Wie tief schaut die DSGVO? oder: Alles eine Frage der Granularität
PSP Case Study zur DSGVO: Praxisfall 14

DSGVO: Praktischer Fall

Die Huber AG bewahrt Personalakten bis zehn Jahre nach dem Ausscheiden eines Mitarbeiters auf. Diese Angabe findet sich auch im Verarbeitungsverzeichnis sowie in den Pflichthinweisen gegenüber den Beschäftigten, die diesen zu Beginn des Anstellungsverhältnisses übergeben werden. Begründet wird dies damit, dass z. B. die in der Personalakte befindlichen Lohnabrechnungen entsprechenden steuerlichen Aufbewahrungsfristen unterliegen.

Das sehr generelle Thema „Granularität“ zieht sich quer durch die DSGVO, wie auch Fall 11 bereits gezeigt hat. Am Beispiel der Personalakte zeigt sich, dass hierunter eben „eine (einheitliche) Personalakte“ verstanden werden kann, die als Ganzes von der Personalabteilung verwaltet und als Ganzes irgendwann vernichtet wird. Doch schon das Steuerrecht („steuerlich relevante Daten“) und das Arbeitsrecht (Thema Abmahnungen) zeigen, dass die Personalakte aus verschiedenen Bestandteilen besteht. Für jeden Bestandteil lassen sich daher unterschiedliche Zwecke und daraus folgend Löschfristen identifizieren.

Granularität der Informationen

Bewerbungen etwa finden sich oft auch nach der Einstellung noch in der Personalakte. Müssen diese, wie bei abgelehnten Bewerbern, spätestens sechs Monate nach der Einstellungsentscheidung gelöscht werden? Oder darf die theoretische Möglichkeit, das Arbeitsverhältnis wegen arglistiger Täuschung, etwa wegen erfundener Zeugnisse, anzufechten, als Rechtfertigung für eine Zehnjahresfrist herangezogen werden (§ 124 Abs. 3 BGB)? Lohnabrechnungen hingegen unterliegen steuerlichen Aufbewahrungsfristen, die sich im Falle einer „spät begonnenen“ Betriebsprüfung sogar situationsabhängig („Ablaufhemmung“) verlängern können. Abmahnungen müssen aus arbeitsrechtlichen Gründen sechs Monate nach ihrem Ausspruch „vergessen“ werden, weil sie keine Wirkungen mehr entfalten – oder sind sie für eine spätere Leistungsbeurteilung oder ein Zeugnis noch „erforderlich“? Ist der Anstellungsvertrag auch nach dem Ausscheiden des Mitarbeiters weiter aufzubewahren? Wie steht es mit Leistungsbeurteilungen durch Vorgesetzte, Zwischenzeugnisse, Arbeitsunfähigkeitsbescheinigungen, in Schließanlagen gespeicherte Öffnungsvorgänge mit personalisierten Schlüsseln? Worüber muss der Arbeitgeber auch später noch Auskunft geben können, weshalb kann er wie lange noch in Anspruch genommen werden?

Bevor wir auf das Thema „Verjährungsfristen“ als fortwirkendem „Behaltensgrund“ in Bezug auf personenbezogene Daten zu sprechen kommen, muss der Verantwortlich zunächst einmal prüfen, wie weit der ursprüngliche datenschutzrechtlich legitimierende Zweck zeitlich reicht. Beispielsweise führt eine betriebliche Altersversorgungszusage des Arbeitgebers zu einem Rechtsverhältnis zwischen Arbeitgeber und Arbeitnehmer, das zeitlich – und datenschutzrechtlich auf Basis von Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – wesentlich weiter reicht als das Beschäftigungsverhältnis selbst. Der Arbeitgeber haftet auch dann, wenn er die Auszahlung auf einen Dritten (Pensionskasse, Unterstützungskasse etc.) abgewälzt hat, bei Ausfall des Dritten weiter gegenüber dem (Ex-) Mitarbeiter aus seiner Versorgungszusage (§ 1 Abs. 1 S. 3 BetrAVG). Der Pensions-Sicherungs-Verein als Träger der Insolvenzsicherung (§ 14 BetrAVG) sichert nur die Insolvenz des Arbeitgebers (Verantwortlichen) selbst, nicht die Insolvenz des Dritten ab, d. h. der Arbeitgeber ist nicht „aus dem Schneider“. Der Beschäftigte oder sonstige Bezugsberechtigte (Witwe, minderjährige Kinder) können also konkrete (Zahlungs-) Ansprüche bei Ausfall des Dritten (wieder) beim Arbeitgeber geltend machen. Zu diesem Zweck muss der Arbeitgeber verschiedene Stammdaten des Beschäftigten bis zum Verjährungszeitpunkt fortspeichern dürfen, um die Berechtigung solcher, aus der Versorgungszusage herrührender Ansprüche prüfen zu können. Ob der Dritte jemals in Insolvenz fällt, kann über solche langen Zeiträume natürlich schlecht prognostiziert werden. Da hilft auch keine Statistik, dass der Fall selten eintritt. Aber es kommt noch schlimmer: Der Zeitpunkt, ab dem solche Ansprüche nicht mehr geltend gemacht werden können, hängt vom Tod des (ehemaligen) Beschäftigten, vom Tod möglicher hinterbliebener Bezugsberechtigter (Witwe) oder vom Volljährigwerden von dessen Kindern (Waisen) ab – ein Zeitpunkt, den der Verantwortliche nicht erfährt, auch nicht vom Dritten (Pensionskasse etc.). Einschränkend ist natürlich zu sagen, dass die personenbezogenen Daten des ehemaligen Beschäftigten nach dessen Tod (oder die Daten hinterbliebener Bezugsberechtigter nach deren Tod) nicht mehr nach Datenschutzrecht (sondern nurmehr nach postmortalem Persönlichkeitsschutz) relevant sind. Die Notwendigkeit der langen Aufbewahrung eines Teils der Beschäftigtendaten nach deren Ausscheiden aus dem Gesichtspunkt der Altersversorgungszusage ergibt sich damit einerseits aus der langen Unsicherheitsperiode, ob die Altersbezüge vom Dritten in zugesagter Höhe erbracht werden, andererseits aus dem fehlenden Wissen der Tatsachen, aus denen sich ergibt, wann die Zusage ihre rechtliche Wirkung verliert. Jedenfalls führt aber hier ein Rechtsverhältnis zwischen Verantwortlichem und Betroffenem zu einer sehr langen Aufbewahrungsberechtigung.

Was man hat, das gibt man ungern wieder her

Bei all dem ist generell zu berücksichtigen, dass Verjährungsfristen eigentlich nicht zum datenschutzrechtlichen „Behalt auf Verdacht“ berechtigen. Einerseits kann von einer Löschung nur abgesehen werden (Art. 17 Abs. 3 lit. e DSGVO), wenn die Geltendmachung von Ansprüchen unmittelbar bevorsteht bzw. konkrete Anzeichen für ein Vorgehen vorliegen. Dies hat beispielsweise die österreichische Datenschutzbehörde in einem Bescheid vom Mai 2018 – unmittelbar nach Inkrafttreten der DSGVO – hinsichtlich der Aufbewahrung von Stamm- und Verkehrsdaten eines Telekommunikationsunternehmens festgehalten: Eine Verjährungsfrist normiere keine „konkrete Verpflichtung zur Aufbewahrung von Daten“. Dabei wurde auch ergänzt, dass gesetzliche Aufbewahrungspflichten nicht „mit der Berufung auf interne Prozesse bzw. den Postlauf“ ausgedehnt werden dürften. Wenn man sich vor Augen hält, wie oft in Löschkonzepten – gelinde gesagt – „Sicherheitspuffer“ eingebaut werden, müsste das eigentlich für Beunruhigung sorgen. Und auch das Bayerische Landesamt für Datenschutzaufsicht führt in seinem Tätigkeitsbericht 2017/2018 – mutmaßlich zum Entsetzen aller Ersteller von (auf pauschalen Fristen basierenden) Löschkonzepten in Großunternehmen – aus:

„Eine Ausnahme von der Verpflichtung zur Löschung kann sich zudem aus Art. 17 Abs. 3 Buchstabe e DS-GVO ergeben, da die objektive Verjährungsfrist für Schadensersatzansprüche wegen Körper- oder Gesundheitsverletzungen gemäß § 199 Abs. 2 BGB dreißig Jahre nach Vornahme des potentiell schadensträchtigen Verhaltens beträgt. Hier ist eine Abwägung unter Berücksichtigung der Interessen des Betroffenen und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen („erforderlich“) vorzunehmen. Eine Aufbewahrung aller Patientendaten für die Dauer von 30 Jahren wegen drohender Schadensersatzansprüche wäre nicht datenschutzkonform. Erforderlich ist hier eine individuelle Risikobewertung.“

Und andererseits ist das Vorliegen der Voraussetzungen dieser Ausnahme von der Löschpflicht nicht genug, um die Daten tatsächlich behalten zu dürfen. Denn wie immer bedarf es einer Legitimationsgrundlage für die Verarbeitung, die Art. 17 Abs. 3 DSGVO (wohl) nicht darstellt. Der deutsche Gesetzgeber hat dafür eigens – als spezielle Form der Interessenabwägung – eine Legitimationsgrundlage in § 24 Abs. 1 Nr. 2 BDSG geschaffen, wobei diese Regelung ausdrücklich an einen vorherigen anderweitigen (und entfallenen) Zweck anschließt („zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden“). Wenn das nicht weiterhilft, stehen auch noch Art. 6 Abs. 1 S. 1 lit. f DSGVO sowie – für besondere Kategorien personenbezogener Daten – § 24 Abs. 2 BDSG bzw. Art. 9 Abs. 2 lit. f DSGVO zur Verfügung. Dies verdeutlicht aber umso mehr, dass nicht „alle“ Daten „einfach so“ für Zwecke der Rechtsdurchsetzung oder Rechtsabwehr aufbewahrt werden dürfen, sondern dass eigentlich eine Abwägung der Interessen im Einzelfall notwendig ist.

Dies zeigt deutlich: Dass der Verantwortliche generell alle Daten gerne lange aufbewahren würde, weil er diese „irgendwann“ vielleicht noch für eine möglicherweise zu einem späteren Zeitpunkt (während der Verjährungsfristen) begonnene Auseinandersetzung benötigt, kann als solches kein Argument für eine Aufbewahrung bis zum Ende der Verjährungsfrist sein. Dies gilt insbesondere für „längere“ Verjährungsfristen, während bei kurzen Verjährungsfristen (etwa nach dem Allgemeinen Gleichbehandlungsgesetz für Klagen abgewiesener Bewerber, für die eine Sechs-Monats-Frist einschlägig ist) auch die Datenschutzbehörden einfach mal „die Augen zudrücken“ und eine Speicherung für die Dauer der Verjährungsfrist akzeptieren (so beispielsweise auch das Bayerische Landesamt für Datenschutzaufsicht in seiner FAQ-Sektion auf die Frage „Wie lange darf ich die Daten von Bewerbern speichern?“). Manchmal hilft zwar (scheinbar) eine Aufbewahrungsfrist aus dem Dilemma, die ähnlich lang wie die Verjährungsfrist ist. So bestimmt beispielsweise § 28 Abs. 3 der RöntgenVO, dass Aufzeichnungen über Röntgenbehandlungen (also über Behandlungen – nicht Untersuchungen – mit Röntgenstrahlen) 30 Jahre nach der letzten Behandlung aufzubewahren sind, während die Röntgenbilder selbst und Aufzeichnungen über Röntgenuntersuchungen 10 Jahre aufzubewahren sind. Ähnlich ist es mit den inhaltlich weitreichenden steuerlichen und handelsrechtlichen Aufbewahrungspflichten.

Ob die nur zu diesem sehr limitierten Zweck der gesetzlichen Aufbewahrungspflicht noch aufbewahrten Daten dann später (auch oder nur noch) für die Rechtsdurchsetzung oder Rechtsabwehr „zweckentfremdet“ werden dürfen, wenn sich diese Notwendigkeit erst während der Aufbewahrungsfrist ergeben hat, ist eine andere Frage. § 24 Abs. 1 Nr. 2 BDSG deutet eher in die Richtung, dass sich zu dem Zeitpunkt, zu dem der ursprüngliche Erhebungszweck entfallen oder erreicht ist, eine Aufbewahrung direkt anschließen kann, wenn dies für eine zu diesem Zeitpunkt konkret absehbare Streitigkeit erforderlich ist. Ist zu diesem Zeitpunkt aber gar keine Streitigkeit absehbar und hat über die Aufbewahrungspflicht (Art. 6 Abs. 1 S. 1 lit. c DSGVO) bereits eine erste Zweckänderung stattgefunden, so würde sich eine Verwendung zu Zwecken der Rechtsdurchsetzung oder Rechtsabwehr, die erst „mitten“ im Aufbewahrungszeitraum entsteht, nicht mehr an den ursprünglichen Erhebungszweck anschließen, sondern „nur noch“ an einen bereits sekundären Zweck. Es wäre dann schon die zweite Zweckänderung. Mit anderen Worten: Der Verantwortliche würde vom „Zufall“, dass die Daten einer gesetzlichen Aufbewahrungsfrist unterlagen (und nur deshalb liegen sie ihm zum Zeitpunkt einer konkreten Auseinandersetzung noch vor), im Hinblick auf die Rechtsdurchsetzung bzw. Rechtsabwehr profitieren dürfen. Er wird gegenüber einem Verantwortlichen, der die Daten bereits nach dem Ende des Erhebungszwecks unmittelbar löschen musste, besser gestellt. Vielleicht ist diese Lesart von § 24 BDSG aber auch zu eng.

Natürlich regt sich an vielen Orten Widerstand gegen die These, dass die DSGVO ein Aufbewahren „nur“ wegen noch laufender Verjährungsfristen nicht zulässt. Zur Begründung wird natürlich darauf verwiesen, dass es nicht Zweck der DSGVO sein kann, den Verantwortlichen im Streitfalle „rechtlos“ zu stellen, nur weil sich seine – ansonsten anzustellende – Prognoseentscheidung, dass „da schon nichts mehr kommen wird“, als falsch erwiesen hat. Dann muss aber auch während einer laufenden Verjährungsfrist (und ungeachtet weitergehender Aufbewahrungszwecke und sich daraus ergebender Zugriffsbefugnisse) die zunächst anlasslose Fortspeicherung – es gibt ja noch keine Anzeichen einer späteren rechtlichen Auseinandersetzung – im Bereich des Berechtigungskonzepts („need to know“) dazu führen, dass niemand berechtigt ist, auf die entsprechenden Daten zuzugreifen. Diese Berechtigung entsteht erst dann, wenn sich eine rechtliche Auseinandersetzung anbahnt.

Häufig wird dieses Problem in der Praxis allerdings rein zeitlich von längerfristigen Aufbewahrungsfristen aus Handels- und Steuerrecht (zu § 147 AO noch unten) überlagert, sodass in erster Näherung kürzere Verjährungsfristen hinter der Aufbewahrungsfrist „verschwinden“. Man ist dann bei einer rechtlichen Auseinandersetzung froh, die Daten „doch noch im Haus haben zu können“, übersieht aber, dass wenn man sie tatsächlich nur noch für Betriebsprüfungen etc. „haben darf“, eine Verwendung zu anderen Zwecken („Umwidmung“) zumindest nicht unproblematisch ist (s. o.)

Kategoriebildung

In der Praxis wird man sich in dieser Gemengelage mit „gerasterten“ Lösungen behelfen müssen, d. h. die Daten werden typisiert im Rahmen eines Löschkonzepts in Kategorien eingeteilt, die im Wesentlichen anhand von Aufbewahrungs- und Verjährungsfristen gebildet werden. Dass dabei erfahrungsgemäß in der Mehrzahl der Fälle, die mit der Begründung einer noch laufenden Verjährungsfrist weiter aufbewahrt werden, gar keine konkrete Rechtsdurchsetzung oder Rechtsabwehr notwendig wird (oder pauschal die längste – aber nur für einen Teil der Daten einschlägige – Aufbewahrungspflicht angenommen wird), fällt dabei leicht unter den Tisch und wird daher auch von den Datenschutzbehörden kritisiert.

Unabhängig vom exorbitanten Aufwand von Einzelfallprüfungen und Einzel-Interessenabwägungen begründet aber eine Löschung vor dem Ende der Verjährungsfristen die erhebliche Gefahr für den Verantwortlichen, sich im Falle einer späteren, nicht konkret vorhersehbaren Inanspruchnahme nicht verteidigen zu können und sogar im Falle eigentlich haltloser Ansprüche zu unterliegen. Man kann mit diesem (pauschalen) Argument das Interesse des Verantwortlichen an einer Fortspeicherung von Daten, die für noch unverjährte Ansprüche erforderlich sind, durchaus auch (pauschal) hoch gewichten – mit unvorhersehbarem Ausgang bei einem Streit über die Legitimität dieser Fortspeicherung. Übersehen wird in diesem Zusammenhang zudem, dass eine „wirklich effektive“ Einzelfallbetrachtung, ob nun eine Streitigkeit konkret droht oder nicht, neben exorbitantem Aufwand auch ein Vielfaches der Daten, um die es eigentlich geht, erfordern kann. Man würde also sprichwörtlich den Teufel mit dem Beelzebub austreiben und die Erhebung von weiteren Daten herausfordern.

Daher werden in der juristischen Literatur durchaus auch sehr „grobkörnige“ Lösungen vertreten, etwa die Einordnung sämtlicher E-Mails eines (beliebig großen) Unternehmens in lediglich drei Aufbewahrungskategorien. Dabei wird in der jeweiligen Kategorie die „pauschale Anwendung der längsten für den Verantwortlichen geltenden“ Verjährungs- oder Aufbewahrungsfrist als angemessen betrachtet. Speziell für steuerliche Aufbewahrungspflichten wird dabei darauf hingewiesen, dass ein finanzielles Risiko in Gestalt der Schätzung von Besteuerungsgrundlagen (§ 162 Abgabenordnung) droht, sofern relevante aufzubewahrende Informationen zu früh gelöscht werden. Letztlich wird also eine – in der DSGVO genaugenommen nicht vorgesehene – Abwägung zwischen dem in einer grobkörnigen Kategorisierung liegenden Risiko und dem bei einer feinkörnigen Kategorisierung notwendigen Aufwand vorgenommen. Dabei handelt es sich tatsächlich um eine Risikoabwägung und nicht „nur“ um eine (entsprechend des ermittelten Risikos identifizierte) technische und organisatorische Maßnahme: Die Fortspeicherung auch nur eines einzigen Datums ohne entsprechende Legitimationsgrundlage ist „eigentlich“ ein Datenschutzverstoß, der nicht durch Kostenerwägungen ungeschehen gemacht werden kann. Dies gilt auch für (vermeintliche) „Niedrigrisikodaten“, also Daten, hinsichtlich derer ein Verantwortlicher davon ausgeht, dass mit ihnen nicht viel „Schindluder“ getrieben werden kann. Das in der juristischen Literatur in diesem Zusammenhang vorgebrachte Argument, ein E-Mail-Archiv eines Unternehmens erlaube naturgemäß kein Profiling der Betroffenen oder Verarbeitungen zu Zwecken der Datenanalyse, ist mit großer Vorsicht zu genießen.

Und nur nebenbei stellt sich im Zusammenhang mit der Kategorisierung bei Löschkonzepten nicht nur das Problem der Bildung der Kategorien, sondern auch und gerade des Vorgangs der Zuordnung zu den einzelnen Kategorien. Auch wenn keine datenschutzrechtliche Einzelfallprüfung durch ein Heer von (Unternehmens-)Juristen stattfindet, schafft selbst ein manueller „Sortieraufwand“ anhand von entsprechenden Prozessvorgaben an die Beschäftigten im täglichen Arbeiten einen nicht unerheblichen Mehraufwand und setzt entsprechende „Archivierungsdisziplin“ voraus. Fällt dabei zu viel durch das – wie auch immer definierte – Raster und landet in der falschen Kategorie, kann nur noch schlecht mit einem unvermeidbaren „Ausreißerfehler“ argumentiert werden: Dann war der Prozess – sprich: die organisatorischen Maßnahmen – nicht strikt genug vorgegeben.

Wie lange muss eigentlich nach § 147 AO aufbewahrt werden?

In der Praxis heißt die Faustformel oft „zehn Jahre wegen Steuerrecht“. Das ist natürlich, im Detail betrachtet, nicht ganz richtig. Viele Dokumenttypen, z. B. Handels- und Geschäftsbriefe (auch in E-Mail-Form!) oder „sonstige Unterlagen“, die für die Besteuerung von Bedeutung sind, sind lediglich sechs Jahre aufzubewahren. Insbesondere „Buchungsbelege“ müssen zehn Jahre aufbewahrt werden, wobei – wie immer bei den steuerrechtlichen Aufbewahrungsfristen – die Frist erst mit dem Schluss des Jahres, in dem der Buchungsbeleg angefallen ist, beginnt. Vertragsurkunden sind auch Buchungsbelege (auch wenn diese in der Praxis oft „nur“ als Handelsbriefe und damit mit sechsjähriger Aufbewahrungsfrist behandelt werden). Muss nun der Anstellungsvertrag mit einem Mitarbeiter zehn Jahre nach dem Jahresende seiner Einstellung gelöscht werden? Nein. Zum einen handelt es sich um ein Dauerschuldverhältnis, sodass der Zweck noch gar nicht entfallen ist. Datenschutzrechtlich geht es also hier noch gar nicht um Aufbewahrungsfristen. Zum anderen enthält § 147 AO einen unscheinbaren Satz, der es in sich hat: „Die Aufbewahrungsfrist läuft jedoch nicht ab, soweit und solange die Unterlagen für Steuern von Bedeutung sind, für welche die Festsetzungsfrist noch nicht abgelaufen ist“. Dies bedeutet, dass es Dokumente mit „unmittelbarer“ und „mittelbarer“ steuerlicher Relevanz gibt, und dass eine unmittelbare (lohn-) steuerlich relevante Gehaltsabrechnung (als Buchungsbeleg) auf den mittelbar relevanten Anstellungsvertrag (als Buchungsbeleg) „verweist“. Solange also einer Gehaltsabrechnung im Zusammenhang mit einem Anstellungsvertrag noch steuerliche Relevanz zukommt – im Zweifel zehn Jahre nach dem Ende des Jahres, um das es in der Gehaltsabrechnung geht –, ist auch der zugehörige Anstellungsvertrag noch relevant und muss weiter aufbewahrt werden. Hier können also viele „Interdependenzen“ bestehen, die nicht erst dann bedacht werden sollten, wenn der Betriebsprüfer bereits vor dem Unternehmen steht.

Aber auch nach dem formalen Ende der steuerlichen Aufbewahrungsfristen „sollten“ die Daten weiter aufbewahrt werden, wenn und soweit sie für eine begonnene Außenprüfung (Betriebsprüfung), für eine vorläufige Steuerfestsetzung nach § 165 AO, für anhängige steuerstraf- oder bußgeldrechtliche Ermittlungen, für ein schwebendes oder aufgrund einer Außenprüfung zu erwartendes Einspruchs- oder Klageverfahren oder zur Begründung von Anträgen des Steuerpflichtigen (z. B. nach § 173 AO) noch von Bedeutung sind. So formulierte es zumindest ein bereits 1977 wieder aufgehobenes Rundschreiben des Bundesministeriums für Finanzen. Dies lässt sich aber wiederum der Abgabenordnung nicht so deutlich entnehmen und die DSGVO fordert in Art. 17 Abs. 3 lit. b) DSGVO eine gesetzliche Grundlage (und nicht nur gesunden Menschenverstand bzw. entsprechendes Eigeninteresse des Steuerpflichtigen).

Häufig finden sich die Daten, die steuerlich aufzubewahren sind, übrigens auch noch an anderer Stelle in der EDV. So können etwa Gehaltsabrechnungen mit den jeweiligen aktuellen Stammdaten des Beschäftigten im Rahmen einer ERP-Software durchaus in strukturierter (Tabelle) oder unstrukturierter (PDF) Form als „eingefrorene Kopie“ zu den eigentlichen „live“-Daten abgespeichert werden, um im Falle einer Betriebsprüfung die Gehaltsabrechnung (genau) so vorlegen zu können, wie sie damals war. Dieselben Daten befinden sich dann an zwei Stellen (einmal als historische Zeitscheibe der aktuellen Stammdaten, einmal als Kopie in den „hinausgeschriebenen“ Gehaltsabrechnungen). Es stellt sich dann die Frage, ob die längste Aufbewahrungsfrist für beide „Instanzen“ dieser Daten Anwendung findet oder jede Instanz so früh wie möglich gelöscht werden sollte (auch wenn sich eine Kopie genau dieser Daten noch an anderer Stelle befindet). Generell zu diesem Problem der „Schattenkopien“ von Daten folgende hübsche Stelle aus der juristischen Kommentarliteratur:

„Der Datenminimierungsgrundsatz steht prinzipiell der gängigen Praxis entgegen, Daten nicht nur in einem Hauptsystem, sondern darüber hinaus auch in diversen Nebenakten oder „Schattendatenbanken“ vorzuhalten, also Systemen, auf denen Kopien von Datensätzen jenseits zentral gesteuerter Backup-Routinen gespeichert sind (wie bspw. lokale Kopien, Excel-Datenbanken oder, soweit sie gem. Art. 2 DSGVO dem Anwendungsbereich der Verordnung unterfallen, auch Papierakten). Ob und inwieweit die Datenspeicherung in solchen Schattendatenbanken zulässig ist, ist stets eine Frage des Einzelfalls und in erster Linie davon abhängig, ob eine doppelte Aktenführung – etwa zur ordnungsgemäßen Wahrnehmung der Personalverwaltung – erforderlich ist und mithin gerechtfertigt werden kann. Grundsätzlich ist die Verwendung von Nebenakten und Schattendatenbanken zwar nicht ausgeschlossen, jedoch sollte damit sparsam verfahren werden, da sich sämtliche die Hauptakte betreffende organisatorische Pflichten (beispielsweise Lösch-, Berichtigungs- und Auskunftspflichten sowie die Pflicht zur Implementierung technischer und organisatorischer Maßnahmen) auch auf etwaige Nebenakten erstrecken.“

Die Einhaltung gesetzlicher Aufbewahrungsfristen setzt also nicht nur ein genaues Verständnis der meist nicht sehr „sauber“ bzw. mit dem Gedanken an die DSGVO im Hinterkopf formulierten Aufbewahrungsfristen voraus, die zudem in ihren Details und Abgrenzungen schlecht durch Rechtsprechung und Kommentarliteratur „erforscht“ sein können. Sondern jeweils ist auch die Frage zu beantworten, wie mit Datendoppelungen – in Sicherheitskopien, in Ausgangsdokumenten, in Quelldaten, in Nebentabellen, Aktenausdrucken von ohnehin und immer noch in der EDV befindlichen Daten etc. – umzugehen ist. Und dabei geht es nicht nur darum, bei der Löschung nach dem Ende der Aufbewahrungsfrist wirklich alles zu „erwischen“, sondern sogar auch darum, welche „Instanz“ wann (vorzeitig) gelöscht werden sollte.

Je größer die Lupe desto schwieriger die Compliance

Man kann die eigentlich notwendige „Atomisierung“ im Rahmen der individuellen Einzelfallbetrachtung, zu der im Streitfall auch Gerichte in Bezug auf das konkret streitgegenständliche Detail neigen könnten (der Rechtsstreit als Sachverhalts-„Lupe“), nicht nur in Bezug auf die (in ihrem Umfang nicht definierten) „Datenkategorien“ im Kontext eines Löschkonzepts betreiben. Fall 11 zeigt das Gleiche in Bezug auf die Verarbeitungstätigkeiten. Beispielsweise führt die Ausfüllhilfe des bayerischen Landesamts für Datenschutzaufsicht („Erste Hilfe zur DSGVO“) bei der Verarbeitungstätigkeit „Personalverwaltung“ zur Rubrik „Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden“ lediglich die Empfänger Sozialversicherungsträger und die Finanzbehörden auf. Müssen aber nicht auch die Banken genannt werden, über die Löhne und Gehälter stets ausbezahlt werden und denen die Daten der Empfängerkonten weitergegeben werden? Je „atomarer“ man also Prozesse, Datenkategorien, Betroffene, Löschanforderungen etc. zerlegt, desto unwahrscheinlicher wird es, die DSGVO vollständig erfüllen und damit den Sanktionen sicher entgehen zu können. Denn dem uferlos formulierten Anspruch der DSGVO kann nur und erst dann vollständig entsprochen werden, wenn jedes „Atom“ aus DSGVO-Perspektive vollständig identifiziert, bestimmt, nachweisbar rechtmäßig behandelt und dies jeweils nachverfolgbar wäre. In der Praxis gerät jedes System (weit) vorher an seine Grenzen. Nach mündlichen Aussagen von Mitarbeitern der Datenschutzbehörden wird daher (nur) eine „mittlere Granularität“ gefordert – was immer das bedeutet und woraus auch immer sich das ableiten mag.

Ein Betroffener kommt selten allein

Dabei sei zum Abschluss auch noch auf das weite Feld der „Drittbetroffenen“ hingewiesen. Schreibt ein Angestellter in Elternzeit morgens an die Personalabteilung, er könne nicht kommen, weil er sein Kind mit Verdacht auf Lungenentzündung in ein Krankenhaus bringen musste, so enthält diese E-Mail personenbezogene Daten des (identifizierbaren) Kindes. Mit den Regelungen, mit denen die Verarbeitung personenbezogener Daten – auch Gesundheitsdaten – von Beschäftigten rechtfertigt werden kann (§ 26 BDSG), kann die Ablage dieser E-Mail „eigentlich“ nicht rechtfertigt werden. Und auch die üblichen „E-Mail-Weiterleitungsketten“ enthalten häufig „weiter unten“ mannigfaltige personenbezogene Daten Dritter, die oft nicht einmal wissen, dass ihre E-Mail weitergeleitet wurde und wer diese E-Mail nun alles ansieht, speichert oder weitersendet. Werden bei der Einstellung eines Mitarbeiters die Daten eines Angehörigen erfasst (Notfallkontakt, Angehörige der Familienversicherung), stellt auch dies eine „Drittdatenerhebung“ dar, die ebenfalls in der Regel die Pflichtinformationen des Art. 14 DSGVO notwendig macht (s. dazu aber auch Fall 22). Bemerkenswert sind in diesem Zusammenhang auch die Ausführungen der Berliner Beauftragten für Datenschutz in ihrem Jahresbericht 2018 zum Thema „stilles Factoring“:

„Soweit das die Forderung aufkaufende Unternehmen keine Schuldnerdaten erhält oder die Schuldnerin eine juristische Person ist, ist stilles Factoring weiter unproblematisch möglich. Werden aber personenbezogene Daten an neue Gläubiger übermittelt, sind die Transparenzpflichten von Forderungsverkäufern (Art. 13 DSGVO) und Forderungskäufern (Art. 14 DSGVO) zu beachten. Forderungsverkäufer werden zumindest bei Vertragsschluss allgemein darüber informieren müssen, dass eine Datenübermittlung im Zusammenhang mit einem Forderungsverkauf ggf. erfolgt (Art. 13 Abs. 1 lit. e DSGVO). Auch Forderungskäufer haben Informationspflichten. Dies ist zwar nicht der Fall, wenn nationales Recht die Erlangung oder Offenlegung durch Rechtsvorschrift regelt, denen die Verantwortlichen unterliegen und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Personen vorsehen (Art. 14 Abs. 5 lit. c DSGVO). Es ist aber nicht anzunehmen, dass die BGB-Normen als solche Rechtsvorschriften anzusehen sind. Insbesondere ist darauf hinzuweisen, dass ein Forderungskäufer nicht das Recht hat, eine Bonitätsprüfung der Schuldnerin oder des Schuldners durchzuführen, da diese bei Vertragsabschluss nicht damit rechnen mussten, dass Dritte, mit denen sie keinen Vertrag abschließen wollten, Abfragen bei Auskunfteien vornehmen würden, die zu einer Verschlechterung ihres Scoring-Werts führen können. Stilles Factoring sollte nur ohne Übermittlung von Schuldnerdaten erfolgen.“

Man kann sogar – aber das soll hier nicht vertieft werden – darüber nachdenken, ob eine Forderungsabtretung, deren Durchführung gegen Datenschutzrecht verstößt, nicht auch zivilrechtlich unwirksam ist (§ 134 BGB). Der Bundesgerichtshof hat dies zwar in einem Urteil vom Februar 2007 für einen Verstoß gegen das damalige Bundesdatenschutzgesetz bei einer Forderungsabtretung zwischen Banken verneint. Das „Totschlagsargument“ war dabei, dass datenschutzrechtliche Verbotsnormen den Grundsatz der freien Abtretbarkeit von Forderungen aushebeln und in sein Gegenteil verkehren würde. Man könnte es auch so formulieren: Wir lassen uns vom neumodischen Datenschutzrecht nicht unsere altmodischen BGB-Grundfesten vermiesen. Gewichtiger scheint noch das Argument zu sein, dass durch eine unwirksame Forderungsabtretung nichts gewonnen ist: Die (unterstellt) rechtswidrig übermittelten Schuldnerdaten sind nun einmal beim Forderungserwerber faktisch angekommen. Das Ganze mag dann ein Bußgeld auslösen oder Schadensersatzforderungen oder sogar strafbar sein (§ 42 Abs. 1 BDSG), aber die Unwirksamkeit der Forderungsabtretung hilft nicht dagegen, dass personenbezogene Daten datenschutzwidrig „in der Gegend herumstreunen“. Man wird sehen, ob dieses „Fass“ unter der Geltung der DSGVO noch einmal neu aufgemacht wird. Ebenso wie bei der Frage der Abmahnbarkeit von DSGVO-Verstößen wird dabei eine große Rolle spielen, ob die Sanktionen der DSGVO abschließend in dieser selbst festgelegt wurden oder ob noch weitere Sanktionsmechanismen aus nationalstaatlichem Recht zusätzlich eingreifen dürfen.

Zum Abschluss noch ein weiteres Beispiel in Sachen Drittbetroffenheit. Im Falle der Übermittlung von Daten für eine Traueranzeige hält – im Gegensatz zur Berliner Beauftragten für Datenschutz – das bayerische Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2017/2018 ausdrücklich nicht den Empfänger der Daten für verpflichtet im Sinne von Art. 14 DSGVO gegenüber den Drittbetroffenen, sondern geht nach dem „Veranlassungsprinzip“ vor:

„Bei der Aufgabe von gedruckten Traueranzeigen oder für Online-Medien muss der Veranlasser der Traueranzeige die übrigen darin genannten Personen (z. B. Angehörige) hierzu informieren, nicht etwa die Zeitung oder der Dienst selbst. Was in einer solchen Anzeige genau steht und welche Trauernde dabei namentlich genannt werden, liegt im Verantwortungsbereich der Person, die eine Traueranzeige selbst oder über einen Bestatter aufgibt. Wir haben daher festgehalten, dass diese Person (z. B. ein Angehöriger) sich bei den betroffenen Personen vergewissern muss, ob und in welcher Weise sie in der Traueranzeige genannt werden wollen, bevor sie eine Zeitung und gegebenenfalls deren Online-Dienst mit der Veröffentlichung beauftragt.“

Eine dogmatische Begründung, warum hier die Pflicht des Empfängers zur Pflichtinformation der Betroffenen entfällt, fehlt hier – es sei denn, man geht generell davon aus, dass das „Übermittelt-Erhalten“ kein Fall der Erhebung des Art. 14 DSGVO darstellt (s. Fall 1). Wer weiß, welche weiteren Probleme unter der „granularen Lupe“ noch sichtbar werden.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden