kann die betroffene Person auch verlangen, dass ihre personenbezogenen Daten anonymisiert oder pseudonymisiert werden. Ergeben sich zwischen betroffener Person und dem Verantwortlichen Meinungsverschiedenheiten zu den Löschungstatbeständen, kann auch eine Beschränkung der Verarbeitung verlangt werden (Art. 18 DSGVO).

Mit Hilfe des Auskunftsrechtes (Art. 15 DSGVO) kann die betroffene Person die Löschung überprüfen. Eine unterlassene Löschung stellt eine Pflichtverletzung dar, die zu Schadensersatz (Art. 82 DSGVO) führen und mit einem Bußgeld belegt werden kann (Art. 83 Abs. 5 Buchst. b DSGVO).

nach oben

Löschungstatbestände (Art. 17 Abs. 1 DSGVO)

Das Recht auf Löschung ist gegeben, wenn die betroffene Person einen Antrag auf Löschung stellt und einer der sechs Tatbestände des Absatz 1 erfüllt ist. Der Verantwortliche, gegen den sich das Recht auf Löschung richtet, hat die Löschungspflichten zu dokumentieren.

nach oben

Zweck der Datenverarbeitung ist erfüllt (Buchstabe a)

Ein Anspruch auf Löschung besteht, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Damit wird gleichzeitig dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) Rechnung getragen.

Die DRV ist zur Löschung verpflichtet, wenn ein gespeichertes personenbezogenes Datum jede Bedeutung für die Erfüllung der gesetzlichen Aufgaben der DRV verliert. Die Frage, ob Sozialdaten noch erforderlich sind, muss sorgfältig geprüft werden. Gerade im Sozialleistungsbereich ergibt sich oft die Notwendigkeit, auch nach längerer Zeit auf frühere Ereignisse (insbesondere Krankheiten, Unfälle, Beitragszahlungen, Beitragserstattungen) zurückgreifen zu müssen.

Könnte die weitere Speicherung personenbezogener Daten die Erfüllung der Aufgaben erleichtern, ohne dafür notwendig zu sein, so ist eine Interessenabwägung vorzunehmen. Würde die fortdauernde Speicherung in gravierender Weise in die Rechtsstellung der betroffenen Person eingreifen, muss mit Rücksicht auf das Verhältnismäßigkeitsprinzip eine Löschung erfolgen. Anderenfalls ist die Fortdauer der Speicherung rechtmäßig. Ob eine anschließende Speicherung von Sozialdaten zulässig ist, richtet sich nach §§ 67b und 67c SGB X (siehe GRA zu § 67b SGB X und GRA zu § 67c SGB X).

Erfolgt die Datenverarbeitung rechtmäßig für einen anderen als den bei der Erhebung verfolgten Zweck, ist der Wegfall des ursprünglichen Zwecks ohne Bedeutung. Ein Löschanspruch besteht erst dann, wenn der neue Zweck entfällt. Werden verschiedene Zwecke verfolgt, müssen alle entfallen, um einen Löschanspruch auszulösen. Dies gilt ebenfalls für Verarbeitungen, die als vereinbar mit den ursprünglichen Zwecken (Art. 5 Abs. 1 Buchst. b DSGVO) angesehen werden können.

nach oben

Widerruf der Einwilligung (Buchstabe b)

Wird eine erteilte Einwilligung zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Buchst. a DSGVO oder Art. 9 Abs. 2 Buchst. a DSGVO widerrufen (Art. 7 Abs. 3 DSGVO) und greift keine andere Rechtsgrundlage für die Datenverarbeitung, besteht ein Recht auf Löschung.

Mit dem Widerruf sagt sich die betroffene Person von der Verarbeitung ihrer personenbezogenen Daten los; eines besonderen Löschungsantrags bedarf es nicht. Sobald dem Verantwortlichen der Widerruf zur Kenntnis gelangt, ist er zur Löschung verpflichtet, da die fehlende Rechtsgrundlage eine weitere Datenverarbeitung unzulässig macht (Art. 17 Abs. 1 Buchst. d DSGVO).

Die Löschung ist jedoch nur vorzunehmen, wenn sich der Widerruf der Einwilligung auf den gesamten Prozess der Verarbeitung bezieht. Ein Teilwiderruf, der sich zum Beispiel nur auf die Offenlegung von personenbezogenen Daten bezieht, die aufgrund einer Einwilligung erholt wurden, stellt keinen Löschgrund dar.

nach oben

Widerspruch gegen die Verarbeitung (Buchst. c)

Erhebt die betroffene Person Widerspruch gegen die weitere Verarbeitung ihrer personenbezogenen Daten (Art. 21 Abs. 1 und 2 DSGVO), kann sie die Löschung dieser Daten verlangen.

Im Fall eines Widerspruchs nach Art. 21 Abs. 1 DSGVO sind die personenbezogenen Daten nur dann zu löschen, wenn die Voraussetzungen des Art. 21 Abs. 1 DSGVO tatsächlich vorliegen und keine vorrangigen berechtigten Gründe für die Verarbeitung der personenbezogenen Daten vorliegen.

nach oben

Unrechtmäßige Verarbeitung (Buchstabe d)

Unrechtmäßig ist eine Verarbeitung immer dann, wenn es keine ausreichende Rechtsgrundlage für die Datenverarbeitung gibt und diese auch nicht nachträglich, beispielsweise durch eine Einwilligung, eingeholt werden kann.

Ist eine Verarbeitung unrechtmäßig, kann die betroffene Person die Löschung ihrer personenbezogenen Daten verlangen.

Die Träger der Deutschen Rentenversicherung müssen bereits zum Zeitpunkt der Erhebung der Sozialdaten prüfen, ob die Sozialdaten zur gesetzlichen Aufgabenerfüllung tatsächlich erforderlich sind und damit zulässig erhoben werden dürfen (§ 67a SGB X). Auf die GRA zu § 67a SGB X wird hingewiesen. Sofern sich herausstellt, dass die Verarbeitung unzulässig gewesen ist, müssen die Sozialdaten gelöscht werden.

Lehnt die betroffene Person die Löschung der personenbezogenen Daten ab, kann sie die Einschränkung der Nutzung der personenbezogenen Daten nach Art. 18 Abs. 1 Buchst. b DSGVO verlangen. Der Verantwortliche ist verpflichtet, die betroffene Person entsprechend zu informieren.

nach oben

Erfüllung einer rechtlichen Verpflichtung (Buchstabe e)

Ein Recht, die Löschung von personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung zu verlangen, besteht nur, wenn es sich bei der rechtlichen Verpflichtung um eine Rechtspflicht aus dem objektiven Recht handelt. Vertragliche Vereinbarungen genügen nicht.

Erfasst ist beispielsweise die kraft Richterrechts bestehende Verpflichtung, eine unberechtigte oder lange zurückliegende Abmahnung zu löschen.

nach oben

Erhebung in Bezug auf die angebotenen Dienste der Informationsgesellschaft (Buchstabe f)

Art. 17 Abs. 1 Buchst. f DSGVO findet in der gesetzlichen Rentenversicherung keine Anwendung.

nach oben

Informationspflichten des Verantwortlichen (Art. 17 Abs. 2 DSGVO)

Hat ein Verantwortlicher personenbezogene Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, hat er unter Berücksichtigung der verfügbaren Technologien angemessene Maßnahmen (auch technischer Art) zu treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihr die Löschung aller Links zu diesen personenbezogenen Daten oder die Löschung von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

nach oben

Löschungsverbote (Art. 17 Abs. 3 DSGVO)

Art. 17 Abs. 3 DSGVO enthält fünf Ausnahmetatbestände, die einer Löschung personenbezogener Daten entgegenstehen.

