© lightwise / 123rf.com

Das Internet vergisst nie. Oder kann man es mit rechtlichen Mitteln zwingen, den Zugriff auf alte Informationen zu unterbinden? Falls ja, unter welchen Umständen? Dieser Artikel diskutiert das sogenannte “Recht auf Vergessenwerden” und seine Umsetzung im Licht der Datenschutzgrundverordnung.

Nehmen wir an, jemand wurde vor längerer Zeit wegen einer Straftat verurteilt, die Lokalpresse hat damals über den Fall berichtet, und er hat inzwischen seine Strafe verbüßt. Die Berichte über den Prozess stehen jedoch nach wie vor online, und wer will, der kann ihn damit als ehemaligen Täter identifizieren. Kann er verlangen, dass die Zeitung ihre alten Artikel löscht? Oder steht dem entgegen, dass die Öffentlichkeit ein Recht auf Informationen über die Arbeit der Justiz hat? Kann dieses Recht mit Ablauf der Zeit verfallen?

Solche Fragen betreffen das sogenannte Recht auf Vergessenwerden, eine juristische Konstruktion, die erst durch die fortschreitende Digitalisierung aufs Tapet kam. Mittlerweile wurde das zunächst nur theoretisch diskutierte Recht erstmals durch europäische Rechtsprechung [1] ausdrücklich zugesprochen und im Jahr 2018 dann in Artikel 17 der DSGVO normiert. Das Bundesverfassungsgericht hat 2019 mit zwei Grundsatzentscheidungen [2] auch die Umsetzung und Leitlinien eines solchen Rechts auf nationaler Ebene konkretisiert. Nun stellt sich die Frage, wie sich dies auf Nutzer und Anbieter rechtlich auswirkt und welche Rechte und Pflichten der Einzelne hat.

Heute teilen die meisten Nutzer höchstpersönliche Informationen in sozialen Medien. Viele tracken zudem die täglich absolvierten Schritte oder protokollieren, was sie wann essen und so weiter. Wer das tut, der läuft Gefahr, dass sein Leben immer transparenter wird. Damit muss nun allerdings auch der Schutz der weggegebenen Daten mithalten können.

“Das Internet vergisst nicht” – dieser Satz ist schon fast eine feste Redewendung. Obwohl Datenschützer warnen, verbreiten sich oft persönliche, sogar intime Daten über Menschen im Internet [3]. Das Recht reagiert mit ersten Ansätzen, die verhindern sollen, dass die Digitalisierung die Menschen gläsern macht. Ein Beispiel ist etwa die Cookie-Entscheidung des EuGH [4]. Der Verbraucher soll nicht durch komplizierte Mechanismen dazu gebracht werden, unbewusst einzuwilligen, dass Dritte seine Daten verarbeiten.

Zwei Fälle

Doch was, wenn die Informationen und Daten bereits weggegebenen sind? Kann das Interesse daran, dass persönliche Daten nicht mehr im Internet präsent sind, vom Recht gedeckt sein, selbst wenn sie der Betroffene selbst eingestellt hat? Wie wäre ein rechtlicher Schutz des Einzelnen denkbar, wenn dem das berechtigte Interesse der Öffentlichkeit oder Dritter entgegensteht, über diese Informationen weiter verfügen zu können? Und vor allem: Wie kann man dieses theoretische Recht technisch effektiv umsetzen, um einen solchen Anspruch zu gewährleisten? Exemplarisch sollen hier zwei Fälle aufgezeigt werden, in denen sich unterschiedliche rechtliche und tatsächliche Probleme stellen.

Zunächst geht es um einen Vorfall aus den USA, der unter dem Stichwort “Drunken Pirate” bekannt wurde [5]. Eine Lehramtsanwärterin lud während einer privaten Feier ein Bild von sich mit kleinem Piratenhütchen und dem Untertitel “drunken pirate” auf ihren MySpace-Account hoch. Ihr wurde daraufhin die Lehramtsbefugnis nicht erteilt, mit der Begründung, dieses Verhalten sei mit dem Lehrerberuf nicht vereinbar. Sie hatte zwar versucht, das Bild im Nachhinein zu entfernen, was allerdings nicht mehr gelang, weil im Cache-Speicher von Google bereits Kopien existierten.

In diesem Fall steht die Frage im Vordergrund, ob jemand die Löschung von Daten verlangen kann, die er selbst eingestellt hat. Besteht die Möglichkeit, die eigene Einwilligung zu widerrufen? Schlussendlich hat sie die betroffene Person selbst zu verantworten. Besteht außerdem ein Anspruch, auch der Weiterveröffentlichung entgegenzutreten, und falls ja, wie wäre dies technisch umzusetzen?

Das zweite Beispiel dreht sich um den bereits eingangs erwähnten, rechtmäßig verurteilen Straftäter (Abbildung 1), der nach fünf Jahren aus der Haft entlassen wird und nun ein neues Leben beginnen möchte. Die zur Zeit der Verurteilung verfassten Zeitungsberichte sind weiterhin online abrufbar [6] und erscheinen unter seinem Namen bei der Internet-Suche [7]. Dies könnte grundsätzlich zu Schwierigkeiten mit potenziellen Arbeitgebern, Vermietern oder auch einfach bei neuen sozialen Kontakten führen. Der Betroffene hat keinen Einfluss auf die im Internet veröffentlichten Informationen. Jedoch stehen dem Schutz personenbezogener Daten die Rechte Dritter entgegen, etwa das berechtigte Interesse der Öffentlichkeit oder auch die Pressefreiheit. Wie sind solche sich entgegenstehenden Interessen in Ausgleich zu bringen? Überwiegt eine Seite?

Abbildung 1: Hat ein Ex-Krimineller, der nach Verbüßung seiner Strafe aus der Haft entlassen wird, einen Anspruch darauf, Hinweise auf sein Vorleben im Netz zu tilgen? Quelle: Allan Swart / 123RF.com

Vor dem Hintergrund solcher Konfliktsituationen und dem Bedürfnis, die Kontrolle über die eigenen Informationen im Internet zu haben, entstand der Begriff des Rechts auf Vergessenwerden, der maßgeblich durch den österreichischen Rechtswissenschaftler Viktor Mayer-Schönberger geprägt wurde. Hinter einem solchen Recht auf Vergessenwerden steht die Leitidee, dass ein Individuum das Recht hat, über den Grad der Öffentlichkeit der eigenen Person mitzuentscheiden. Jeder besitzt die individuelle Freiheit, mit der Zeit einen neuen Selbstentwurf von sich selbst zu erstellen, im analogen sowie im digitalen Leben.

Gerade aufgrund der oftmals schweren tatsächlichen oder rechtlichen Folgen rückte dieses Problem auch in den Fokus von Gesetzgebern und Rechtsprechung. Auf Ebene der Europäischen Union trat im Mai 2018 die Datenschutzgrundverordnung in Kraft. Sie löste die bis dahin geltende Datenschutzrichtlinie ab, die aufgrund ihres Richtliniencharakters zu unterschiedlichen Umsetzungen in den Mitgliedsstaaten geführt hatte. Die DSGVO sollte nun einen einheitlichen Datenschutz in Europa schaffen und einen umfangreicheen Schutz personenbezogener Daten garantierten [8].

Die DSGVO hat als Verordnung gemäß Artikel 288 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) verbindlichen Charakter und gilt unmittelbar in allen Mitgliedsstaaten der EU. In der Verordnung wurde mit Artikel 17 zum ersten Mal eine als Recht auf Vergessenwerden betitelte Rechtsgrundlage geschaffen. Bis zu diesem Zeitpunkt hatte man das Recht auf Vergessenwerden größtenteils nur medial und theoretisch diskutiert.

Theoretische Grundlagen

Im Folgenden sollen zunächst die theoretischen Grundlagen des Artikel 17 DSGVO erarbeitet werden, um anschließend einen kurzen Überblick über die technische Umsetzbarkeit und Handlungsempfehlungen an diejenigen zu geben, die personenbezogene Daten verarbeiten.

Wie in den obigen Fällen dargestellt, stehen sich bei dem Wunsch, Informationen aus dem Internet zu entfernen, oftmals Interessen der betroffenen Person und Dritter gegenüber. Das Recht der betroffenen Person kann daher grundsätzlich kein absolutes Recht darstellen, sondern muss gegenüber den Rechten Dritter abgewogen werden [9]. Dabei stehen vereinfacht gesagt das Recht auf Privatsphäre und das allgemeine Persönlichkeitsrecht der Presse- und Informationsfreiheit sowie wirtschaftlichen Interessen dem Interesse der Öffentlichkeit gegenüber.

Bisher konnten Betroffene bereits auf Basis ihrer Grundrechte Ansprüche auf Löschung geltend machen. Hier war dann jeweils im Rahmen einer Verhältnismäßigkeitsprüfung eine spezielle Abwägung zwischen den sich entgegenstehenden Grundrechten erforderlich. Im Einzelfall musste entschieden werden, welche Interessen im konkreten Fall überwiegen. Die DSGVO und auch bereits die vorhergehende Datenschutzrichtlinie sowie das nationale Bundesdatenschutzgesetz (BDSG) versuchen durch einzelne Normen, diese Abwägung zu generalisieren und für bestimmte Fälle einen für Individuen prüfbaren Anspruch zu generieren.

Recht auf Löschung

Artikel 17 DSGVO garantiert in Absatz 1 ein Recht auf Löschung und in Absatz 2 eine Informationspflicht des Verantwortlichen. Absatz 3 setzt diesen Rechten unterschiedliche Grenzen.

Absatz 1 konkretisiert die Voraussetzungen, unter denen ein Betroffener einen Anspruch auf Löschung seiner personenbezogenen Daten hat. Sind die Voraussetzungen erfüllt, ist der Verantwortliche verpflichtet, unverzüglich zu löschen. Unter den Buchstaben a bis f werden die Grundlagen aufgelistet, aus denen sich ein Löschungsanspruch ergeben kann. Diese umfassen den Zweckfortfall (a), den Widerruf der Einwilligung (b), den Widerspruch (c), die unrechtmäßige Verarbeitung (d), die Erfüllung einer rechtlichen Verpflichtung (e) sowie eine Sonderregelung für Daten von Kindern (f).

Wesentlich an der Vorschrift ist, dass sie festlegt, dass Verantwortliche nicht per se zur Löschung verpflichtet sind, sondern ein Antrag des Betroffenen erforderlich ist [10]. Stellt die berechtigte Person einen Antrag und liegen die Voraussetzungen des Artikel 17 Abs. 1 DSGVO vor, muss der Verantwortliche die Daten jedoch verpflichtend und unverzüglich löschen.

Der Vorgang des Löschens selbst wird in der DSGVO nicht definiert. Aufgrund der unterschiedlichen Verwendung der Begriffe Löschung und Vernichtung in Artikel 4 Abs. 2 DSGVO ist davon auszugehen, dass das Löschen im Vergleich zum Vernichten weniger umfassend ist. Jegliche Unkenntlichmachung sollte demnach vom Begriff des Löschens erfasst sein. Auf jeden Fall müssen die Daten für den Verantwortlichen unlesbar sein oder nicht mehr zur Verfügung stehen. Die Löschung ist damit mit einem absoluten Nutzungsverbot gleichzustellen.

In bestimmten Fallkonstellationen kommt auch auch die Aufhebung des Personenbezugs mittels Anonymisierung in Betracht, um dem Anspruch auf Löschung gerecht zu werden. Darüber hinaus umfasst der Anspruch aus Absatz 1 auch die Unterlassung der Verarbeitung für die Zukunft.

Informationspflicht

Absatz 2 legt eine Informationspflicht des Verantwortlichen fest. Er verpflichtet diesen, soweit er personenbezogene Daten öffentlich gemacht hat, auf Verlangen angemessene Maßnahmen zu treffen, um Dritte über das Löschverlangen der betroffenen Person in Kenntnis zu setzen.

Der Umfang von Absatz 2 ist nicht abschließend geklärt. Nach dem Wortlaut hat der Verantwortliche “alle angemessenen Maßnahmen” zu treffen. Zur Beurteilung der Angemessenheit sollen nach Absatz 2 die verfügbaren Technologien und Implementierungskosten einbezogen werden. Dieses Kriterium ist zum derzeitigen Zeitpunkt jedoch noch nicht weiter konkretisiert worden. Auch bleibt abzuwarten, ob es für die Beurteilung nur objektive oder auch subjektive Kriterien heranzuziehen gilt. Fest steht lediglich, dass Absatz 2 nicht einen bestimmten Erfolg fordert, sondern lediglich Unternehmungen nach Best Effort. Eine Löschpflicht des Dritten muss wiederum gesondert und unter einer eigenständigen Prüfung von Absatz 1 betrachtet werden.

Grenzen

Absatz 3 nennt Tatbestände, bei denen Ausnahmen von den Rechten aus Artikel 17 Abs. 1 und 2 DSGVO greifen. Artikel 17 Abs. 3 DSGVO ermöglicht hier die Berücksichtigung entgegenstehender Interessen, die eine Beschränkung der Rechte der betroffenen Person begründen können.

Artikel 17 Abs. 3 Buchstabe a DSGVO normiert zunächst die Einbeziehung des Rechts auf freie Meinungsäußerung und Information. Dabei ist zu beachten, dass es nicht um eine pauschale Privilegierung der Grundrechte geht, sondern dass Buchstabe a eine Abwägung der sich entgegenstehenden Interessen regelt.

Buchstabe b umfasst die Ausnahmen zur Erfüllung einer rechtlichen Verpflichtung (Variante 1), zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Variante 2) und zur Verarbeitung in Ausübung öffentlicher Gewalt (Variante 3). Bei der Rechtspflicht aus Variante 1 muss es sich um eine Pflicht des objektiven Rechts handeln, sodass vertragliche beziehungsweise zivilrechtliche Pflichten nicht genügen, um den Ausnahmetatbestand zu begründen.

Buchstabe c sieht eine weitere Ausnahme vor, deren Gründe im Bereich der öffentlichen Gesundheit liegen können, und nimmt dabei Bezug auf Artikel 9 Abs. 2 Buchstabe h DSGVO in Verbindung mit Artikel 9 Abs. 3 DSGVO.

Die Löschpflicht kann nach Buchstabe d ebenfalls entfallen, wenn die Verarbeitung der personenbezogenen Daten zur Archivierung, der wissenschaftlichen oder historischen Forschung oder statistischen Zwecken gemäß Artikel 89 Abs. 1 DSGVO stattfindet und eine Löschung deren Verwirklichung unmöglich macht oder ernsthaft beeinträchtigt. Die Zwecke sind im Lichte der Grundrechte auf Meinungs- und Informationsfreiheit aus Artikel 11 der Charta der Grundrechte der Europäischen Union (GRCh) sowie der Kunst- und Wissenschaftsfreiheit aus Artikel 13 GRCh zu sehen.

Letztlich kann gemäß Buchstabe e auch die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen einer Löschung entgegenstehen. Dieser Ausnahmetatbestand soll dem Beweismittelverlust in gerichtlichen sowie außergerichtlichen Verfahren entgegenwirken. Dies ergibt sich auch aus Erwägungsgrund 111. Allerdings muss sich die Datenverarbeitung auf das notwendige Maß des jeweiligen Verfahrenswegs beschränken.

Rechtsprechung

Das Recht auf Vergessenwerden wurde bereits 2014 durch den Europäischen Gerichtshof (EuGH) zum ersten Mal erwähnt und konkretisiert. Trotz des späteren Inkrafttretens der DSGVO sind diese Grundsätze, wie der EuGH ausdrücklich klargestellt hat, auf Artikel 17 DSGVO ebenfalls anwendbar. Zudem hat der EuGH im September 2019 in zwei weiteren Urteilen Artikel 17 DSGVO und dessen Umfang weiter konkretisiert [11]. Mit dem sogenannten Google-Spain-Urteil hat der EuGH Privatpersonen grundsätzlich das Recht eingeräumt, von Suchmaschinenbetreibern die Löschung von Links zu Webseiten Dritter zu verlangen.

In der Sache hatte eine spanische Tageszeitung namens “La Vanguardia” auf ihrer Website zwei Anzeigen zu einer 15 Jahre zurückliegenden Versteigerung eines Grundstückes des Klägers wegen Pfändung geschaltet. Google hatte diese Artikel indexiert, sodass bei einer Namenssuche die Beiträge in den Suchergebnissen aufgelistet wurden. Der Kläger forderte die Löschung und Unkenntlichmachung der personenbezogenen Daten gegenüber der Tageszeitung und die Entfernung betreffender Daten aus dem Google-Index.

Der EuGH entschied in seinem Urteil, dass dem Kläger ein Anspruch auf Löschung zusteht. Dabei lassen sich zusammengefasst drei maßgebliche rechtliche Neuerungen ableiten, die sich nunmehr auch direkt aus Artikel 17 DSGVO ergeben.

Aufgrund der vor dem Urteil fehlenden Anknüpfung US-amerikanischer Unternehmen war ein Vorgehen gegen diese nur sehr schwer denkbar. Der EuGH sieht aufgrund der wirtschaftlichen Verknüpfung von Tochtergesellschaften in Europa jedoch eine ausreichende und untrennbare Verbundenheit zu den globalen Unternehmen. Aufgrund dieser wirtschaftlichen Verknüpfung können datenschutzrechtliche Ansprüche nunmehr auch gegen US-Unternehmen wie etwa Google oder Facebook geltend gemacht werden. Die europäischen Datenschutzregeln müssen von diesen Konzernen beachtet und der grundrechtliche Standard gewahrt werden.

Mit dem Google-Spain-Urteil wurde festgestellt, dass auch Suchmaschinenbetreiber als Verantwortliche einzustufen sind. Dabei ist es nicht von Bedeutung, dass sie ihrerseits lediglich bereits im Internet verfügbare Informationen indexieren, denn die Auflistung stellt einen maßgeblichen Anteil an der weltweiten Verbreitung von personenbezogenen Daten und der Zugangsmöglichkeit durch Internet-Nutzer dar.

Letztendlich gewährt der EuGH das Recht auf Löschung der veröffentlichten Seiten sowie der Indexierung durch Google. Dabei handelt es sich um eine Einzelfallabwägung, bei der aufgrund des lange zurückliegenden Ereignisses und der über die Zeit entstandenen Unerheblichkeit die ursprüngliche rechtmäßige Veröffentlichung als nunmehr rechtswidrig einzustufen ist.

Zusammenfassung

Artikel 17 DSGVO normiert primär einen Anspruch auf Löschung, auf den sich Betroffene direkt berufen können. Löschungsansprüche lassen sich auch nach Maßgabe nationaler Regelungen oder auf Basis von Grundrechten geltend machen. Der Standard muss hier mindestens dem der europäischen Union und der Verordnung entsprechen. Dem Verantwortlichen obliegt die Pflicht, die entsprechenden Daten nach Prüfung der Voraussetzungen zu löschen. Geschieht das nicht oder erst verspätet, kommen etwaige Schadenansprüche des Betroffenen in Betracht.

Artikel 17 DSGVO wird jedoch sicherlich nicht der literarisch entworfenen Idee eines Rechts auf Vergessenwerden gerecht. Dazu sind der in der Theorie entworfene Gedanke und die damit verbundene Hoffnung wesentlich zu weitreichend. Der Vorstellung, auf einmal weltweit wieder ein unbeschriebenes Blatt im Internet zu sein, kann die europäische Regelung nicht gerecht werden.

Die Bezeichnung des Artikel 17 DSGVO ist hier also möglicherweise eher irreführend. Definiert man das Recht auf Vergessenwerden hingegen als Anspruch auf Entfernen der Gedächtnisstütze, so stellt Artikel 17 DSGVO wohl einen ersten Schritt in die richtige Richtung dar.

Technische Umsetzbarkeit

Selbst bei einem rechtlich bestehenden und durchsetzbaren Anspruch auf Vergessenwerden stellt sich die Frage der tatsächlichen technischen Umsetzbarkeit. Grundsätzlich lassen sich drei Kategorien von Informationspools unterscheiden, die besonders relevante Gefahrenquellen darstellen können und dementsprechend auch der Ansatzpunkt für eine effektive Löschung sein sollten: Web-2.0-Funktionen, Online-Archive und Suchmaschinen.

Web-2.0-Funktionen stellen primär aufgrund der Art der Informationen eine besondere Gefahr dar. Oftmals werden hier durch den Betroffenen selbst oder auch durch Dritte höchstpersönliche und teils sogar intime Daten veröffentlicht.

Online-Archive unterscheiden sich vom analogen Leben insofern, dass gespeicherte Informationen dort dauerhaft leicht zugänglich sind. Sie besitzen im Prinzip einen unendlichen Speicher. Daher ist es dort eigentlich nicht nötig, weniger öffentlichkeitsrelevante Beiträge zu löschen. Das wiederum hemmt eine natürliche Selektion beziehungsweise die Vergänglichkeit von Informationen.

Suchmaschinen stellen den dritten und möglicherweise größten Faktor dar. Die Indexierung ermöglicht es, digitale Steckbriefe zu erstellen und personenbezogene Daten auf Abruf bereitzustellen.

Alle drei Gefahrenquellen haben gemeinsam, dass es nicht möglich ist, zeitnah über eine Veröffentlichung Kenntnis zu erlangen, wenn man die Daten nicht selbst eingestellt hat. Es erfordert Eigeninitiative um herauszufinden, welche Informationen im Umlauf sind. Dem sollen die neuen datenschutzrechtlichen Vorschriften entgegenwirken. Diese müssen jedoch auch entsprechend durch Verarbeiter umgesetzt werden.

Bei der technischen Umsetzbarkeit geht es vor allem um die Fragestellung, wie man Informationen, die nicht ausschließlich bei einem bekannten Kreis von Verarbeitern vorliegen, effektiv der Verfügbarkeit von Internet-Nutzern entziehen kann. Prinzipiell erscheint ein digital vollständiges Vergessenwerden mit technischen Mitteln zum jetzigen Zeitpunkt nicht realisierbar. So besteht etwa technisch keine Möglichkeit, Sicherheitskopien, nicht öffentliche Kopien Dritter oder analoge Lücken (etwa durch Abfotografieren) zu verhindern. Daher muss sich die folgende Analyse auf die realistische Umsetzbarkeit eines solchen Begehrens beschränken.

Es wurden bereits mehrere technische Programme entwickelt, die darauf abzielen, präventiv oder nachträglich bestimmte Informationen aus dem Internet zu entfernen. Das wohl bekannteste Beispiel ist der sogenannte digitale Radiergummi, mit dem man bereits beim Einstellen die Daten mit einem Verfallsdatum versieht. Läuft es ab, sind die Daten nicht mehr nutzbar. Ein anderer Lösungsansatz wäre das Verstecken von Daten. Dieses Prinzip spiegelt wieder, dass etwa durch Suchmaschinen nicht mehr indexierte Daten sich quasi nicht mehr auffinden lassen, was den angestrebten Zweck des Vergessenwerdens erzielt.

Ein bisher nicht realisierter Vorschlag wäre eine Kennung von Daten in drei Schritten. Zunächst ordnet man jedem Datum eine eindeutige Kennung zu, registriert diese bei der Datenbank eines Löschdiensts und kann dann nach Belieben den Status des Datums auf “aktiv” oder “löschen” stellen. Die Dienstanbieter nehmen das Datum dann gegebenenfalls von ihrer Plattform. Problematisch erscheint hier, dass die Umsetzung ihre Schwächen bei Informationen hätte, denen berechtigte Interessen Dritter (Informations-, Presse- und Meinungsfreiheit) entgegenstehen.

Unternehmen oder einzelne Verantwortliche können jedoch auch bereits ohne Implementierung eines vollumfänglichen Systems Maßnahmen treffen, die sich dazu eignen, die Überprüfung und Löschung von gesammelten Daten zu vereinfachen. Dazu können sie beispielsweise den Zweck der Datenerhebung/Datenverarbeitung sowie die Grundlage der Verarbeitung und eine Einwilligung dokumentieren, eine Lösch- und Aufbewahrungsfrist ermitteln (nebst Wiedervorlage), die Weiterleitung von Daten an Dritte protokollieren und nicht zu löschenden Daten kennzeichnen.

Fazit

Grundsätzlich hat jedermann ein Recht darauf, persönliche Daten löschen zu lassen, die von ihm im Internet kursieren. Der Anspruch muss aber begründet sein, beispielsweise durch Widerruf einer früheren Einwilligung in die Veröffentlichung, und er wird nur auf Antrag durchgesetzt. Außerdem gilt es, in jedem Fall abzuwägen, ob dem Wunsch nach Löschung gewichtigere Interessen anderer entgegenstehen, etwa die Presse- und Meinungsfreiheit, die Beweissicherung oder das öffentliche Interesse.

Wird dem Wunsch nach Vergessenwerden stattgegeben, muss derjenige, der die fraglichen Daten verarbeitet, sie unverzüglich löschen und Dritte darüber informieren, dass eine Löschung verlangt wurde. Geschieht das nicht, können Schadenersatzansprüche entstehen. Das gilt auch, wenn der Verarbeiter Google oder Facebook heißt. Dabei bleibt es allerdings technisch unmöglich zu garantieren, dass nicht doch noch irgendwo Kopien im Internet existieren, die sich nicht löschen lassen. (jcb)