Musterbriefe für Anträge auf Löschung persönlicher Daten nach Art. 17 DSGVO („Recht auf Vergessenwerden“)

Wenn Deine personenbezogenen Daten, die verschiedene Unternehmen oder andere Organisationen (sogenannte Verantwortliche) zu Deiner Person gespeichert haben, für ihren ursprünglichen Zweck nicht mehr nötig sind, hast Du nach der Datenschutz-Grundverordnung ein „Recht auf Vergessenwerden“. Das bedeutet, dass Du vom Verantwortlichen verlangen kannst, dass eben diese Daten wieder gelöscht werden.

Wenn der Verantwortliche Deine Daten an andere Unternehmen weitergeleitet hat, muss er diese darüber hinaus auch über deinen Löschantrag informieren.

Falls Du mehr dazu erfahren willst, schau Dir doch einmal den Artikel zu Deinen Rechten nach der DSGVO an.

Wie nutze ich dieses Recht?

Die DSGVO stellt keine Erfordernisse daran, wie Du Deine Anfrage zu stellen hast. Das heißt, dass Du grundsätzlich einfach ein formloses Schreiben aufsetzen und das an den Verantwortlichen schicken kannst. Theoretisch würde sogar ein Anruf reichen.

In aller Regel empfiehlt sich aber natürlich die Schriftform, allein schon um später im Zweifelsfall einfacher nachweisen zu können, dass Du tatsächlich eine Anfrage gestellt hast. Und während Du zwar auch einfach informell schreiben könntest, dass Du die Löschung Deiner Daten forderst, würden wir Dir zu einer formelleren Anfrage raten, die sich auf die konkreten Rechtsvorschriften bezieht. Dadurch stellst Du sicher, dass sich der Verantwortliche nicht herausreden kann.

Was muss in so einem Schreiben stehen?

Keine Sorge, Du musst dieses Schreiben nicht selbst aufsetzen. Wir haben ein Musterschreiben vorbereitet, das Du einfach übernehmen und für Deine Zwecke anpassen kannst.

Hier ist unser Musterschreiben für Anfragen auf Löschung nach Art. 17 DSGVO. Die Daten in geschweiften Klammern musst Du noch ausfüllen. Du kannst Dich entscheiden, ob alle Daten zu Deiner Person gelöscht werden sollen oder nur manche. Dafür musst Du eine der beiden Passagen in [eckigen Klammern] übernehmen.

Guten Tag,

ich stelle hiermit Antrag auf unverzügliche Vernichtung mich betreffender personenbezogener Daten gemäß Art. 17 Abs. 1 DSGVO.

[Bitte vernichten Sie sämtliche mich betreffenden personenbezogenen Daten nach der Definition des Art. 4 Nr. 1 DSGVO.]

[Bitte vernichten Sie die folgenden mich betreffenden personenbezogenen Daten:

Hier die zu vernichtenden Daten eintragen.]

Ich bin der Meinung, dass die Voraussetzungen des Art. 17 Abs. 1 DSGVO gegeben sind.

Sollte ich eine Einwilligung zur Verarbeitung meiner Daten (bspw. nach Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 DSGVO) erteilt haben, widerrufe ich diese hiermit. Weiterhin lege ich im Sinne des Art. 21 DSGVO Widerspruch gegen die Verarbeitung mich betreffender personenbezogener Daten ein, dies gilt auch für Profiling.

Sofern Sie die betroffenen personenbezogenen Daten Dritten offengelegt haben, haben Sie meinen Wunsch auf Löschung der genannten personenbezogenen Daten und sämtlicher Verweise darauf nach Art. 19 DSGVO auch allen solchen Empfängern mitzuteilen. Bitte informieren Sie mich weiterhin über diese Empfänger.

Sollten Sie die Löschung ablehnen, haben Sie dies mir gegenüber zu begründen.

Meine Anfrage schließt explizit auch sämtliche weiteren Angebote und Unternehmen ein, für die Sie Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sind.

Nach Art. 12 Abs. 3 DSGVO haben Sie mich unverzüglich, spätestens aber innerhalb von 14 Tagen nach Eingang des Antrags, über die vorgenommenen Löschungen zu informieren.

Zur Identifikation meiner Person habe ich folgende Daten beigefügt:
Hier Deine Daten zur Identifikation einfügen. Das sind häufig Angaben wie Dein Name, Dein Geburtsdatum, Deine Adresse, Deine E-Mail-Adresse usw.

Sollten Sie meinem Antrag nicht innerhalb der genannten Frist nachkommen, behalte ich mir vor rechtliche Schritte gegen Sie einzuleiten und Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen.

Wir bestehen darauf, dass alle Daten vernichtet werden. Das löschen und anonymisieren alleine ist uns zu wenig. Wir möchten auch darüber informiert werden, wo unsere Daten liegen oder gelegen sind.

Bitte bestätigen Sie uns Innerhalb von 14 Tagen welche Daten von uns gespeichert wurden und welche Daten Sie von uns vernichtet, oder welche Daten von uns lediglich nur anonymisieret wurden.

Bei Nichteinhaltung der 14 tägigen Frist behalten wir uns rechtliche Schritte so wie eine Einstweilige Verfügung und Unterlassungsklage vor.

Mit freundlichen Grüßen
Dein Name

Wo kann die betroffene Person ihre Ansprüche durchsetzen?

Falls die betroffene Person behauptet, dass ihr Anspruch verletzt worden ist, kann sie zur Durchsetzung dieses Anspruches binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einreichen. Siehe dazu Die Betroffenenrechte im Überblick.

Um Dir Dein Leben einfacher zu machen, kannst Du das Schreiben auch herunterladen und direkt mit dem Textverarbeitungsprogramm Deiner Wahl verwenden. Du hast die Auswahl zwischen den folgenden Vorlagen:

Vorlage für LibreOffice oder OpenOffice (.ott)
Vorlage für Microsoft Word (.dotx)
PDF-Formular (.pdf)
Textdokument (.txt)

Du darfst die Vorlagen gerne verwenden wie immer Du möchtest. Wir stellen sie Dir unter einer CC0-Lizenz zur Verfügung. Die Vorlagen für LibreOffice und Word basieren auf dieser LibreOffice-Vorlage.

Identitätsnachweis

Nach alter Rechtslage (DSG 2000) war es notwendig, dass der Betroffene seine Identität mit entsprechendem Nachweis (Ausweiskopie) bereits bei der Anfrage offengelegt hat. Nach der DSGVO muss die betroffene Person das nur, wenn der Verantwortliche begründete Zweifel an seiner Identität hat. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Frist

Informationen (Informationspflicht) sind den Betroffenen zum Zeitpunkt der Erhebung der Daten, wenn diese bei dem Betroffenen direkt erhoben werden, zur Verfügung zu stellen. Werden Daten nicht beim Betroffenen selbst erhoben, erteilt der Verantwortliche die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an die Person, oder falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Alle weiteren Anfragen durch Betroffene (Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht) müssen vom Verantwortlichen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang der Anfrage beantwortet werden. Diese Frist kann um weitere zwei Monate verlängert werden (die Frist kann daher insgesamt drei Monate betragen), wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Der Verantwortliche stellt der betroffenen Person Informationen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang der Anfrage zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden (die Frist kann daher insgesamt drei Monate betragen), wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Der Verantwortliche muss die betroffene Person aber innerhalb eines Monats nach Eingang der Anfrage über eine Fristverlängerung unterrichten, das zusammen mit den Gründen für die Verzögerung. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat).

Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, muss er ebenso die betroffene Person ohne Verzögerung informieren, spätestens aber innerhalb eines Monats nach Eingang der Anfrage über die Gründe für das Nicht-Tätigwerden und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen (= Negativauskunft).

Unentgeltlichkeit

Informationen und alle Mitteilungen und Maßnahmen sind unentgeltlich zur Verfügung zu stellen. Bei offenkundig unbegründeten oder exzessiven Anträgen (z.B. wenn die Anfrage häufig wiederholt wird) einer betroffenen Person kann der Verantwortliche entweder

– ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
sich weigern, aufgrund des Antrags tätig zu werden.

Ob die Anfrage des Betroffenen tatsächlich offenkundig unbegründet oder exzessiv war, hat der für die Verarbeitung Verantwortliche zu beweisen.

Durchsetzung der Betroffenenrechte

Falls eine betroffene Person meint, in ihren Rechten verletzt worden zu sein, kann zur Durchsetzung der Betroffenenrechte binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde eingereicht werden.

Geldstrafen

Die Verletzung der Betroffenenrechte ist mit bis zu EUR 20 Mio oder 4% des letztjährigen weltweiten Jahresumsatzes sanktioniert.

An wen muss ich das Schreiben schicken?

Das Schreiben schickst Du direkt an den Verantwortlichen. Wenn dieser eine_n Datenschutzbeauftrage_n hat, empfiehlt es sich, den Brief immer direkt an diese Person zu adressieren. Datenschutzbeauftragte sind nämlich nicht nur besonders geschult, sondern müssen Dein Anliegen auch vertraulich behandeln.

Die Kontaktdaten von Unternehmen und sonstigen Organisationen findest Du häufig auf deren Webseite in der Datenschutzerklärung oder im Impressum. Auch hier wollen wir Dir die Arbeit abnehmen. Wir führen eine Unternehmensdatenbank, die für viele Unternehmen schon die passenden Kontaktdaten für datenschutzspezifische Anfragen enthält.

Geht das nicht auch einfacher?

Die Idee hinter Datenanfragen.de ist, Dir die Ausübung Deiner Rechte im Bezug auf den Datenschutz so einfach wie möglich zu machen. Deshalb haben wir einen Generator entwickelt, mit dem Du Anfragen wie diese automatisch erstellen kannst. Wir laden Dich herzlich ein, ihn einmal auszuprobieren.

DSGVO: Daten löschen heißt nicht unbedingt Daten vernichten

Haben User personenbezogene Daten von einem Unternehmen speichern lassen, können sie diese auch wieder löschen lassen. Dieses Recht schreibt ihnen die Datenschutz-Grundverordnung (DSGVO) in Artikel 17 zu. Artikel 4, Ziffer 2 der DSGVO unterscheidet dabei in das Löschen und das Vernichten von Daten. Was können Kunden von Unternehmen verlangen? Und wo liegt der Unterschied?

Internetkunde und Versicherungskunde will seine Daten löschen lassen

Ein ehemaliger Versicherungskunde in Österreich wollte, dass die Versicherung seine personenbezogenen Daten löscht. Daraufhin löschte die Versicherung seine E-Mail-Adresse, Telefonnummer und die Angaben über ein einst erbetenes Versicherungsangebot. Zudem stoppte es alle Werbezusendungen. Den Namen und die Adresse ersetzte die Versicherung durch „Max Mustermann“ sowie eine Musteradresse. Informationen zu zwei früheren Versicherungsverträgen behielt die Versicherung jedoch bei. Alle Daten löschen bzw. vernichten wollte die Versicherung erst einige Monate später. Das gefiel dem Kunden nicht, so dass er sich bei der Datenschutzbehörde beschwerte.

Datenschutzbehörde erklärt Unterschied zwischen Löschen und Vernichten

Die Datenschutzbehörde erklärte zunächst, was der Unterschied zwischen Daten löschen und Daten vernichten ist. Müssen Unternehmen Daten löschen, reicht es aus, diese zu anonymisieren. Sie müssen dabei lediglich sicherstellen, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können. Müssen Unternehmen Daten vernichten, müssen sie diese rückstandslos beseitigen.

Die Versicherung hatte neben der Anonymisierung des Namens und der Adresse alle Logdaten entfernt, so dass sie darüber die Anonymisierung der Daten nicht rückgängig machen konnte. Die Datenschutzbehörde entschied daher, dass die Versicherung ihrer gesetzlichen Pflicht nachgekommen war.

Fazit

Wollen Kunden, dass Unternehmen ihre personenbezogenen Daten löschen, reicht es aus, wenn sie dafür die Daten anonymisieren und die entsprechenden Logdaten löschen. Dabei sollten sie jedoch dokumentieren, wie sie welchen Daten gelöscht haben. Das kann im Falle eines Prozesses als Nachweis dienen. Daten lediglich vor einem Zugriff zu sperren, reicht dagegen nicht aus, um dem Löschantrag eines Kunden nachzukommen.

Relevante Artikel der DSGVO: Art 12 – 21
Relevante Erwägungsgründe: 58ff
Stand: 10. 03. 2019