Für Sozialdaten ergänzt § 84 Abs. 1 SGB X einen Ausnahmetatbestand, der einer Löschung entgegensteht.

nach oben

Recht auf freie Meinungsäußerung und Information (Buchstabe a)

Löschungsansprüche und Löschungspflichten bestehen nicht, wenn die weitere Verarbeitung der personenbezogenen Daten zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist.

Die freie Meinungsäußerung und die Informationsfreiheit sollen geschützt werden. Ihnen kommt jedoch kein absoluter Vorrang zu. Sie sind zwar in Art. 11 Grundrechtscharta garantiert, müssen aber gegen das die Persönlichkeit des Einzelnen schützende Grundrecht auf Datenschutz nach Art. 8 Grundrechtscharta abgewogen werden.

nach oben

Erfüllung einer Rechtspflicht oder öffentlichen Aufgabe (Buchstabe b)

Löschansprüche und Löschpflichten bestehen nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert. Das Gleiche gilt, wenn die Verarbeitung der personenbezogenen Daten zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

Bei der Erfüllung einer rechtlichen Verpflichtung handelt es sich um Fälle, die ihre Rechtsgrundlage in Art. 6 Abs. 1 Buchst. c DSGVO haben.

Die Pflicht, personenbezogene Daten weiter zu speichern, muss sich aus objektivem Recht ergeben. Vertragliche Abmachungen genügen nicht, da sich der Verantwortliche den Löschpflichten sonst entziehen könnte.

Beachtlich für die DRV sind hier insbesondere Dokumentations- und Aufbewahrungsfristen beispielsweise nach § 35 SRVwV, § 147 AO, § 257 HGB oder § 113 BGB.

Personenbezogene Daten müssen so lange gespeichert bleiben, wie dies zur jeweiligen Aufgabenerfüllung notwendig beziehungsweise erforderlich ist oder ein entsprechendes schutzwürdiges Interesse der betroffenen Person besteht.

Für die Aufbewahrung von Sozialdaten innerhalb der DRV gilt der nicht gesetzlich normierte Grundsatz ordnungsgemäßer Aktenführung. Dies gilt sowohl für Papierakten als auch für die elektronische Aktenführung. Er folgt aus dem Rechtsstaatsprinzip (Art. 20 Abs. 3 GG).

Insofern wurden vom Gesetzgeber keine konkreten Fristen vorgegeben. Ausnahmen hierzu bilden die Verwaltungsvorschrift § 35 SRVwV und weitere spezialgesetzliche Regelungen für medizinische Unterlagen. Aufbewahrungsfristen müssen vielmehr von der Sozialverwaltung im Hinblick auf ihre unterschiedlichen Aufgaben differenziert bestimmt werden.

Zudem ist die DRV nach § 110a Abs. 1 SGB IV angehalten, die Unterlagen, die sie für ihre Aufgabenerfüllung benötigt, ordnungsgemäß aufzubewahren. § 110b SGB IV ergänzt die Grundsatznorm des § 110a SGB IV und ermöglicht die Rückgabe oder Vernichtung der Originalunterlagen.

Zum Thema „Aufbewahrungsfristen“ wurden zuletzt im Jahr 2004, die nach § 110c SGB IV für die Träger der Deutschen Rentenversicherung verbindlichen „Grundsätze für die Aufbewahrung, Rückgabe und Vernichtung von Unterlagen der Rentenversicherung“ veröffentlicht. (FAO 1/2011, TOP 14, Anlage 2).

Bundeseinheitliche Aufbewahrungsfristen für die in den digitalen Archiven abgelegten Leistungsakten (dLA) der Deutschen Rentenversicherung wurden durch den Fachausschuss Organisation verbindlich vorgegeben (FAO 4/2014, TOP 13, Anlage 1).

Bei der Erfüllung öffentlicher Aufgaben geht es um Fälle, die ihre Rechtsgrundlage in Art. 6 Abs. 1 Buchst. e DSGVO haben. Auch hier gibt es allerdings keinen absoluten Vorrang gegenüber dem Löschungsanspruch der betroffenen Person. Vielmehr kann es das Verhältnismäßigkeitsprinzip gebieten, auf die weitere Speicherung irrelevant gewordener personenbezogener Daten zu verzichten.

nach oben

Schutz der öffentlichen Gesundheit (Buchstabe c)

Personenbezogene Daten aus dem Bereich des öffentlichen Gesundheitswesens, die nach Art. 9 Abs. 2 Buchst. h und i DSGVO verarbeitet werden, sind von der Löschpflicht ausgenommen. Der Bezug auf Art. 9 Abs. 3 DSGVO betrifft die Tatsache, dass die Verarbeitung nach Art. 9 Abs. 2 Buchst. h DSGVO nur durch Fachpersonal erfolgen darf, das zur Verschwiegenheit verpflichtet ist.

Dennoch kann sich die Notwendigkeit einer Abwägung zwischen dem mit der Datenspeicherung verfolgten öffentlichen Interesse und dem Interesse der betroffenen Person ergeben.

Auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) ist zu beachten, der dazu zwingt, die Daten möglichst frühzeitig zu pseudonymisieren oder zu anonymisieren.

nach oben

Archiv, Forschung und Statistik (Buchstabe d)

Die Ausnahme von Löschansprüchen und der Löschpflicht betrifft nach Art. 17 Abs. 3 Buchs. d DSGVO personenbezogene Daten, die für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO, soweit das Recht auf Löschung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.

Die Verweisung auf Art. 89 Abs. 1 DSGVO ist so zu verstehen, dass die Ausnahme von der Löschpflicht nur dann greift, wenn die nach Art. 89 Abs. 1 DSGV O erforderlichen geeigneten Garantien für die Rechte und Freiheiten der betroffenen Personen bestehen.

In allen Fällen, in denen der Personenbezug für die verfolgten Zwecke nicht erforderlich ist, ist der Grundsatz der Datenminimierung sicherzustellen und die Daten sind zu pseudonymisieren.

nach oben

Rechtsansprüche (Buchstabe e)

Löschungsansprüche und Löschungspflichten bestehen nicht, wenn die personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen noch erforderlich sind. Dies gilt auch für die besonders sensiblen Daten nach Art. 9 Abs. 2 Buchst. f DSGVO.

Der von dieser Ausnahme Begünstigte wird in der Regel der Verantwortliche sein. Denkbar ist aber auch, dass diese Ausnahmevorschrift zugunsten eines in Beweisnot befindlichen Dritten oder für die betroffene Person selbst Anwendung findet.

Die Vorschrift setzt voraus, dass eine Verteidigung gegen die Geltendmachung von Ansprüchen stattfindet bzw. mit einiger Wahrscheinlichkeit bevorsteht. Die bloße abstrakte Möglichkeit, dass es zu Auseinandersetzungen kommen könnte, genügt nicht.

Die Ausnahme beschränkt sich nicht auf die gerichtliche Verfolgung von Rechtsansprüchen, sondern gilt auch für außergerichtliche Verfahren.

Die Bestimmung verhindert, dass mit Hilfe des Löschanspruchs Beweismittel oder anspruchsbegründende Tatsachen beseitigt werden können.

nach oben

Besondere Art der Speicherung von Sozialdaten (§ 84 SGB X)

Löschungsansprüche und Löschungspflichten bestehen nicht, wenn eine Löschung von Sozialdaten, die nicht automatisiert verarbeitet werden, aufgrund der besonderen Art ihrer Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist (§ 84 Abs. 1 SGB X). In diesem Fall bestehen das Recht und die Pflicht auf die Einschränkung der Verarbeitung (Art. 18 DSGVO).

Dies gilt nicht, wenn die Sozialdaten unrechtmäßig verarbeitet wurden. Auf die GRA zu § 84 SGB X wird hingewiesen.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 L 119/1

Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.

Zusatzinformationen

Rechtsgrundlage

Art. 17 DSGVO