Löschen nur auf Anforderung?
PSP Case Study zur DSGVO: Praxisfall 28

DSGVO: Praktischer Fall

Die Huber AG verfügt über Altbestände von Unternehmensdaten (E-Mails, Dokumente, Korrespondenz, Buchhaltungsunterlagen etc.), deren Inhalt sie selbst nicht so genau kennt („irgendwo liegt irgendwas“). Mit absoluter Sicherheit sind auch personenbezogene Daten darunter, zumindest von Mitarbeitern der Huber AG, aber auch von Mitarbeitern anderer Unternehmen, mit denen die Huber AG einmal in Geschäftsbeziehung stand oder noch steht. Eine Löschung kommt für den Vorstand nicht in Frage, weil „man die Daten dann nicht mehr hat, wenn man sie noch mal braucht“.

Ein Schelm, der denkt, dass es in Zeiten der DSGVO solche (mittelständischen) Unternehmen nicht (mehr) gibt. Es mag allerdings überraschen, dass über die Frage, ob datenschutzrechtlich eine Löschpflicht des Verantwortlichen auch ohne Aufforderung durch den Betroffenen besteht, unter Juristen überhaupt diskutiert wird. Den Datenschutzbehörden stehen dabei natürlich die Haare zu Berge: Personenbezogene Daten, deren Erhebungs- bzw. Verarbeitungszweck erreicht oder weggefallen ist, müssen doch gelöscht werden, egal, ob das Betroffene verlangt oder nicht! So ausdrücklich auch das bayerische Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2017/2018. Und gerade dafür gibt es in der DSGVO auch die Grundsätze der Zweckbindung, der Speicherbegrenzung und der Datenminimierung. Außerhalb der DSGVO gibt es ergänzend beispielsweise die DIN 66398 für Löschkonzepte, mit deren Hilfe automatische Löschroutinen, zumeist softwarebasiert, parametrisiert werden können. Diese Norm kann gleichwohl nur eine erste Näherung ermöglichen, denn die Einordnung eines Datentyps in die „nächsthöhere“ Fristenkategorie würde aus der (Einzelfallbetrachtungs-)Perspektive der DSGVO zu einer möglicherweise unzulässig fortdauernden Speicherung führen.

Was sagt der Gesetzestext?

Man kann dennoch die Frage stellen, ob sich die Löschpflicht ohne Anforderung nur aus diesen etwas „luftigen“ Prinzipien der DSGVO ergibt oder ob der Gesetzestext, wenn es dem Gesetzgeber denn so wichtig wäre, eine konkrete und „aufforderungsunabhängige“ Pflicht des Verantwortlichen formuliert. Die Löschung personenbezogener Daten wird in der DSG-VO nur in Art. 17 ausdrücklich angeordnet. Diese Vorschrift enthält einen bemerkenswert zweideutigen Satzeingang:

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

Die Preisfrage ist nun, ob dies sprachlich als „A hat das Recht, von B etwas zu verlangen, und deshalb muss B das dann auch tun“ – also als Tautologie – zu lesen ist oder als „A hat das Recht, von B etwas zu verlangen, aber auch unabhängig davon muss B das tun“ zu lesen ist. Die Auswirkungen sind natürlich erheblich. Wie viele Betroffene wissen gar nicht – Aufklärung und Informationspflichten hin oder her –, wer alles welche personenbezogenen Daten über sie hat. Die Betroffenen wären nie in der Lage, sämtliche Verantwortliche, denen sie irgendwann ihre personenbezogene Daten „gegeben“ haben, im Nachhinein zu benennen. Auch kostet es zumindest Zeit und Nerven, Löschverlangen an all diese Verantwortlichen zu senden. Wenn es also für die Löschung eines Löschverlangens bedürfte, wäre die „Dunkelziffer“ der personenbezogenen Daten, die (sehr) viele Verantwortliche dann „einfach so“ schlummern lassen könnten – weil ja die Betroffenen ihre Löschung nicht verfolgen –, wohl jetzt schon gigantisch und noch dazu exponentiell anwachsend. Und warum sollte der Gesetzgeber zwei Seiten derselben Medaille – die Berechtigung des einen und die spiegelbildliche Verpflichtung des anderen – überflüssigerweise in einen Satz packen? Auch beim Berichtigungsanspruch (Art. 16 DSGVO) heißt es beispielsweise „Die betroffene Person hat das Recht, von dem Verantwortlichen die Berichtigung [...] zu verlangen“, ohne dass hier noch „und der Verantwortliche ist verpflichtet, die Berichtigung vorzunehmen“ folgt.

Kostenloser Cloud-Speicher für alle?

Gegen die „aufforderungsunabhängige“ Löschpflicht wird gleichwohl ins Feld geführt, dass viele Löschungen, die ansonsten „automatisch“ – also vom Betroffenen unbemerkt – geschehen müssten, dem Betroffenen vielleicht gar nicht recht wären. Dies beruht darauf, dass die DSGVO insbesondere im Bereich der Einschränkung der Verarbeitung (Art. 18) ein „Recht auf kostenloses Speichern“ enthält: Der Betroffene kann (anstelle der Löschung) verlangen, dass die Daten für eng begrenzte Zwecke, praktisch „für den Betroffenen“, vorgehalten werden müssen. Einen solchen „kostenlosen Back-up-Dienst“ hätte man wohl zu Zeiten knappen Speicherplatzes nicht gewagt in ein Gesetz zu schreiben. Entsprechend wird argumentiert, dass der Verantwortliche, wenn er Daten ohne Anforderung des Betroffenen löschen möchte, vorher den Betroffenen fragen müsse, da dieser vielleicht sein Recht auf Einschränkung der Verarbeitung geltend machen will (sodass die Daten nicht mehr einfach so gelöscht werden dürfen). Es genügt also danach nicht schon, ein möglichst vollständiges Löschkonzept zu haben (s. dazu Fall 14) – es müssen auch noch sämtliche Betroffenen erreicht und ihre Antwort abgewartet werden. Und sämtliche Betroffenen würden permanent dadurch „belästigt“, dass Verantwortliche fragen, ob es genehm ist, dass nun dieser oder jener Datensatz gelöscht wird. Da dürfte man eigentlich erwarten, dass eine so grundsätzliche und in der Praxis extrem ressourcenintensive „Löschfragepflicht“ im Gesetz ausdrücklich geregelt wird. So abwegig ist die Annahme einer solchen Pflicht aber nicht, denn schließlich hält der Europäische Datenschutzausschuss in Empfehlungen vom November 2019 zum Thema „privacy by design/by default“ unter dem Stichwort „notwendige Schutzmaßnahmen“ („necessary safeguards“, in der deutschen DSGVO-Übersetzung missverständlich als „notwendige Garantien“ bezeichnet) auch Aufbewahrungserinnerungen („retention reminder“) für notwendig, damit der Betroffene intervenieren kann:

Enabling data subjects to intervene in the processing, providing automatic and repeated information about what personal data is being stored, or having a retention reminder in a data repository may be examples of necessary safeguards.

Ebenfalls in diese Richtung geht ein Bescheid der österreichischen Datenschutzbehörde vom Dezember 2018, wonach die Löschung der gesamten personenbezogenen Daten des Betroffenen – trotz nur partiellen Löschungsantrages – nicht „der Verwendung von Daten nach Treu und Glauben entspricht“, da so die „Integrität des Datensatzes nachhaltig beeinträchtigt“ wurde. Man sieht hier, dass ein Verbot der Löschung ohne Anforderung auch auf Umwegen hergeleitet werden kann. Und auch das bayerische Landesamt für Datenschutzaufsicht schränkt seine oben zitierte Äußerung in Richtung „aufforderungsloser“ Löschung wie folgt ein:

Sollte für die Erreichung des Zwecks, für den die Daten erhoben wurden, die Aufbewahrung noch notwendig sein, muss bzw. darf nicht gelöscht werden. Dies kann insbesondere dann der Fall sein, wenn die Gesundheitsdaten wichtige Informationen enthalten, von denen davon ausgegangen werden kann, dass für diese auch nach Ablauf gesetzlicher Aufbewahrungsfristen das Interesse des Berechtigten an der Speicherung das an der Löschung überwiegt, bspw. im Hinblick auf Medikamentenunverträglichkeiten.

Ob dies nur für die vom bayerischen Landesamt dann exemplarisch zitierten gesetzlichen Aufbewahrungspflichten (hier § 630f Abs. 3 BGB) gilt oder ganz allgemein, bleibt offen. Jedenfalls stellt sich die Folgefrage, ob der Verantwortliche nun Hellseher werden soll („davon ausgegangen werden kann“) oder sich immer mal wieder mit sämtlichen Betroffenen, deren Daten er verarbeitet, darüber austauschen soll, was sie denn nun in Bezug auf ihre Daten gerne hätten.

Auch hier lässt sich also nicht mehr sagen, dass es einen klaren Trend in dieser Frage gibt. Hätte das der Gesetzgeber nicht klarer formulieren sollen?

Muss immer bei Wegfall der Legitimationsgrundlage gelöscht werden?

In der Kommentarliteratur zu Art. 17 DSGVO heißt es, dass „die Löschung immer dann zu erfolgen hat, wenn die Verarbeitung der betreffenden personenbezogenen Daten bereits rechtswidrig war oder in Zukunft rechtswidrig sein wird“. Das würde im Prinzip bedeuten, dass der Wegfall einer Legitimationsgrundlage die Daten „löschpflichtig“ macht. So steht es allerdings nicht in Art. 17 Abs. 1 DSGVO, der explizit anordnet, dass eine Löschung nur dann vorgenommen werden muss, „sofern einer der folgenden Gründe zutrifft“, und dazu zählt nicht der Wegfall eines Legitimationsgrundes bzw. das „Rechtswidrig-Werden“ der Verarbeitung. Im Gegenteil: In Buchstabe d) heißt es explizit in der Vergangenheitsform „Die personenbezogenen Daten wurden unrechtmäßig verarbeitet“, d. h. es lag bereits ein Verstoß gegen Datenschutzrecht vor. Ausdrücklich regelt Art. 17 DSGVO nur den Wegfall zweier Legitimationsgrundlagen. Dies ist einerseits die Einwilligung (Art. 17 Abs. 1 lit. b DSGVO), für deren Widerruf die DSGVO hier selbst anordnet, dass nur dann gelöscht werden muss, wenn „es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt“ (s. aber Fall 8 aus der Perspektive der Erhebung). Andererseits findet sich hier die Interessenabwägung und die erfolgreiche Widerspruchseinlegung (Art. 17 Abs. 1 lit. c DSGVO) – hier nicht mit der „Rückgriffsklausel“ auf eine mögliche andere Legitimationsgrundlage.

Ansonsten findet sich in Art. 17 Abs. 1 DSGVO gerade nicht der Grundsatz, dass gelöscht werden muss, wenn die Legitimationsgrundlage entfällt, sondern dann, wenn „die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind“ (Art. 17 Abs. 1 lit. a DSGVO). Gibt es nun einen Unterschied zwischen Zweckerfüllung bzw. Zweckfortfall und Wegfall der Legitimationsgrundlage? Kann z. B. ein Zweckfortfall vorliegen, auch wenn ein Vertrag, der Legitimationsgrundlage war bzw. ist, noch besteht? Kann umgekehrt ein Vertrag als Legitimationsgrundlage entfallen, aber die Daten dennoch für den ursprünglichen Erhebungszweck (weiter) notwendig sein? Man mag das für akademische Spitzfindigkeiten halten, aber es zeigt, dass die Begrifflichkeiten in den entscheidenden Artikeln 6 (Legitimationsgrund) und 17 (Recht auf Löschung) DSGVO nicht vollständig synchronisiert wurden.

Was heißt das eigentlich: Löschen?

Wie auch immer: Soll bzw. muss dann irgendwann tatsächlich gelöscht werden, stellt sich die Frage, was „Löschen“ eigentlich genau bedeutet. Eine Definition, was Löschen bedeutet, enthält die DSGVO nicht. Ein Mitarbeiter einer deutschen Datenschutzaufsichtsbehörde formulierte es kernig einmal so: Löschen heißt Löschen (vgl. zur Auffassung der dänischen Datenschutzaufsichtsbehörde und zur Nachweispflicht auch Fall 22). „Sperren“ ist hingegen etwas anderes, nämlich die sehr enge Begrenzung des Kreises der Personen, die auf ein personenbezogenes Datum zugreifen dürfen, aufgrund der engen Zweckbindung (z. B. Aufbewahrung zu steuerlichen Zwecken, vgl. Fall 21). Mit anderen Worten: „Sperren“ ist im Wesentlichen eine Frage des (verengten) Berechtigungskonzepts und dessen Durchsetzung mit technisch-organisatorischen Maßnahmen. Wo gelöscht werden muss, reicht die Sperrung nicht aus.

Umgekehrt aber ist das Löschen vom „Vernichten“ zu unterscheiden, denn die DSGVO nennt beides nebeneinander als Verarbeitungshandlungen, weshalb beide Begriffe wohl etwas Unterschiedliches bedeuten müssen. So kann Löschen auch durch Anonymisieren erreicht werden, ohne dass die Daten tatsächlich (vollständig) vernichtet werden (s. Fall 32). Löschen ist demnach – im Unterschied zur Vernichtung – das „Unkenntlichmachen“ der Daten. Wo gelöscht werden muss, muss also nicht unbedingt vernichtet werden.

Dies wiederum wirft in der IT-Welt die Frage auf, ob das Löschen von Metadaten ein Löschen der Daten selbst sein bzw. ersetzen kann. Es gibt juristische Kommentare, nach denen „die Löschung von Verknüpfungen oder Codierungen, die zur Wahrnehmung der Information erforderlich sind“, ausreichend ist. Die Beantwortung dieser Frage ist für viele IT-Verantwortliche essentiell. Entscheidend ist der Grad an Aufwand, der notwendig ist, um die Information ohne Metadaten wiederherzustellen. Ist dies mit einfachen Tools möglich, wie etwa bei Dateien, die nur in einem Datenträgerverzeichnis („file allocation table“) gelöscht wurden, stellt das Löschen dieser Zuordnungs- bzw. Metadaten sicherlich kein Löschen dar. Anders könnte es sein, wenn in komplexen Datenbankstrukturen (wie einem SAP-System) sämtliche Referenzen auf einzelne Datenbankinhalte gelöscht werden, sodass diese nur durch eine aufwändige Analyse des Datenbankinhalts auf „Rohdatenebene“ wiederherstellbar wären. Sobald aber Werkzeuge verfügbar werden, die eine derartige Analyse vereinfachen, könnten bisher als gelöscht geglaubte Daten als „Zombies“ wieder auferstehen, sprich doch nicht gelöscht worden sein. Je verbreiteter eine Software ist, desto größer das Risiko, dass derartige „Undelete-Werkzeuge“ entwickelt werden.

Der Europäische Datenschutzausschuss hat in seinen Empfehlungen vom November 2019 zum Thema „privacy by design/by default“ sinngemäß „Beobachtungspflichten hinsichtlich der allgemeinen technischen Entwicklungen“ statuiert (s. Fall 32). Es gibt also einiges zu tun für die Verantwortlichen, die „nur“ Verknüpfungen löschen.

Müssen berichtigte (vormalige) Daten gelöscht werden?

Eine interessante Frage zum Abschluss ist, ob bei einer Berichtigung von Daten die ursprünglichen Daten (unaufgefordert) gelöscht werden müssen. Hier ist auf zwei Gerichtsentscheidungen zu verweisen, die sich u. a. mit dieser Fragestellung beschäftigen. Das Oberverwaltungsgericht Hamburg hat im Mai 2019 entschieden, dass eine Änderung des Vornamens eines Mitarbeiters infolge einer Geschlechtsumwandlung nicht dazu führt, dass der alte Vorname zu löschen ist. Denn dieser ist nicht historisch falsch gewesen, sondern wurde – wie der Jurist sagt – nur mit Wirkung für die Zukunft geändert („ex nunc“). Das Oberverwaltungsgericht Hamburg führt aus:

Die Beklagte hält ihre Personalakten bewusst auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können, so dass sie die Daten auch nicht dem neuesten Stand anpassen muss; eine solche Anpassung, die aus den Akten nicht erkennbar wäre, könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen“.

Was hier nicht erörtert wird, ist die Frage, wozu der vormalige Vorname überhaupt noch benötigt wird. Im Kontext des § 26 BDSG wäre also zu fragen, ob die Verarbeitung des vormaligen Vornamens noch „zur Durchführung eines Beschäftigungsverhältnisses erforderlich“ ist. Wäre dies nicht der Fall, wäre kaum ersichtlich, weshalb der alte Datenstand nicht gelöscht werden müsste.

Daneben hat das österreichische Landesgericht Feldkirch in einer in Fachkreisen weit beachteten Entscheidung gegen die österreichische Post – weit beachtet, weil dort ein Ersatz immateriellen Schadens (in Höhe von EUR 800) zugesprochen wurde – die Fortspeicherung vormaliger Adressen durch ein Telekommunikationsunternehmen für rechtmäßig erachtet. Die historischen Adressen wurden im Rahmen eines gesonderten Services gespeichert, der wie folgt umschrieben wird:

Die beklagte Partei bietet Unternehmen das sogenannte „ADRESS-CHECK-Service“ an. Dieses ermöglicht Unternehmen, ihre Kundendaten mit den von der beklagten Partei gespeicherten Umzugsdaten abzugleichen und dadurch die neue Adresse verzogener Kunden zu erfahren. So können Unternehmen mit ihren verzogenen Kunden ohne langwierige und teure Nachforschungen in Kontakt bleiben. Weil umziehende Personen häufig nicht allen Unternehmen, mit denen sie in Kontakt sind oder waren, ihre neue Adresse mitteilen, kommt es nach einem Umzug oft auch noch nach langer Zeit zu Postsendungen an eine alte, nicht mehr aktuelle Adresse. Um bei möglichst vielen Unternehmen die neue Adresse bekanntgeben zu können und nicht zustellbare Sendungen zu vermeiden, speichert die beklagte Partei frühere Wohnadressen von Personen, die der Datenverwendung für Marketingzwecke Dritter nicht widersprochen haben, über mehrere Jahre“.

Auf der Basis welcher Legitimationsgrundlage die historischen Adressdaten verarbeitet wurden, lässt das Urteil offen, führt aber allgemein hierzu aus:

Im Zusammenhang mit dem von der beklagten Partei angebotenen „ADRESS-CHECK-Service“ erscheint es angemessen und legitim, auch mehrere frühere Adressen des Klägers in Verbindung mit dem Vermerk „verzogen“ über mehrere Jahre zu speichern. [...] Zumal die früheren Adressen des Klägers im Speichersystem der beklagten Partei ohnehin mit dem Vermerk „verzogen“ versehen sind, ist auch ein Verstoß gegen den Grundsatz der Datenrichtigkeit nach Art. 5 Abs. 1 lit. d DSGVO nicht erkennbar.

Auch wird die weitere Speicherung der veralteten Informationen trotz zwischenzeitlicher Berichtigung als rechtmäßig angesehen, um den Betroffenen auch nach einem Umzug mit Werbung „verfolgen“ zu können.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden