Recht auf Vergessenwerden bei Google, KI und Co.: Wie setzen Unternehmen ihre Löschpflicht um?

Was versteht man unter Recht auf Vergessenwerden gemäß DSGVO?

Mit dem Recht auf Vergessenwerden stärkt die Datenschutzgrundverordnung (DSGVO) die Rechte von EU-Bürgern und natürlichen Personen, deren personenbezogene Daten innerhalb der EU verarbeitet werden: Es gibt ihnen die Möglichkeit, personenbezogene Daten löschen zu lassen, die zum Beispiel von Unternehmen gespeichert werden oder in Suchergebnissen bei Google und Co. auftauchen.  

Rechtsgrundlage: Was sagt der Artikel 17 der DSGVO?

Artikel 17 DSGVO regelt, unter welchen Voraussetzungen Löschanträge berücksichtigt werden müssen, und welche Ausnahmen gelten.  

Der Artikel unterscheidet außerdem zwischen dem Recht auf Löschung und dem Recht auf Vergessenwerden –streng genommen handelt es sich um zwei verschiedene Dinge:

• Wenn Kunden nicht mehr möchten, dass ihre personenbezogenen Daten von Ihrem Unternehmen verarbeitet werden oder die gesetzlichen Aufbewahrungsfristen für die Daten abgelaufen sind, besteht ein Löschanspruch.  

• Das Recht auf Vergessenwerden betrifft die Spuren, die ihre Daten im Internet hinterlassen. Es geht zum Beispiel darum, Links oder Kopien veröffentlichter personenbezogener Daten zu entfernen.  

Beispiel für das Recht auf Vergessenwerden in der Praxis

Ein Fall aus dem Jahr 2014 zeigt praktisch, wann das Recht auf Vergessenwerden greift: Damals kämpfte die Privatperson Mario Costeja González aus Spanien dafür, dass ein alter Zeitungsartikel von 1998 gelöscht wird, in dem über seine damaligen Schulden berichtet wurde, was eine Rufschädigung nach sich zog. Während die Lokalzeitung sich hinsichtlich des Artikels auf die Pressefreiheit berufen, musste Google den Artikellink entfernen musste.  

Gilt das Recht auf Vergessenwerden auch für Unternehmen?

Auch Unternehmen können Löschung oder Vergessenwerden beantragen. Das ist zum Beispiel sinnvoll, wenn falsche Negativbewertungen bei Google ihren Ruf gefährden oder Falschinformationen über sie verbreitet werden, die wirtschaftliche Schäden nach sich ziehen könnten.

H2: Voraussetzungen: Wann müssen personenbezogene Daten nach DSGVO gelöscht werden?

Damit Betroffene das Recht auf Löschung oder auf Vergessenwerden durchsetzen können, müssen bestimmte Voraussetzungen erfüllt sein:

• Die personenbezogenen Daten sind für den ursprünglichene Zweck der Erhebung nicht mehr notwendig.

• Die betroffene Person widerruft ihre Einwilligung und es existiert keine andere Rechtsgrundlage für die Verarbeitung der Daten.

• Die betroffene Person legt Widerspruch gegen die Verarbeitung der Daten ein und es liegen keine berechtigten Gründe für die (weitere) Verarbeitung vor.

• Die Daten werden unrechtmäßig verarbeitet.

• Die Löschung ist nach dem Unionsrecht erforderlich, weil zum Beispiel eine andere europäische Rechtsvorschrift gilt.

Wann müssen personenbezogene Daten nicht gelöscht werden?

Vom Recht auf Löschung gibt es nach Art. 17 Abs. 3 DSGVO Ausnahmen. Ein Recht auf Löschung besteht in der Regel nicht, wenn die Verarbeitung der Daten  

• der freien Meinungsäußerung und der Information dient  

• für das öffentliche Interesse im Bereich Gesundheit erforderlich ist  

• zu statistischen oder Forschungszwecken erfolgt

• dafür dient, Rechtsansprüche geltend zu machen.

Wie können Kunden verlangen, dass ihre Daten gelöscht werden?

Jede Person, deren personenbezogene Daten bei einem Unternehmen erhoben, verarbeitet oder gespeichert werden, kann ein Auskunftsersuchen stellen und herausfinden, welche Daten gespeichert sind. Anschließend können Betroffene einen Löschantrag stellen.  

Wie löscht man Daten DSGVO-konform?

Die vom Löschantrag betroffenen Daten müssen unverzüglich, also „ohne schuldhaftes Zögern“ gelöscht werden. Nach Antragseingang muss der Antragsteller innerhalb eines Monats über die ergriffenen Maßnahmen unterrichtet werden.

Wird der Löschantrag abgelehnt, müssen die Verantwortlichen die Gründe für die Ablehnung darlegen und den Antragsteller über sein Beschwerderecht bei einer Aufsichtsbehörde und die Möglichkeit eines gerichtlichen Rechtsbehelfs informieren.

Checkliste: So sind Sie für Löschanträge gewappnet

Um kurzfristig auf Löschanträge reagieren zu können und den Aufwand für das Löschen von Daten zu reduzieren, ist bereits ab der Erhebung höchste Sorgfalt gefragt:

• Stellen Sie sicher, dass Ihre Datenschutzerklärung aktuell und korrekt ist und alle relevanten Informationen zur Löschung enthält.

• Dokumentieren Sie von Anfang an den Zweck der Datenerhebung oder Datenverarbeitung und die Grundlage der Verarbeitung und Einwilligung des Betroffenen.

• Ermitteln Sie die Lösch- und Aufbewahrungsfristen für die Daten – dokumentieren sie auch diese und setzen Sie sich die Termine auf Wiedervorlage.  

• Kennzeichnen Sie genau, welche Daten gelöscht werden müssen und welche Daten von der Löschverpflichtung ausgenommen sind. Ausnahmen können zum Beispiel bei wissenschaftlichen Daten bestehen.

• Dokumentieren Sie die Weitergabe von Daten an Dritte.

• Falls die Daten veröffentlicht werden, sind die Veröffentlichungen ebenfalls zu dokumentieren.

Am einfachsten gelingt die Dokumentation mit einer Datenschutzsoftware: Eine Software gibt Ihnen jederzeit den Überblick darüber, wo im Unternehmen und in welchen Systemen welche Daten gespeichert sind und an wen sie eventuell weitergegeben wurden.

Keine Daten mehr übersehen

Noch einfacher ist die Umsetzung des Datenschutzes, wenn Sie auf einen externen Datenschutzbeauftragten setzen, der bereits über eine Software verfügt.  

Zum externen Datenschutzbeauftragten

Wie sollte die Datenmüllentsorgung geregelt sein?

Digitale Daten müssen so vernichtet werden, dass sie nicht wiederhergestellt werden können. Dabei können Sie spezialisierte Dienstleister unterstützen. Was für physische Dokumente gilt, die personenbezogene Daten enthalten, erfahren Sie in unserem Blogartikel zum Thema DSGVO-konforme Aktenvernichtung.  

H2: Was ist ein Löschkonzept gemäß DSGVO – und ist es Pflicht?

Ein Löschkonzept regelt, wie Daten im Unternehmen gelöscht werden. Es ist laut DSGVO zwar nicht verpflichtend. Allerdings ist es neben einer aktuellen Datenschutzerklärung eine wichtige Voraussetzung für das schnelle und sichere Einhalten von Löschpflichten und damit nahezu unverzichtbar.  

Erfahren Sie mehr über das Löschkonzept – inklusive einer Checkliste, was enthalten sein muss.

H2: Recht auf Vergessenwerden bei Google und KI-Tools

Während das Recht auf Löschung für Unternehmen in der Regel gut zu managen ist, hält das Recht auf Vergessenwerden einige Herausforderungen bereit – vor allem im Zusammenhang mit KI. Suchergebnisse bei Google lassen sich recht einfach entfernen. Doch was, wenn personenbezogene Daten in KI-basierte Tools wie Chatbots gelangen?  

Daten, die ein Modell einmal „gelernt“ hat, sind im System als Wissen eingespeichert und werden für Antworten genutzt. Selbst wenn Originaldaten gelöscht werden, bleibt das Gelernte oft erhalten, sodass ein vollständiges „Vergessen“ technisch schwer umzusetzen ist.

Für Unternehmen bedeutet das: Sie müssen nicht nur sichere Löschprozesse für interne Daten etablieren, sondern auch neue Strategien für den Umgang mit KI-Tools entwickeln, damit sie Löschpflichten zuverlässig erfüllen. Ein wichtiger Schritt ist das Aufbauen von KI-Kompetenz und eine KI-Governance.

So arbeiten Ihre Teams sicher mit KI

Etablieren Sie klare KI-Leitlinien schulen Sie Ihre Mitarbeiter im Umgang mit LLMs. Damit Sie dabei Ressourcen sparen und produktiv bleiben, unterstützen wir Sie dabei mit unserem Fachwissen!

Zur KI-Beratung

H2: Fazit: Recht auf Löschung und Vergessenwerden ernst nehmen und Vertrauen aufbauen  

Egal, ob Sie im Bereich E-Commerce, in der Finanzbranche oder im Gesundheitswesen tätig sind: Das Recht auf Löschung gehört in jedes Datenschutzkonzept. Erheben und verarbeiten Sie Daten von Anfang an DSGVO-konform und nachvollziehbar – dann stellt selbst eine einmonatige Frist kein Problem mehr dar.

Bei Fragen zur DSGVO und zum Recht auf Löschung oder Vergessenwerden sind unsere Datenschutzexperten gern für Sie da.

‍