So weisen Sie die Einhaltung von Artikel 17 der DSGVO nach

DSGVO-Compliance-Software

Demo buchen

Foto, Geschäftsmann, arbeiten, auf, modern, Dachboden, Büro., Mann, sitzend, Holz

Artikel 17 befasst sich mit einem der wichtigsten Aspekte der EU und des Vereinigten Königreichs DSGVO Gesetz – ein „Recht der betroffenen Person auf Vergessenwerden“, auch „Recht auf Löschung“ genannt.

Artikel 17 listet mehrere Gründe auf, warum eine betroffene Person möglicherweise vergessen werden möchte, sowie die Verpflichtung einer Organisation, andere Verantwortliche zu informieren, die möglicherweise ebenfalls Daten einer betroffenen Person im Rahmen ihrer eigenen Geschäftstätigkeit verarbeiten.

DSGVO Artikel 17 Gesetzestext

EU-DSGVO-Version

Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)

  1. Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:

    • die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich;

    • Die betroffene Person widerruft ihre Einwilligung, auf der die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, und wenn keine andere Rechtsgrundlage für die Verarbeitung besteht.

    • die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein;

    • die personenbezogenen Daten wurden rechtswidrig verarbeitet;

    • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;

    • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

  2. Wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zur Löschung der personenbezogenen Daten verpflichtet ist, ergreift der Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Schritte, einschließlich technischer Maßnahmen, um die Verantwortlichen darüber zu informieren Verarbeitung der personenbezogenen Daten, bei denen die betroffene Person von diesen Verantwortlichen die Löschung aller Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser personenbezogenen Daten beantragt hat.

  3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist:

    • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

    • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

    • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

    • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung dieser Ziele unmöglich macht oder ernsthaft beeinträchtigt wird bearbeitet; oder

    • zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen.

Britische DSGVO-Version

Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)

  1. Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:

    • die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich;

    • Die betroffene Person widerruft ihre Einwilligung, auf der die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, und wenn keine andere Rechtsgrundlage für die Verarbeitung besteht.

    • die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein;

    • die personenbezogenen Daten wurden rechtswidrig verarbeitet;

    • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach innerstaatlichem Recht erforderlich, der der Verantwortliche unterliegt.

    • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

  2. Wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zur Löschung der personenbezogenen Daten verpflichtet ist, ergreift der Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Schritte, einschließlich technischer Maßnahmen, um die Verantwortlichen darüber zu informieren Verarbeitung der personenbezogenen Daten, bei denen die betroffene Person von diesen Verantwortlichen die Löschung aller Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser personenbezogenen Daten beantragt hat.

  3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist:

    • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

    • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach innerstaatlichem Recht erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

    • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

    • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung dieser Ziele unmöglich macht oder ernsthaft beeinträchtigt wird bearbeitet; oder

    • zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zum Thema springen

Technischer Kommentar

Ein pauschales Recht auf Löschung der Daten besteht für die betroffene Person nicht. Anfragen müssen einem der folgenden rechtlichen Kriterien entsprechen:

  • die Daten sind für die ursprünglichen Zwecke nicht mehr erforderlich;

  • Widerruf der Einwilligung (wenn die gesamte Verarbeitungsgrundlage auf der Einwilligung beruht);

  • Ein Widerspruch gegen die Verarbeitung oder das Fehlen berechtigter Gründe für die Erhebung und/oder Verarbeitung;

  • unrechtmäßige/illegale Verarbeitung;

  • Einhaltung einer anderen rechtlichen Verpflichtung;

  • kinderschutzbezogene Zwecke.

Wenn eine Organisation aus irgendeinem Grund personenbezogene Daten veröffentlicht hat, sollte sie „angemessene Schritte“ unternehmen, um alle anderen Verantwortlichen – einschließlich Mitarbeiter – und Dritte über die Notwendigkeit der Datenlöschung auf Wunsch der betroffenen Person zu informieren.

ISO 27701 Abschnitt 7.2.2 und EU-DSGVO Artikel 17

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 17 (3)(a), 17 (3)(b), 17 (3)(c), 17 (3)(d) und 17 (3)(e)

Ermittlung einer rechtmäßigen Grundlage

Zur Bildung eines dokumentiert Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten sollten Organisationen zunächst Folgendes tun:

  1. Zustimmung einholen;

  2. einen Vertrag abschließen;

  3. alle anderen gesetzlichen Verpflichtungen einhalten;

  4. die „lebenswichtigen Interessen“ der betreffenden PII-Auftraggeber schützen;

  5. nur Aufgaben wahrnehmen, die im öffentlichen Interesse liegen;

  6. Stellen Sie sicher, dass die Verarbeitungstätigkeiten ein berechtigtes Interesse darstellen.

Organisationen sollten auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ein Datenklassifizierungsschema beziehen (siehe ISO 27701 Abschnitt 7.2.8).

Unterstützende ISO 27701-Klauseln

  • ISO 27701 7.2.8

Sehen Sie sich unsere Plattform an
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISO 27701 Abschnitt 7.3.5 und EU-DSGVO Artikel 17

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 17 (1)(a), 17 (1)(b), 17 (1)(c), 17 (1)(d), 17 (1)(e), 17 ( 1)(f), 17 (2)

Bereitstellung von Mechanismen zum Widerspruch gegen die Verarbeitung personenbezogener Daten

Die Gesetze variieren von Region zu Region, aber die Gerichtsbarkeiten geben Einzelpersonen häufig das Recht, Einspruch gegen die Art und Weise einzulegen, wie ihre Daten erfasst, verarbeitet und weitergegeben werden.

Dementsprechend sollten Organisationen:

  1. alle rechtlichen oder behördlichen Anforderungen aufzeichnen, die sich mit bestimmten Einwänden befassen;

  2. Geben Sie Einzelpersonen klare, präzise und leicht verständliche Anweisungen, wie sie der Erhebung, Verarbeitung oder Weitergabe ihrer Daten widersprechen können.

ISO 27701 Abschnitt 8.3.1 und EU-DSGVO Artikel 17 (2)

Verpflichtungen gegenüber PII-Auftraggebern

Organisationen müssen sicherstellen, dass Kunden die geeigneten Mittel erhalten, um ihren (d. h. der Organisation) Pflichten als PII-Controller in drei wichtigen Betriebsbereichen nachzukommen:

  1. gesetzgeberisch;

  2. regulatorisch;

  3. vertraglich.

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

DSGVO-ArtikelISO 27701-KlauselUnterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 17 (3) (a) bis 17 (3) (e)ISO 27701 7.2.2ISO 27701 7.2.8
EU-DSGVO Artikel 17 (1)(a) bis 17 (2)ISO 27701 7.3.5Andere
EU-DSGVO Artikel 17 (2)ISO 27701 8.3.1Andere

Wie ISMS.online hilft

Die DSGVO gilt allgemein als die strengste Datenschutz- und Sicherheitsverordnung der Welt, deren Verstöße zu erheblichen Geldstrafen führen. Es kann mehrdeutig und interpretierbar sein, was darauf hindeutet, dass Organisationen ein „angemessenes“ Schutzniveau für personenbezogene Daten bieten müssen.

Aber hier sind die guten Nachrichten. ISMS.online erleichtert Ihnen den direkten Einstieg in die Einhaltung der DSGVO und den Nachweis eines Schutzniveaus, das über „angemessen“ hinausgeht – und das alles an einem sicheren, stets verfügbaren Ort.

Die ISMS.online-Plattform verfügt über integrierte Anleitungen für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand für die Demonstration Ihres Ansatzes zur DSGVO erheblich reduziert wird. Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.

Erfahren Sie mehr von Buchen Sie noch heute eine kurze Demo.

Sehen Sie, wie wir Ihnen helfen können

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Unsicher, ob Sie bauen oder kaufen sollen?

Entdecken Sie den besten Weg zum ISMS-Erfolg

Holen Sie sich Ihren kostenlosen Ratgeber

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren