Person blickt konzentriert in einen Laptop an einem Schreibtisch, Bürosituation im Hintergrund
© PR Image Factory | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Pflicht zur Berichtigung, Löschung ("Recht auf Vergessenwerden") und zur Einschränkung der Verarbeitung

Was bei einem Antrag auf Berichtigung, Löschung und Einschränkung der Verarbeitung zu tun ist

Lesedauer: 6 Minuten

 Die DSGVO räumt der betroffenen Person ein Recht auf Berichtigung, allenfalls Ergänzung über alle zu ihrer Person verarbeiteten Daten ein. Des Weiteren stehen jedem Betroffenen ein Löschungsrecht und ein Recht auf Einschränkung der Verarbeitung zu.

Wem stehen diese Ansprüche zu?

Jeder betroffenen Person. Diese muss ihre Identität nur dann nachweisen, wenn der Verantwortliche berechtigte Zweifel daran hat. Werden große Mengen an Informationen über die betroffene Person verarbeitet, kann sie zur Mitwirkung aufgefordert werden.

Näheres zum Nachweis der Identität siehe Die Betroffenenrechte im Überblick.

Wen treffen diese Pflichten?

Nur der Verantwortliche hat die Daten zu berichtigen, zu löschen oder einzuschränken.

Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, den Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber. 

Wie muss die Berichtigung, Löschung oder Einschränkung verlangt werden?

Der Antrag kann formlos gestellt werden, allenfalls sogar mündlich. Bei mündlichen Antragstellungen per Telefon werden jedoch in der Regel Zweifel an der Identität bestehen, anders bei einer persönlichen Vorsprache. Siehe dazu Die Betroffenenrechte im Überblick.

Welche Voraussetzungen hat das …

Recht auf Berichtigung?

Voraussetzung für den Anspruch ist, dass die Daten unrichtig sind, also mit der Wirklichkeit nicht übereinstimmen (z.B. falsches Geburtsdatum) oder dass die Daten unter Berücksichtigung des Zweckes der Verarbeitung, unvollständig sind.

Recht auf Löschung?

Voraussetzung für das Löschungsrecht ist das Zutreffen einer der folgenden Gründe:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, oder die Daten werden aus anderen Gründen unrechtmäßig verarbeitet.

  • Die betroffene Person hat ihre Einwilligung zur Datenverarbeitung widerrufen (und es liegt keine andere Rechtsgrundlage vor); das gilt insbesondere für Daten einesKindes, die im Zusammenhang mit einem ihm angebotenen Dienst der Informationsgesellschaft ermittelt worden sind.

Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt (und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor).

Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.

Recht auf Einschränkung?

Voraussetzung für das Recht auf Einschränkung ist das Zutreffen einer der folgenden Gründe:

  • Die betroffene Person hat die Richtigkeit der personenbezogenen Daten bestritten, solange der Verantwortliche die Richtigkeit der personenbezogenen Daten überprüft.

  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen des Betroffenen überwiegen.

  • Die Verarbeitung ist unrechtmäßig und die betroffene Person hat die Löschung der personenbezogenen Daten abgelehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt.

  • Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Was ist zu tun bei einem  

Berichtigungsantrag? Der Verantwortliche hat die Daten der betroffenen Person richtig zu stellen. Allenfalls unter Berücksichtigung der Zwecke der Verarbeitung, unvollständige Daten zu vervollständigen.

  • Löschungsantrag? Der Verantwortliche hat die Daten der betroffenen Person zu löschen.
  • Einschränkungsantrag? Der Verantwortliche darf die Daten der betroffenen Person nur mehr speichern, aber keine sonstigen Verarbeitungsschritte setzen. In bestimmten Fällen ergibt sich aus dem Einschränkungsantrag auch nur ein Verbot, die Daten zu bestimmten Zwecken zu verarbeiten

    Beispiel: Kundendaten dürfen weiterhin zur Vertragsabwicklung und Rechnungslegung verarbeitet werden, aber nicht mehr für Werbezwecke.

Wie ist die betroffene Person zu verständigen? 

Die betroffene Person ist von der durchgeführten Maßnahme zu informieren. Dies hat schriftlich zu erfolgen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde. Auf ausdrücklichen Wunsch der betroffenen Person ist das Schreiben auf Papier zu übersenden. Eine mündliche Verständigung ist auf Wunsch der betroffenen Person möglich, sofern keine Zweifel an der Identität bestehen. 

Besonderes Augenmerk ist auf die Textierung zu legen: Der Verantwortliche hat sich einer klaren und einfachen Sprache zu bedienen; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. 

Kann der Antrag abgelehnt werden?

Offenkundig unbegründete oder — insbesondere im Fall von häufiger Wiederholung — exzessive Anträge einer betroffenen Person kann der Verantwortliche ablehnen oder ein angemessenes Entgelt verlangen.

Näheres dazu siehe Die Betroffenenrechte im Überblick.

Bei der Geltendmachung des Löschungsrechts kommen noch einige spezielle Ablehnungsgründe hinzu. Der Anspruch darf daher abgelehnt werden, wenn die Verarbeitung erforderlich ist: 

in dieser Aufzählung wurden die Punkte vereinheitlicht!

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

  • zur Erfüllung einer rechtlichen Verpflichtung, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, notwendig macht;

    Hinweis: Diese gesetzliche Bestimmung hat konkret die Aufbewahrung anzuordnen, wie z.B. § 132 Abs 1 BAO.

  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;

  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke;

  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

    Beispiel: § 29 Abs 1 Gleichbehandlungsgesetz rechtfertigt das Aufbewahren von Bewerberdaten für die Dauer von 6 Monaten nach der Ablehnung der Bewerbung.

Das Recht auf Einschränkung besteht nicht, wenn 

  • die betroffene Person einer weitergehenden Verarbeitung zugestimmt hat;

  • die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist;

  • die Verarbeitung zum Schutz der Rechte einer anderen natürlichen oder juristischen Person notwendig ist.  

In welcher Frist ist dem Antrag nachzukommen?

Der Verantwortliche hat den Antrag unverzüglich zu erledigen und zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang, wobei es eine Verlängerungsoption um weitere zwei Monate gibt, die aber speziell zu begründen ist. Näheres dazu siehe Die Betroffenenrechte im Überblick.

Kann die Berichtigung oder Löschung der Daten nicht unverzüglich erfolgen, weil dies aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so kann der Auftraggeber die Erledigung dieses Antrages bis zu diesem Zeitpunkt aufschieben und ist die Verarbeitung der Daten einzuschränken. 

Spezielle Mitteilungspflichten

Wurden Daten auf Antrag einer betroffenen Person berichtigt, gelöscht oder eingeschränkt, hat der Verantwortliche jeden anderen, an den die Daten weitergegeben wurden, über die Geltendmachung dieser Ansprüche in Kenntnis zu setzen. Eine Ausnahme besteht nur dann, wenn diese Mitteilungspflicht unmöglich oder mit einem unverhältnismäßig hohen Aufwand verbunden wäre. Die betroffene Person hat Anspruch auf Auskunft über diese Empfänger. 

Beispiel:
Eine Konzerntochter, die dem Berichtigungsantrag eines Mitarbeiters entsprochen hat, muss andere Konzernunternehmen die diese Daten auch haben, von der Geltendmachung des Berichtigungsanspruches in Kenntnis setzen.

Beim Löschungsrecht erfasst diese Mitteilungspflicht auch veröffentlichte Daten („Recht auf Vergessenwerden“): Der Verantwortliche hat unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art zu treffen, um andere Verantwortliche, welche personenbezogenen Daten der betroffenen Person verarbeiten, darüber zu informieren, dass die betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. 

Muss die Berichtigung, Löschung oder Einschränkung kostenlos erfolgen?

Grundsätzlich ja. Näheres dazu sowie zu den Ausnahmen siehe Die Betroffenenrechte im Überblick.

Wo kann die betroffene Person ihre Ansprüche durchsetzen?

Falls die betroffene Person behauptet, dass ihr Anspruch verletzt worden ist, kann sie zur Durchsetzung dieses Anspruches binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einreichen. Siehe dazu Die Betroffenenrechte im Überblick.

Geldstrafen 

Die Verletzung der Rechte auf Berichtigung, Löschung und Einschränkung der Verarbeitung ist mit bis zu 20 Mio EUR oder 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.  

Relevante Artikel der DSGVO: Art 11-12, Art 16-19, Art 23
Relevante Erwägungsgründe: 57-60, 64–66, 73.
Relevante Bestimmungen des DSG: § 4 Abs 2, § 24 Abs 4

Stand: 10.05.2023

Weitere interessante Artikel
  • Laptop, Tablet und Smartphone aufeinander gelegt
    EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzerklärung / Informationspflichten
    Weiterlesen
  • Detailansicht leuchtender Glasfaserkabeln
    EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr
    Weiterlesen
  • Rendering leuchtender Würfel mit 1 und 0 miteinander durch leuchtende Ketten verbunden
    EU-Datenschutz-Grundverordnung (DSGVO): Datenschutz­rechtliche Pflicht zur Datenübertragung
    Weiterlesen