href="#fb3_img_img_36291374-159e-5c84-8cbd-1a5a08af53f8.png" alt="Dreieck"/> Kap. 6.1.6). Das „Recht auf Löschung {Löschung}“ ist nicht neu (§§ 20, 35 BDSG a. F.) und wurde auf das Internet ausgeweitet. Mit dem „Recht auf Vergessenwerden“ wird der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, dass alle Links zu diesen personenbezogenen Daten bzw. Kopien oder Replikationen der personenbezogenen Daten zu löschen sind.
Mit dem „Recht auf Vergessenwerden“ {Betroffenenrechte, Vergessenwerden} werden die Rechte der betroffenen Person gestärkt. Denn damit erhält sie das Recht eines Löschungsanspruchs auch gegenüber Dritten von der verantwortlichen Stelle. Auf Grundlage des EuGH-Urteils zu Google Spain und Google Inc. vom 13.05.2014 (Rs. C-131/12) ist das Recht auf Löschung bzw. auf Vergessenwerden als subjektives Recht eine spezielle Ausprägung der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, wie sie nun in Artt. 7 und 8 Abs. 1 GRCh und in Art. 16 Abs. 1 AEUV niedergelegt sind.[6]
Das Urteil des EuGH, das die Verbraucherrechte in der digitalen Welt stärkt, ist wegweisend gewesen. Internetdienste müssen unter bestimmten Voraussetzungen Links zu Daten über Verbraucher löschen, wenn diese sich mit dem Wunsch an die Betreiber von Suchmaschinen wenden. Das Urteil des EuGH bezieht sich ausdrücklich nur auf Links und Verweise in Suchmaschinen und nicht auf Inhalte im Netz. Hintergrund dafür ist, dass eine Suche in den Suchmaschinen sofort strukturierte und umfassende Ergebnislisten liefert, anders als bspw. die Suche in Zeitungsarchiven, in denen man immer nur punktuelle Ergebnisse findet. Der EuGH stärkt somit das Recht des Verbrauchers auf Privatsphäre und Selbstbestimmtheit. Er sieht die Suchmaschinenbetreiber als Verantwortliche und somit als richtige Ansprechpartner für die Verbraucher an.[7]
Mit diesem umstrittenen Google-Urteil hat der Art. 17 DSGVO allerdings nur am Rande zu tun. Die Vorschrift regelt das Recht von betroffenen Personen auf die korrespondierende Pflicht von verantwortlichen Unternehmen, personenbezogene Daten zu löschen, sobald keine Zweckbindung mehr vorliegt. Dies gilt auch für Beschäftigtendaten und ist nicht neu (§ 35 BDSG a. F.). Das Recht zwingt den Verantwortlichen, ein entsprechendes und umfassendes Löschkonzept zu erstellen und umzusetzen – dies unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen, die sich u. a. aus HGB, SGB X oder AO ergeben.
Begriffsbestimmung
Das „Recht auf Vergessenwerden“ {Betroffenenrechte, Vergessenwerden} (engl.: right to be forgotten) soll sicherstellen, dass digitale Informationen mit einem Personenbezug nicht dauerhaft zur Verfügung stehen („digitaler Radiergummi“). Der Begriff geht auf Viktor Mayer-Schönberger zurück. Der österreichische Rechtswissenschaftler schlug vor, elektronisch gespeicherte Informationen mit einem Ablauf- oder Verfallsdatum zu versehen.
{Direkterhebung}
Einer der wichtigsten Grundsätze des Datenschutzrechts war das Gebot der Direkterhebung. Der § 4 Abs. 2 BDSG a. F. schrieb vor: „Personenbezogene Daten sind beim Betroffenen zu erheben […]“.
Wenn Staat und Wirtschaft Daten der Bürger sammeln, sollte dies offen (direkt beim Bürger) und nicht heimlich (bei Dritten) geschehen. Jedwede Befugnis, über einen Bürger hinter dessen Rücken Informationen zu sammeln, bedurfte nach dem Grundsatz der Direkterhebung einer sorgfältigen Begründung (vgl. Plath in: Plath, BDSG, 4 BDSG Rn. 20).
Die DSGVO hat den Grundsatz der Direkterhebung nicht übernommen. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, bedarf es hierfür nach der DSGVO keines besonderen Grundes (mehr). Allerdings sind bei einer sog. Dritterhebung – die personenbezogenen Daten wurden also nicht direkt bei der betroffenen Person erhoben – ein paar Dinge zu beachten. Denn in diesem Fall hat der Verantwortliche der betroffenen Person entsprechende Informationen gem. Art. 14 DSGVO (Informationspflichten) mitzuteilen. Über die Erhebung der Daten hat der Verantwortliche die betroffene Person gem. Art. 14 Abs. 1 DSGVO zu informieren. Diese Information über die Erlangung der personenbezogenen Daten sind der betroffenen Person innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats (Art. 14 Abs. 3 DSGVO), zur Verfügung zu stellen.
Der Verantwortliche hat die erforderliche Transparenz außerhalb der Direkterhebung herzustellen. Artikel 14 DSGVO enthält keine nähere Bestimmung über die Form der Information. Insbesondere gilt Art. 12 Abs. 1 DSGVO. Die Frage nach dem zulässigen Medienbruch wird vom Gesetz ebenfalls nicht beantwortet. Es wird allerdings der leichte Zugang betont. Insofern dürfte neben der unmittelbaren Angabe essenzieller Informationen z. B. ein Verweis auf eine Kurz-URL nebst QR-Code genügen (Gola, Datenschutz-Grundverordnung Kommentar, Art. 13 Rn. 34).
{Marktortprinzip}
Der europäische Gesetzgeber erstreckt den räumlichen Anwendungsbereich der DSGVO mit Einführung des Marktortprinzips auf datenschutzrechtlich relevante Geschäftsaktivitäten von Unternehmen, die keine Niederlassungen in der EU besitzen und damit an sich außerhalb des territorialen Anwendungsbereichs nach Art. 3 Abs. 1 DSGVO liegen würden.
Unternehmen, die keine Niederlassung in der EU haben, auf dem europäischen Markt aber Waren und Dienstleistungen anbieten, müssen die DSGVO uneingeschränkt anwenden. Diese Unternehmen sind außerdem verpflichtet, einen Vertreter in der EU zu benennen. Mit der Einführung des Marktortprinzips will man die Rechte der EU-Bürger stärken und diese gegenüber Unternehmen in Drittstaaten durchsetzen.
Begriffsbestimmung
Das Marktortprinzip regelt und erweitert den räumlichen Anwendungsbereich des europäischen Datenschutzrechts durch datenverarbeitende Stellen außerhalb der EU bei der Verarbeitung personenbezogener Daten, sofern das jeweilige Angebot auf den europäischen Markt („Marktort“) gerichtet ist (Schantz, NJW 2016, 1841, 1842).
Der Marktort ist der Ort, an dem die Interessen von Leistungsanbieter und Leistungsempfänger aufeinandertreffen, d. h., wenn EU-Bürgern (betroffene Personen) Waren oder Dienstleistungen angeboten werden (Art. 3 Abs. 2 lit. a DSGVO) oder deren Verhalten beobachtet wird (Art. 3 Abs. 2 lit. b DSGVO) und weder der Sitz noch eine Niederlassung des Anbieters sich in der EU befinden (
Nach dem Herkunftslandprinzip dagegen findet das Recht des Staates Anwendung, in dem das Unternehmen seinen Sitz hat.
{Privacy by Design}
{Privacy by Default}
Die DSGVO schreibt Prinzipien wie „Privacy by Design“ (Art. 25 Abs. 1 DSGVO) und „Privacy by Default“ (Art. 25 Abs. 2 DSGVO) verbindlich vor. Diese gelten u. a. auch für Apps und Smart Home.
Das existierende Grundprinzip im Datenschutzrecht lautet: Personenbezogene Daten dürfen nicht verarbeitet werden – es sei denn, es liegt eine Einwilligung vor oder eine gesetzliche Vorschrift gestattet den Datenumgang.
