Erlaubt das Datenschutzrecht das ewige Speichern personenbezogener Daten?
PSP Case Study zur DSGVO: Praxisfall 21

DSGVO: Praktischer Fall

Herr Huber, Einzelkaufmann, und die Maier OHG, deren Gesellschafter die Brüder Maier sind, haben 1982 einen Rahmenvertrag abgeschlossen. Bis 1996 hat Herr Huber unter diesem Rahmenvertrag Leistungen der Maier OHG bezogen, dann aber aus Verärgerung keine weiteren Bestellungen mehr aufgegeben. 1999 und 2012 hatte jeweils weiterer Kontakt stattgefunden, in dessen Rahmen man sich nicht über die Konditionen für weitere Lieferungen einigen konnte. Seitdem liegt das Verhältnis brach.

Alternativ: Frau Müller ist seit über 30 Jahren Rechtsanwältin und betreut laufend mehrere hundert kleinere Gerichtsverfahren im Arbeits- und Familienrecht. Zwar vernichtet sie ihre Handakten nach Ablauf der gesetzlichen Aufbewahrungsfristen, führt aber seit Beginn ihrer Anwaltstätigkeit ein stets fortgeschriebenes Verzeichnis, in dem sie Name und Kontaktdaten ihres Mandanten und des Gegners sowie eine kurze Beschreibung des Streitgegenstandes festhält.

Ein einfacher Grundgedanke der DSGVO lautet, dass personenbezogene Daten zu löschen sind, wenn der zugrunde liegende Zweck fortfällt bzw. erreicht wird, wobei gesetzliche Aufbewahrungspflichten gleichwohl zu beachten sind (bzw. als gesetzliche Legitimationsgrundlage für die weitere Speicherung die ursprüngliche Legitimationsgrundlage „ablösen“). Als Paradebeispiele für gesetzlich angeordnete Aufbewahrungsfristen werden steuerliche Aufbewahrungspflichten (§ 147 Abgabenordnung) und die Verpflichtungen zur Aufbewahrung von Handakten (z. B. §§ 50 Bundesrechtsanwaltsordnung, 51b Wirtschaftsprüferordnung, 66 Steuerberatergesetz) genannt. Im Einzelnen ist dieser Grundgedanke natürlich komplizierter (s. etwa Fall 14 und Fall 33).

Die Zweckbindung während der Aufbewahrungsfrist

Dabei wird in der Praxis häufig der Grundsatz der Zweckbindung verkannt, nämlich dass, wenn der „ursprüngliche“ Zweck entfällt und die Daten nur noch wegen fortbestehender Aufbewahrungspflichten gespeichert werden, sich der (Speicherungs-) Zweck auch nur noch auf die Aufbewahrung beschränkt. Man darf also nicht etwa mit den Daten tun, was man will, weil man sie ja nun „datenschutzrechtlich legal besitzt“ (s. dazu im Detail Fall 14). In Befolgung steuerlicher Aufbewahrungspflichten aufbewahrte Dokumente dienen eigentlich nur noch einer späteren Betriebsprüfung, d. h. dem Betriebsprüfer selbst und denjenigen befassten Mitarbeitern des Unternehmens, die ein „need to know“ in Bezug auf die Betriebsprüfung haben. In der juristischen Literatur wird hierzu vorgeschlagen, dass in einem Archiv, d. h. nach dem Ende des ursprünglichen Erhebungszwecks, „grundsätzlich kein Zugriffsrecht bestehen“ sollte. Zugriffsberechtigungen sollten dann nur nach Einzelfallprüfung und dokumentiert erfolgen.

Eine die gesetzlichen Aufbewahrungspflichten sogar noch überschreitende Speicherdauer kann – wenn nicht gerade ein Rechtsstreit anhängig ist – sicher nur über eine entsprechende Einwilligung des Betroffenen gerechtfertigt werden, die zumindest im Kontext vertraglicher Verhältnisse gesondert wählbar sein muss (Art. 7 Abs. 4 DSGVO) und nicht voreingestellt sein darf (Art. 25 Abs. 2 DSGVO). Wer rechtliche Risiken in Kauf nehmen möchte, kann längere satzungsgemäße oder vertragliche Aufbewahrungspflichten vereinbaren, die nach § 35 Abs. 3 BDSG das Löschen (weiter) verzögern können, dessen Europarechtswidrigkeit aber behauptet wird (s. auch Fall 33).

Pflichtinformationen über Aufbewahrungsfristen

Über die Aufbewahrung in Erfüllung (gesetzlicher) Aufbewahrungspflichten muss auch deutlich in den Pflichthinweisen bei Erhebung aufgeklärt werden, wie die Empfehlungen des Europäischen Datenschutzausschusses vom April 2019 konkretisieren:

In practice, if controllers see a general need to keep records for legal purposes, they need to identify a legal basis at the outset of processing, and they need to communicate clearly from the start for how long they plan to retain records for these legal purposes after the termination of a contract.

Zumindest muss hiernach die Fristlänge in Jahren angegeben werden:

Furthermore, the controller informs data subjects that it has a legal obligation in national law to retain certain personal data for accounting purposes for a specified number of years. The appropriate legal basis is Article 6(1)(c), and retention will take place even if the contract is terminated.

Das Argument der „Revisionssicherheit“ einer Archivierung

Bevor wir zum Ausgangsfall kommen, soll hier kurz auf einen – im Grunde selbstverständlichen – Bußgeldbescheid der Berliner Beauftragten für Datenschutz vom Oktober 2019 eingegangen werden. Dieser Bußgeldbescheid hat deshalb für Aufregung gesorgt, weil die Höhe des Bußgelds (EUR 14,5 Mio.) für deutsche Verhältnisse bis dahin unerreicht war. Die Deutsche Wohnen SE – ein umsatzstarkes Unternehmen, was zu einem vergleichsweise hohen Bußgeld führt – hatte, wie so viele Unternehmen in Deutschland, kein Löschkonzept für die von ihr verarbeiteten personenbezogenen Daten. Sie begründete dies damit, dass ihre Archivsoftware keine Daten löschen könne. Das ist nicht abwegig: Viele Hersteller von Dokumentenmanagementsystemen haben viele Jahre hindurch damit geworben, dass eine Archivlösung nur „revisionssicher“ sei, wenn sie keine Löschung von Daten ermöglicht. Man könnte dies böswillig auch so interpretieren, dass man sich viel Programmieraufwand für ausgefeilte Löschkonzepte (dazu s. Fall 14) sparen wollte.

Jedenfalls gibt es keine „Revisionssicherheit“ – insbesondere für steuerrelevante Daten – in dem Sinne, dass Daten nur dann „revisionssicher“ gespeichert werden, wenn sie unlöschbar „für die Ewigkeit“ konserviert werden. Weder die Abgabenordnung noch die – „nur“ ein Rundschreiben des Bundesfinanzministeriums darstellenden und damit „weit“ unter EU-Recht wie der DSGVO rangierenden – „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) verlangen eine Ewig-Archivierung. Im Gegenteil: Sämtliche maßgeblichen Textstellen verlangen, dass die Daten „während der Dauer der Aufbewahrungsfrist“ revisionssicher (= unveränderlich) gespeichert werden müssen.

Es ist also selbstverständlich, dass nach dem Ende der maßgeblichen Aufbewahrungsfristen bzw. Aufbewahrungspflichten, gleich nach welchem Recht (wie Steuerrecht, Arbeitsrecht, Sozialversicherungsrecht etc.), personenbezogene Daten gelöscht werden dürfen und – nach Datenschutzrecht – müssen, soweit keine datenschutzrechtliche Legitimationsgrundlage für das weitere Speichern dieser Daten besteht. Man kann den im Betrieb eines „falschen“ Archivsystems liegenden „strukturellen Verstoß“ gegen die DSGVO, der dann viele Einzelverstöße in Bezug auf die jeweils datenschutzwidrig nicht gelöschten Datensätze im Einzelnen zur Folge hat, auch – wie die Berliner Datenschutzbeauftragte – auf eine Verletzung der „privacy by design“-Anforderungen (Art. 25 Abs. 1 DSGVO) stützen. Es macht dabei aus der Perspektive des Verantwortlichen keinen Unterschied, ob man die „falsche“ Software nutzt oder eine „richtige“ Software, welche die Umsetzung eines Löschkonzepts ermöglichen würde, „falsch“ – nämlich ohne ein solches Löschkonzept – nutzt.

Als betroffenes Unternehmen kann man nun in solchen Fällen nicht nur in Richtung Vorstands- bzw. Geschäftsführerhaftung denken (Compliance- bzw. Legalitätspflicht), sondern auch in Richtung einer (Mängelgewährleistungs-)Haftung des Softwarelieferanten, wenn dieser eine „rechtssichere“ (oder gar „DSGVO-konforme“) Software versprochen hat und dennoch keine Möglichkeit zur Löschung von Daten bietet.

Wann entfällt die Legitimationsgrundlage?

Doch nun zum Ausgangsfall betreffend die Maier OHG. Die Frage, ob und wann genau eine Löschpflicht nach Art. 17 DSGVO vorliegt, wird noch in Fall 28 erörtert. Im vorliegenden Fall stellt sich die (Vor-)Frage, wann eine grundsätzlich (anfänglich) gegebene datenschutzrechtliche Legitimationsgrundlage „abbricht“ bzw. „zu schwach wird“. Im Gegensatz zum parallelen Problem bei der Interessenabwägung (s. Fall 8) geht es hier um die Legitimationsgrundlage Vertrag (Art. 6 Abs. 1 S. 1 lit. b DSGVO).

Situationen im vertraglichen Kontext, in denen der ursprüngliche Zweck und die ursprüngliche datenschutzrechtliche Legitimationsgrundlage nicht deutlich zu einem bestimmten Zeitpunkt entfallen, können – wie im Fall oben – darauf zurückzuführen sein, dass die Parteien in einer laufenden (handelsrechtlichen) Geschäftsbeziehung stehen, die nie förmlich beendet wurde und die „immer mal wieder“ zu Folgekontakten führt, gleich, ob diese zu konkreten Einzelverträgen führen oder nicht. In der Praxis kommen diese Fälle sehr häufig vor und stellen das Datenschutzrecht auch insoweit auf die Probe, als es „eigentlich“ nicht um Beziehungen zu natürlichen Personen, sondern um Beziehungen zwischen Unternehmen geht, in die „naturgemäß“ natürliche Personen involviert sind (s. dazu Fall 20). Das Vorhalten der Daten von Herrn Huber bei der Maier OHG (und umgekehrt) könnte daher auf Art. 6 Abs. 1 S. 1 lit. b) DSGVO aufsetzen, insbesondere auch, da es in der Vergangenheit bereits Einzelverträge gegeben hat, es sich also nicht um eine reine „Marketingbeziehung“ handelt.

In Bezug auf die Legitimationsgrundlage Vertrag sprechen die bisherigen juristischen Kommentatoren einerseits allgemein von einem „rechtsgeschäftlichen Verhältnis“, das gegeben sein muss. Das kann man bei einer laufenden Geschäftsbeziehung – das Handelsgesetzbuch nennt das „Geschäftsverbindung“ (§ 362 HGB) – durchaus annehmen. Andererseits wird aber auch ein „konkreter Vertrag, z. B. Kauf, Tausch, Miete, Schenkung“ gefordert – also ein konkreter Liefervertrag, der hier schon lange nicht mehr vorlag. Dabei wird durchaus anerkannt, dass in Randbereichen von Verträgen (Treu und Glauben, Rücksichtnahmepflichten etc.) die Grenzen zur Interessenabwägung fließend seien – dies dürfte dann auch für die „Geschäftsverbindung“ gelten. Es gibt also keine klare Grenze zwischen diesen Legitimationsgrundlagen. Wie lange also dürfen die Daten des „Geschäftspartners“ nun gespeichert werden, bis sie gelöscht werden müssen? Wie lange besteht eine „Geschäftsverbindung“ oder ein Rahmenvertragsverhältnis, wenn dieses grundsätzlich – nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO oder nach Art. 6 Abs. 1 S. 1 lit f) DSGVO – eine datenschutzrechtliche Legitimationsgrundlage für die Speicherung von Kontaktdaten darstellt, aber irgendwann „verblasst“? Nur in den seltensten Fällen werden solche Beziehungen förmlich abgekündigt, meist laufen sie „irgendwann“ stillschweigend aus, wenn sie nicht mehr aktiv betrieben werden. Dennoch ist es datenschutzrechtlich ab einem – nicht genau bestimmbaren – Zeitpunkt rechtswidrig, die Daten nicht „rechtzeitig“ gelöscht zu haben.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in ihrem Jahresbericht 2018 diese Frage in Bezug auf B2C-Kundenverhältnisse, in denen sich die „Geschäftsbeziehung“ häufig durch die Existenz eines „Kundenkontos“ manifestiert, wie folgt beantwortet:

Daten dürfen grundsätzlich nur so lange gespeichert werden, wie dies für die ursprünglichen Zwecke erforderlich ist. Bei einem Kundenkonto kommt es letztlich darauf an, ob dieses regelmäßig genutzt wird. Eine unbegrenzte Speicherung ist nicht zulässig. Die Unternehmen müssen Konzepte erstellen, nach welcher Zeit der Inaktivität Kundenkonten gelöscht werden, und diese durch Löschroutinen technisch-organisatorisch implementieren. Dabei kommt es auch darauf an, um welche Dienstleistung es sich handelt und in welchen Zyklen Kundinnen und Kunden typischerweise wieder bestellen. Eine Speicherung von Kundenkonten über einen Zeitraum zweijähriger Inaktivität wird allerdings regelmäßig nicht erforderlich sein.

Besondere Prüfpflichten bei der Auftragsannahme

Das Problem der „ungewissen Dauer der Verarbeitungsberechtigung“ kann auch anhand einer zweiten Situation veranschaulicht werden, die den Rechtsanwalt und dessen Möglichkeit, Kollisionsprüfungen durchführen zu können, betrifft. Ein Rechtsanwalt muss sicherstellen, dass er keine gegensätzlichen Interessen gegeneinander vertritt (§ 43a Abs. 4 BRAO). Diese gesetzliche Verpflichtung besteht zeitlich unbegrenzt, auch wenn die Pflicht zur Aktenaufbewahrung sechs Jahre nach dem Ende des Kalenderjahres der „Beendigung des Auftrags“ (wann immer das im Einzelfall ist) erlischt. Der Rechtsanwalt kann sich also datenschutzrechtlich auf eine fortbestehende „rechtliche Verpflichtung, die die Verarbeitung nach dem Recht [...] der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert“, berufen (Art. 17 Abs. 3 lit. b) DSGVO). Doch soll dies – auch wenn die DSGVO das nicht ausdrücklich sagt – nicht für jede beliebige gesetzliche Pflicht gelten, sondern nur für die gesetzlichen Pflichten, die auch eine taugliche datenschutzrechtliche Legitimationsgrundlage abgeben (Art. 6 Abs. 1 S. 1 lit. c) DSGVO)? Diesbezüglich geben Art. 6 Abs. 2 und Abs. 3 DSGVO den Mitgliedstaaten auf, solche rechtlichen Verpflichtungen spezifisch mit datenschutzrechtlichen Zwecküberlegungen zu verknüpfen, von denen bei der entsprechenden Berufspflicht des Rechtsanwalts zur Kollisionsprüfung leider weit und breit nichts zu sehen ist. Im Gegenteil: Der Gesetzgeber hat sich 2017 bei der Überarbeitung der anwaltlichen Pflicht zur Aktenaufbewahrung (§ 50 BRAO) – auch im Lichte der nahenden DSGVO – nur (ausführliche) Gedanken über die datenschutzrechtliche Pflicht zur Löschung nach Ablauf der Aufbewahrungspflicht gemacht, nicht aber über die zeitlich unbegrenzte anwaltliche Kollisionsprüfungspflicht. Aber natürlich gibt es wie immer ein Hintertürchen, man beachte den letzten Satz dieser Passage der Gesetzesbegründung:

"Mit dem neuen Satz 2 wird erstmals eine Aufbewahrungsfrist für diejenigen Teile der Handakte festgelegt, die nicht unter [...] fallen. Eine solche Fristbestimmung erscheint erforderlich, um klarzustellen, für welche Dauer Handakten zur Verfügung stehen müssen. Ein datenschutzrechtlicher Löschungsanspruch der Mandantschaft ist während dieser Zeit ausgeschlossen. Der Fristbestimmung kommt dabei die wichtige Funktion zu, für alle Beteiligten auch im Hinblick auf die datenschutzrechtliche Vorgabe, dass personenbezogene Daten jeweils nur so lange gespeichert werden dürfen, wie ihre Speicherung erforderlich ist, allgemein und rechtssicher zu bestimmen, für welche Frist eine Aufbewahrung der Handakte zulässig ist. [...] – Hinweis auf die kommende DSGVO] Gerade im Hinblick auf die dort [d. h. in der DSGVO] sehr allgemeinen Regelungen zu Löschungspflichten erscheint es sinnvoll und erforderlich, dass nicht jeder einzelne Rechtsanwalt im Hinblick auf den Gegenstand jeder einzelnen Handakte gegenüber der Datenschutzaufsichtsbehörde begründen muss, warum die Aufbewahrung dieser Handakte zum Zweck der Aufsicht noch erforderlich ist, sondern für einen bestimmten Zeitraum für alle Beteiligten die Erforderlichkeit und Zulässigkeit der Aufbewahrung zu diesem Zweck gesetzlich klargestellt ist. Anschließend sind die Handakten, da sie wohl immer personenbezogene Daten enthalten werden, aufgrund der datenschutzrechtlichen Vorgaben zu vernichten, soweit sich nicht aus anderen Gründen eine Pflicht oder Befugnis zu ihrer weiteren Aufbewahrung ergibt.“

Darf der Rechtsanwalt also zeitlich unbegrenzt diejenigen personenbezogene Daten speichern (Mandant, Gegner, Gegenstand), die er für spätere Kollisionsprüfungen benötigt?

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden