Der löscht einfach alles
PSP Case Study zur DSGVO: Praxisfall 33

DSGVO: Praktischer Fall

Herr Maier ist Geschäftsführer der Huber GmbH. Sein Geschäftsführeranstellungsvertrag wird von der Gesellschafterversammlung fristgerecht ordentlich gekündigt. Am letzten Tag der Kündigungsfrist löscht Herr Maier sämtliche E-Mails von und an sich, die er in seinem Postfach noch vorfindet und die bislang nicht – z. B. wegen steuerrechtlicher Aufbewahrungspflichten – in einem Archivsystem der Huber GmbH erfasst wurden. Sein Nachfolger, Herr Müller, der zwei Tage davor zum Unternehmen stieß, sucht nach dem Weggang von Herrn Maier nach E-Mails zu einem bestimmten Vorgang.

Dieser Fall schließt thematisch an Fall 4 an. Dort ging es um den Auskunftsanspruch eines Beschäftigten im Zusammenhang mit dessen Bewegungsdaten, hier dagegen geht es um die Umsetzung eines Löschanspruchs eines Geschäftsführers – dessen Anstellungsvertrag wohl nicht der Regelung des § 26 BDSG zum Beschäftigtendatenschutz unterfällt – im Wege einer „datenschutzrechtlichen Selbsthilfe“. Für Bewegungsdaten von Beschäftigten wird das Thema noch weiter unten im Rahmen eines Exkurses angeschnitten.

Die im Fallbeispiel vielleicht etwas ungewöhnliche Form der „Exekution“ durch Löschen der eigenen Bewegungsdaten wirft natürlich zunächst einmal die vorgelagerte Frage auf: Hätte die Korrespondenz von und an Herrn Maier, wenn er das Unternehmen ohne zu löschen verlassen, aber sogleich die Löschung (Art. 17 DSGVO) verlangt hätte, ohnehin gelöscht werden müssen? Gesetzt den Fall, gesetzliche Aufbewahrungspflichten wären nicht einschlägig, darf das Unternehmen sämtliche unternehmensbezogene Kommunikation nach dem Austritt des Mitarbeiters „behalten“, eben weil sie „Unternehmenskommunikation“ darstellt? Zweifellos sind die E-Mails im Postfach von Herrn Maier personenbezogene Daten und zweifellos ist Herr Maier einer der Betroffenen – neben anderen Personen wie dem jeweiligen Absender bzw. Empfänger oder sonstigen Personen, die in der jeweiligen E-Mail eine Rolle spielen.

Datenschutzrechtliche Legitimationsgrundlage für Bewegungsdaten

Die Kernfrage ist, auf welche Legitimationsgrundlage für das „Behaltendürfen“ der E-Mails sich die Huber GmbH nach dem Ausscheiden von Herrn Maier stützen kann. Eine Einwilligung scheidet aus, wenn Herr Maier diese nicht erklärt. Ohnehin könnte er eine frühere Einwilligung – vorausgesetzt, die wäre freiwillig gewesen (ansonsten wäre sie unwirksam gewesen) – jederzeit widerrufen.

Ob die personenbezogenen Daten nach dem Ende des Geschäftsführeranstellungsvertrages immer noch „irgendwie“ für die Durchführung eben dieses Vertrages „erforderlich“ sind, dürfte zweifelhaft sein. Der Umstand, dass für einen Geschäftsführer wohl nicht die Regelung des § 26 BDSG, sondern die allgemeine Legitimationsgrundlage „Vertrag“ der DSGVO (hier in Gestalt des Geschäftsführeranstellungsvertrages) einschlägige Legitimationsgrundlage ist, kann keinen entscheidenden Unterschied machen. Man könnte in Richtung einer fortlaufenden Erforderlichkeit argumentieren, wenn man eine nachlaufende vertragliche Pflicht anerkennen würde, dem Dienst- oder Arbeitgeber seine „Arbeitsergebnisse“ – hier in Form von E-Mails – dauerhaft zu überlassen (Dokumentationspflicht). Dabei sind im hiesigen Sachverhalt im Grundsatz auch Organpflichten zur zweckentsprechenden Organisation eines – unternehmensnotwendigen – „Wissensmanagements“ in der GmbH (§ 43 GmbHG) zu berücksichtigen: Eigentlich hat der Geschäftsführer die (Organ-)Pflicht, dafür zu sorgen, dass unternehmensbezogener E-Mail-Verkehr der Gesellschaft (so lange wie irgend möglich) zur Verfügung steht. Allerdings wird unter der DSGVO kaum eine (woher auch immer stammende) „Verpflichtung zur Erteilung bzw. zum Nichtwiderruf einer Einwilligung“ akzeptiert werden können. Man könnte aber daran denken, die Einwilligung in die weitere Aufbewahrung bei der Gesellschaft als vertragliche Gegenleistung zu definieren, die mit der Vergütung abgegolten wird (s. dazu auch Fall 30).

Was (ungeschriebene) Nebenpflichten eines Geschäftsführeranstellungsvertrages anbelangt, werden in Gerichtsentscheidungen und in der Kommentarliteratur – unter dem Titel nachlaufender (Treue-)Pflichten – eher Verschwiegenheitspflichten und Wettbewerbsverbote behandelt. In der Vergangenheit ist man wohl wie selbstverständlich davon ausgegangen, dass die Arbeitsergebnisse dem Arbeit- bzw. Dienstgeber „gehören“. Die Annahme einer allgemeinen (nachlaufenden Vertrags-)„Pflicht, der Gesellschaft seine Arbeitsergebnisse dauerhaft zu überlassen“, dürfte auch vor dem Hintergrund einer sich abzeichnenden „vertraglichen Inhaltskontrolle“ und der datenschutzrechtlichen Grundprinzipien schwer zu rechtfertigen sein (vgl. dazu auch Fall 30). Nur in einem Fall hat der Gesetzgeber die Kollision von (satzungsgemäßer oder vertraglicher) Aufbewahrungspflicht und (datenschutzrechtlicher) Löschpflicht in der Person des Organs einer Gesellschaft explizit geregelt und dabei der Aufbewahrungspflicht den Vorzug gegeben (§ 35 Abs. 3 BDSG), was (natürlich) auch bereits als europarechtswidrig (weil nicht DSGVO-konform) bezeichnet wurde. Ein – mit dem Risiko einer europarechtswidrigen Legitimationsgrundlage versehener – Ausweg wäre also für Bewegungsdaten (sowohl der Geschäftsführer als auch der Beschäftigten) die Statuierung einer satzungsmäßigen Aufbewahrungspflicht, die dann einer Löschpflicht vorgehen würde.

Interessenabwägung nach Ende des Anstellungsvertrages?

Ansonsten bliebe noch die Interessenabwägung. Wahrscheinlich wird hierbei zunächst eine Zweckänderung vorliegen: Ursprünglicher Zweck war der Anstellungsvertrag (d. h. das Vertragsverhältnis), nun basiert der Zweck auf dem Interesse des Unternehmens, betriebliche Kommunikation zu betrieblichen Zwecken nach dem Vertragsende verfügbar zu halten (s. Fall 17). Auch wenn hier wohl von Zweckkompatibilität auszugehen ist, müsste Herr Maier bei seinem Ausscheiden eine Zweckänderungs-Pflichtinformation erhalten. Er könnte dann immer noch dieser Interessenabwägung widersprechen, wenn man nicht davon ausgeht, dass die Zweckkompatibilität auf Basis des ursprünglichen Zwecks den Folge-Legitimationsgrund ersetzt (s. Fall 5). Dies darf er nach Art. 21 Abs. 1 DSGVO zwar nur „aus Gründen, die sich aus seiner besonderen Situation ergeben“, d. h. die im Rahmen einer typisierten Interessenabwägung nicht ohnehin zu berücksichtigen waren (s. Fall 26). Herr Maier könnte aber etwa behaupten, dass er das Unternehmen im Unfrieden verlassen habe und nicht möchte, dass dort mit seiner Korrespondenz „Schindluder“ betrieben wird. Ob ein Gericht dies als „wirksamen“ Widerspruch anerkennen würde, ist allerdings fraglich.

Geht man davon aus, dass Herr Maier einen solchen besonderen Grund ins Feld führen könnte, so dürfte die Huber GmbH die Kommunikationen nur noch weiter verarbeiten, wenn sie „zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen“, oder wenn die Verarbeitung der Kommunikationen „der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient“ (Art. 21 Abs. 1 DSGVO). Dies wird dann für jede einzelne Kommunikation gesondert zu beurteilen sein. Wie immer gilt: Die mustergültige Erfüllung der DSGVO lässt sich beliebig komplex gestalten und führt dann zu beliebig hohem Aufwand (s. dazu schon Fall 14).

„Dateneigentum“ des Arbeitgebers?

Man sieht, dass (nicht nur) hier eine „außerrechtliche“ Vorstellung von einem „Dateneigentum“ (der Huber GmbH gehören „ihre“ Daten) und das Datenschutzrecht kollidieren. Da es ohnehin kaum mehr Daten ohne Personenbezug gibt (s. Fall 15), stellt im Grunde schon die DSGVO selbst die neue „Eigentumsordnung“ an Daten dar. Entsprechend dem Grundgedanken einer Treuhand bzw. eines Eigentümer-Besitzer-Verhältnisses ist – aus der Perspektive zivilrechtlicher Kategorien sinnbildlich gesehen – der Betroffene der „Eigentümer“ der Daten, während der Verantwortliche (im Sinne des Datenschutzrechts) nur deren „Besitzer“ ist. Solange er „rechtmäßig besitzt“ – also eine datenschutzrechtliche Legitimationsgrundlage für die Verarbeitung besteht – darf er die Daten im Rahmen der Zweckbindung verarbeiten. Solcher rechtmäßiger (legitimierter) Besitz kann im Bereich der Interessenabwägung – sprich: der mutmaßlichen Einwilligung auf Basis typisierter (bzw. antizipierter) Interessen des Betroffenen – auch gegen den Willen des Eigentümers (Betroffenen) bestehen, denn das Widerspruchsrecht des Art. 21 DSGVO besteht nur im Rahmen der Direktwerbung und ansonsten nur dann, wenn „Gründe, die sich aus seiner besonderen Situation ergeben“ vorliegen. Liegen die Voraussetzungen des Art. 21 DSGVO nicht vor und ist die Legitimationsgrundlage Interessenabwägung noch gegeben, kann der Betroffene die Verarbeitung nicht verhindern, selbst wenn er mit der Verarbeitung nicht einverstanden ist (aber eben vom Verantwortlichen nicht gefragt werden musste; s. aber zur Frage, wann er gefragt werden muss, Fall 17).

Wenn jedoch die Verarbeitung, insbesondere aber die Speicherung, nicht mehr auf eine datenschutzrechtliche Legitimationsgrundlage gestützt werden kann, wird der Verantwortliche zum „unrechtmäßigen Besitzer“. Der unrechtmäßige Besitzer muss den Besitz an den Eigentümer herausgeben, also – in der „Sprache der Datenschützer“ – löschen (s. aber im Detail dazu Fall 28). Auch während der Trennung von Eigentum und Besitz ist der Besitzer – wie ein Treuhänder – dem Eigentümer immer Rechenschaft über die Verarbeitung schuldig (Auskunftsanspruch etc.).

Es liegt daher auf der Hand, dass es keiner (weiteren) Regulierung eines Dateneigentums mehr bedarf, wenn man das Datenschutzrecht als „Ersatz-Eigentumsordnung für Daten“ ansieht. Diesen umfassenden Anspruch trägt die DSGVO bereits in Erwägungsgrund 7 in sich („Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen“). Unter solchen Vorgaben kann kein Eigentum an den Daten frei übertragen werden (im Sinne einer Eigentumsübertragung im „klassischen“ sachenrechtlichen Sinne): Gerade die Freigabe solcher Transaktionen durch den Betroffenen in Form der Einwilligung ist jederzeit widerruflich. Dies läuft dem (faktischen) Zweck vieler Daten, Wirtschaftsgut zu sein und als solches in Märkten oder Unternehmen zirkulieren zu können, eigentlich zuwider. Deshalb wird in regelmäßigen Abständen immer wieder nach einer separaten Regulierung eines „Dateneigentums“ gerufen, das außerhalb des Datenschutzrechts, des Urheberrechts und was sonst noch so alles rechtliche Verhältnisse an Informationen regelt, zur Anwendung kommen soll. Allerdings bleibt da gar nicht mehr so viel übrig, was sich noch regeln ließe – die Luft ist durch die DSGVO sehr dünn geworden.

Eine naheliegende Erweiterung dieses Falles ist übrigens ein von Herrn Maier erlaubtermaßen gemischt privat-betrieblich genutzter E-Mail-Account, in den sein Nachfolger hineinsehen möchte. Die sich hierbei ergebenden Fragen im Hinblick auf das Fernmeldegeheimnis sind in Fall 31 skizziert. Würde Herr Maier die Genehmigung verweigern, dass Einblick in seinen E-Mail-Account genommen wird, würde diese Konstellation derzeit kaum rechtssicher zu lösen sein.

Exkurs: Beschäftigtendatenschutz

Eine weitere interessante Frage ist, wann die Bewegungsdaten eines Beschäftigten – also im Anwendungsbereich des § 26 BDSG und nicht, wie in der obigen Fallkonstellation, eines Geschäftsführers – nach dessen Ausscheiden aus dem Unternehmen zu löschen sind. An sich endet die Legitimationsgrundlage des § 26 BDSG mit dem Ausscheiden des Mitarbeiters: Das Anstellungsverhältnis ist beendet. Damit ist auch die Legitimationsgrundlage für die Verarbeitung der unternehmensbezogenen Kontaktdaten eigentlich entfallen und diese sind zu löschen (s. Fall 1). Ob § 26 BDSG insoweit eine „Nachlaufwirkung“ nach dem Ende des Anstellungsverhältnisses entfaltet, wurde auch für Beschäftigte noch nicht im Detail erörtert. Dies hängt damit zusammen, dass unter „Beschäftigtendaten“ rechtlich häufig nur bzw. in erster Linie Personalaktendaten verstanden werden. Zu Personalaktendaten hat das Landesarbeitsgericht Sachsen-Anhalt in einer Entscheidung vom November 2018 unter dem Blickwinkel eines DSGVO-Löschanspruchs bezüglich einer Abmahnung in einer Personalakte geurteilt, dass jedenfalls nach Beendigung des Beschäftigungsverhältnisses der Zweck der Abmahnung (Warnfunktion) nicht mehr zum Tragen komme. Das personenbezogene Datum der Abmahnung war damit „für die Zwecke, für die es [...] verarbeitet wurde, nicht mehr notwendig“. Das Landesarbeitsgericht verwies hier auf Art. 17 Abs. 1 lit. a DSGVO, berief sich aber in der Sache auf den Wegfall des Legitimationsgrundes von § 26 BDSG (bzw. Art. 6 Abs. 1 S. 1 lit. b DSGVO). Die Entscheidung spricht auf Ebene der Granularität auch dafür, dass die Personalakte hinsichtlich des datenschutzrechtlich relevanten Löschzeitpunkts nicht als „ein Dokument“ betrachtet werden sollte. Aber wie gesagt, gibt dies eher wenig für die Situation in Bezug auf Bewegungsdaten her.

Mutmaßlich verhält es sich für Bewegungsdaten von Beschäftigten ähnlich wie oben für den Geschäftsführer skizziert: Es liegt eine Zweckänderung vor, die neue Legitimationsgrundlage ist eine Interessenabwägung, der Betroffene muss eine Zweckänderungsmitteilung erhalten und kann in begründeten Ausnahmefällen Widerspruch gegen die weitere Verarbeitung einlegen.

Dabei wird man in der Praxis – um noch eine weitere Datenkategorie mit einzubeziehen – auch feststellen, dass sich häufig unternehmensbezogene Kontaktdaten und Bewegungsdaten kaum voneinander trennen lassen. Insbesondere in der internen und externen Kommunikation dienen die unternehmensbezogenen Kontaktdaten, allem voran die E-Mail-Adresse, der Adressierung von Bewegungsdaten, die der Beschäftigte an jemanden geschrieben oder von jemandem erhalten hat. Eine E-Mail enthält demnach beispielsweise immer beide Kategorien von Daten (unternehmensbezogene Kontaktdaten und Bewegungsdaten des Beschäftigten). Eine isolierte Löschung der unternehmensbezogenen Kontaktdaten – also beispielsweise die Schwärzung der E-Mail-Adresse in einer E-Mail – wird die E-Mail (also die Bewegungsdaten) häufig nicht wirksam anonymisieren, und zwar auch deshalb, weil der Inhalt eines Dokuments (E-Mail, Aktenvermerk etc.) häufig selbst dann noch eine Zuordnung zu einem bestimmten Mitarbeiter zulässt (zumindest für die ermittelnde Staatsanwaltschaft, wenn dem Mitarbeiter eine Straftat vorgeworfen werden würde, s. dazu Fall 32).

Wie lange ist nun aber die zulässige Speicherdauer – darf der Arbeitgeber, vorausgesetzt, der Betroffene erhebt keinen wirksamen Widerspruch, die unternehmensbezogenen Kontaktdaten und die Bewegungsdaten des vormaligen Beschäftigten „ewig“ weiter speichern? Verliert das Interesse des Arbeitgebers über den Verlauf der Zeit hinweg an Wert (s. dazu Fall 8)?

Solange ein Mitarbeiter noch im Unternehmen befindlich ist, für unternehmensinterne (Ursachen-) Befragungen noch zur Verfügung steht und das Beschäftigungsverhältnis noch eine taugliche „Behaltensgrundlage“ hinsichtlich der (Bewegungs-)Daten darstellt, wird man dem verantwortlichen Arbeitgeber wohl eine gewisse „Dispositionsbefugnis“ über die Bewegungsdaten im Rahmen der betrieblichen Notwendigkeiten zubilligen müssen. Was also aufzubewahren „erforderlich“ ist, kann der Arbeitgeber aufgrund der Strukturierung seiner betrieblichen Abläufe ein gutes Stück weit selbst bestimmen. Allerdings werden auch hier E-Mails wie „Komme heute erst um 13 Uhr zum Mittagessen, weil ich vorher zum Arzt muss“ vom Verantwortlichen nicht bis zum Ende des Beschäftigungsverhältnisses oder gar darüber hinaus aufbewahrt werden dürfen, weil der (vom Inhalt der E-Mail gekennzeichnete) Zweck noch am Tag des Verfassens der E-Mail entfällt (Art. 17 Abs. 1 lit. a) DSGVO). Dies ist die zwangsläufige Folge der vom Gesetzgeber (wohl) intendierten und von den Datenschutzaufsichtsbehörden stets wiederholten „Einzelfallbetrachtung“ jedes personenbezogenen Datums (s. zur Einzelfallbetrachtung auch Fall 26). In diese Richtung geht auch die oben erwähnte Entscheidung des Landesarbeitsgerichts Sachsen-Anhalt.

Scheidet der Mitarbeiter aus und hinterlässt jede Menge innerbetriebliche Kommunikation, so würde man wohl an gesetzliche Aufbewahrungspflichten, etwa aus dem Bereich des Steuer- oder Handelsrechts, denken. Aber ist es aus diesem Blickwinkel entscheidend, welcher Mitarbeiter z. B. einen Buchungssatz angelegt oder verändert hat, wenn dieser Mitarbeiter nicht mehr im Unternehmen tätig ist? Der Steuerpflichtige ist in aller Regel das Unternehmen, nicht ein individueller Mitarbeiter. Für die Finanzverwaltung oder den Jahresabschlussprüfer ist im Grunde nicht erheblich, welcher ausgeschiedene Mitarbeiter etwas getan oder veranlasst hat, sondern dass dies „vom Unternehmen“ getan oder veranlasst wurde. Wenn überhaupt, wird die Finanzverwaltung im Rahmen einer Betriebsprüfung das Unternehmen auffordern, bestimmte Umstände zu klären, und für das Unternehmen wird im Regelfall der „Rückgriff“ auf ausgeschiedene Mitarbeiter aus faktischen oder rechtlichen Gründen ausscheiden. Aus datenschutzrechtlicher Perspektive wird daher die Aufbewahrungspflicht kaum an die Identität ausgeschiedener Mitarbeiter anknüpfen. Es besteht also die „Gefahr“, dass auch insoweit anonymisierte Daten die steuer- und handelsrechtlichen Zwecke erfüllen. Es wäre interessant, die Reaktion eines Betriebsprüfers zu sehen, wenn auf einer Rechnung des Unternehmens der eigene Sachbearbeiter (der nicht zu den Pflichtangaben im Sinne von § 14 Abs. 4 UStG gehört) geschwärzt wäre mit dem Hinweis, dass dieser Sachbearbeiter das Unternehmen verlassen hat und dessen Daten zu löschen waren. Zur Abrundung sei hier aber auch noch einmal auf das Thema „satzungsmäßige Aufbewahrungspflichten“ (§ 35 Abs. 3 BDSG) hingewiesen (s. o.).

Würde man sowohl für unternehmensbezogene Kontaktdaten als auch für Bewegungsdaten von einer „nachlaufenden Interessenabwägung“ im Anschluss an das Beschäftigungsverhältnis und aufgrund der überragenden betrieblichen Interessen des Arbeitgebers von einer üppigen Dauer dieses Legitimationsgrundes ausgehen, so kommt doch auch die längste Frist irgendwann an ihr Ende (s. im Grundsatz schon Fall 8). Dabei ist auch zu berücksichtigen, dass bei einer Fortspeicherung zu Nachweiszwecken im Kontext möglicher (prozessualer) Auseinandersetzungen über Verantwortlichkeiten (Art. 17 Abs. 3 lit. e DSGVO) eine solche Auseinandersetzung konkret drohen muss – eine nur abstrakte Gefahr (Stichwort Verjährungsfristen) ist zu wenig (s. dazu Fall 14). Auch wenn die abstrakte Gefahr das „Interesse“ des Arbeitgebers nicht ausschließt, ist diese Wertung geeignet, ein solches „Interesse“ im Rahmen einer Interessenabwägung zeitlich zu beschränken. Selbst innerhalb der Verjährungsfristen von möglichen Regressansprüchen gegen einzelne Beschäftigte – für die der Arbeitgeber nachweisen muss, dass der Beschäftigte gegen Pflichten verstoßen hat, und daher möglicherweise protokollierte Bewegungsdaten benötigt – stellt sich die Frage, wann die Grundsätze der Arbeitnehmerhaftung überhaupt die Inanspruchnahme zulassen (in der Praxis wird dies nur bei Fällen nachweisbar vorsätzlichen Handelns erfolgsversprechend sein). So bleibt nur das Interesse des Arbeitgebers, in einem Streit mit Dritten den betreffenden Ex-Mitarbeiter als Zeugen benennen zu können, der dann als „Bürgerpflicht“ auch aussagen muss. Aber auch Ansprüche Dritter unterliegen der Verjährung und, wie gesagt, ob die Verjährungsfrist ein zwingendes Argument zur Rechtfertigung des Arbeitgeberinteresses sein kann, ist schon fraglich (s. dazu Fall 14).

Man kann aber gerade umgekehrt sogar sagen, dass dem Arbeitgeber eigentlich daran gelegen sein könnte, (überflüssige) Daten des Mitarbeiters möglichst frühzeitig zu löschen, um nicht „uferlose“ Auskünfte erteilen zu müssen (s. dazu Fall 4). Zudem kann der Mitarbeiter bei einer Interessenabwägung als Legitimationsgrund – wie im Fall 22 – der weiteren Verarbeitung widersprechen (Art. 21 DSGVO) und Löschung verlangen, was zumindest zunächst die Einschränkung der Verarbeitung zur Folge hätte (Art. 18 Abs. 1 (d) DSGVO). Dabei ist der Löschzeitpunkt nicht nur für den Verantwortlichen selbst von Belang, sondern muss – wie im Fall 22 – eine Mitteilung an andere Verantwortliche, mit denen (bzw. mit deren Mitarbeitern) der Betroffene kommuniziert hat, auslösen. Auch hier zeigt sich, dass eine Trennung der Löschzeitpunkte von unternehmensbezogenen Kontaktdaten und Bewegungsdaten nicht sinnvoll ist, denn ansonsten müssten zwei Mitteilungen versendet werden, je nach Datenkategorie. Und eine selektive Löschung ist weder beim Verantwortlichen noch beim Empfänger der Daten sinnvoll.

Der Beschäftigte des Kunden/Lieferante/Dienstleisters

Schließlich ist bei aller Fokussierung auf Bewegungsdaten der Beschäftigten zu bedenken, dass in vielen Fällen eine relevante, wenn nicht überwiegende Menge der vom Beschäftigten erzeugten Kommunikation mit externen Dritten stattfindet. Der oder die externen Kommunikationspartner sind dann ebenso „Betroffene“. Dann ist auch dessen bzw. deren mutmaßliche (Interessenabwägung) oder tatsächliche (in der Praxis selten) Einwilligung in eine längere Speicherung (als datenschutzrechtlich für die ursprünglichen Kommunikationszwecke erforderlich) zu prüfen. Zumindest müsste dem dritten Betroffenen die Speicherzeit im Rahmen von Pflichthinweisen kommuniziert werden – und wer tut das schon bei einem gewöhnlichen B2B-Mailverkehr? Die Angabe einer längeren Speicherzeit als nach dem Zweck der Kommunikation oder nach gesetzlichen Aufbewahrungspflichten des empfangenden Verantwortlichen erforderlich – man stelle sich die Angabe „Ihre E-Mail wird bei uns 15 Jahre lang archiviert“ in Pflichtinformationen für externe E-Mail-Kommunikationspartner vor – würde bei Adressaten oder bei den Aufsichtsbehörden vielleicht „schlafende Hunde wecken“. Insbesondere dann, wenn keine gesetzliche Aufbewahrungspflicht für die konkrete Kommunikation einschlägig wäre, würde damit – aus der Perspektive Dritter – wohl (weit) über das Ziel hinausgeschossen. Solange derartige Kommunikation zwischen Unternehmen (durch deren Exponenten) personenbezogen im Sinne des Datenschutzrechts ist (s. Fall 20), stellen sich solche Fragen.

Diese Fragen spielen bislang in kaum einem Unternehmen eine Rolle. Die meisten Unternehmen gehen vielmehr (unreflektiert) davon aus, dass ihnen die Bewegungsdaten ihrer Mitarbeiter und die B2B-Kommunikationsdaten mit Angehörigen anderer Unternehmen – auch, soweit sie jeweils unternehmensbezogene Kontaktdaten enthalten – „gehören“ und sie diese auch nie (!) löschen müssen. Vielleicht haben sie damit sogar Recht, wenn sich ein schlauer Jurist findet, der das begründen kann; und genügend schlaue Juristen können bekanntlich alles begründen. In jedem Fall muss auch hier das Vakuum eines „gedankenlosen“ Gesetzgebers irgendwie – und mit erheblichen Restrisiken andersdenkender Gerichte und Aufsichtsbehörden – gefüllt werden.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden