Category Archives: Datenlöschung

Aufbewahrungsfrist zur Erfüllung der DSGVO-Nachweispflichten – Datenschutzbehörde: 3 Jahre

Posted on by

Die DSGVO etabliert bekanntlich eine (je nach Auslegung sehr umfassende) Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO. Daneben kennt die DSGVO auch noch weitere Nachweispflichten, z. B. in Art. 7 Abs. 1 DSGVO für die Einwilligung oder in Art. 12 Abs. 5 DSGVO für offenkundig unbegründete oder exzessive Anträge von Betroffenen. 

In der Praxis kommt oft die Frage auf, wie lange Verantwortliche denn eine entsprechende Dokumentation, dass man sich in bestimmten Situationen an die DSGVO gehalten hat, aufbewahren dürfen bzw. müssen. Ein Beispiel: der Verantwortliche erteilt eine Auskunft nach Art. 15 DSGVO. Nach 1,5 Jahren beschwert sich der Betroffene darüber, dass er keine Auskunft erhalten habe. Wenn der Verantwortliche nun die Auskunftserteilung schon gelöscht hat, wird es für ihn schwer, die ordentliche Erfüllung seiner rechtlichen Pflichten nachzuweisen. Gleichzeitig enthält diese Dokumentation, z. B. die versendete E-Mail und Dokumente, natürlich personenbezogene Daten. Man benötigt für eine Speicherung also eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Einen praxisrelevanten Fall zu diesem Themenkomplex hatte die Datenschutzbehörde aus Thüringen zu entscheiden und berichtet hierüber in ihrem Tätigkeitsbericht 2021, ab S. 167 (pdf).

Es ging dort um den Versand von E-Mails an eine Betroffene. Diese gab an, nie in den Erhalt der E-Mails eingewilligt zu haben. Gleichzeitig verlangt die Betroffene dann auch Auskunft nach Art. 15 DSGVO und die Löschung ihrer Daten von dem Verantwortlichen. Nachdem sie hierauf keine Antwort erhielt, beschwerte sie sich bei dem TLfDI. 

Nach Ansicht der Aufsichtsbehörde war das Unternehmen als Verantwortliche verpflichtet, den entsprechenden Nachweis darüber zu führen, dass eine Einwilligung vorlag (vgl. Art. 7 Abs. 1 DSGVO). Die DSGVO enthalte insoweit eine ausdrückliche Beweislastregel für das Vorliegen einer wirksamen Einwilligung. Den Verantwortlichen treffe nicht nur die Verantwortung für die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze für die Verarbeitung personenbezogener Daten, er müsse ihre Einhaltung auch nachweisen können. Diese Nachweispflicht könne er durch entsprechende Dokumentation oder ein Daten-Management-System erfüllen.

Vorliegend gelang dies dem Verantwortlichen jedoch. Dieser antwortete der Aufsichtsbehörde sogar, dass er alle Daten zu der Betroffenen aufgrund ihrer Anfrage gelöscht habe und daher keinen Nachweis mehr erbringen könne. 

Diese Ansicht teilte der TLfDI nicht. Die Nachweispflicht sei gerade nicht durch das Löschungsverlangen der Betroffenen entfallen. Denn gemäß Art. 17 Abs. 3 lit. b) DSGVO ist die Löschung personenbezogener Daten ausgeschlossen, soweit diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedsstaaten erfordert, dem der Verantwortliche unterliegt. 

Der TLfDI weiter: „Diese Sonderregelung entspricht der Rechtsgrundlage für die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung aus Art. 6 Abs. 1 Satz 1 Buchstabe c) DS-GVO. Zu diesen Rechtspflichten zählen insbesondere Speicher-, Dokumentations- und Aufbewahrungspflichten, zu denen auch die in Art. 5 Abs. 2 und Art. 7 Abs. 1 DS-GVO geregelten Nachweispflichten zählen“.

Wichtig: die Behörde geht also davon aus, dass Verantwortliche solche Daten (und diese enthaltene Dokumente) nicht löschen dürfen, die für die Erfüllung des Nachweises der Einhaltung der DSGVO erforderlich sind. Ganz ausdrücklich allgemein nach Art. 5 Abs. 2 DSGVO. Auch dann nicht, wenn die Betroffene dies verlangt. Diese Ansicht ist meines Erachtens richtig, jedoch in dieser Deutlichkeit bisher eher nicht von Behörden vertreten worden. 

Zuletzt ging es dann noch um die Frage, welche konkrete Aufbewahrungsfrist für den Nachweis der Einwilligung gelte. Denn die DSGVO sehe hierzu keine ausdrückliche Regelung vor.

Der TLfDI stellt hier auf eine Frist von drei Jahren ab, da nach Ablauf dieses Zeitraums ein Buß- geldverfahren in der Regel als verjährt anzusehen ist.“

Wichtig: die Behörde setzt hier also die Verjährungsfristen für Verstöße gegen die DSGVO an (vgl. § 31 Abs. 2 Nr. 1 OWiG). Meines Erachtens ist diese Argumentation und Ansicht der Behörde auch auf andere Nachweispflichten und durchaus auch allgemein auf Dokumentation (mit personenbezogenen Daten) übertragbar, die Verantwortliche vorhalten, um die Einhaltung der DSGVO nachweisen zu können. 

EuGH zu den Nachweispflichten bei der Löschung von Daten

Posted on by

In einem kürzlich ergangenen Urteil (Urt. v. 20.10.2022, C-77/21) befasste sich der EuGH mit der praxisrelevanten (wenn durchaus auch ungeliebten) Frage, welche Anforderungen bei der Löschung von Daten und insbesondere dem Nachweis der Erfüllung der Löschpflicht zu beachten sind.

Ausgangsverfahren

Ein ungarisches Unternehmen richtete nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, unter der Bezeichnung „test“ eine Testdatenbank ein. In diese kopierte das Unternehmen personenbezogene Daten von ungefähr einem Drittel der Kunden, die in einer anderen Datenbank gespeichert waren, die mit einer Website verlinkt werden konnte und die aktualisierten Daten der Newsletter-Abonnenten für Zwecke der Direktwerbung sowie die Zugangsdaten der Systemadministratoren zur Schnittstelle der Website enthielt. Die ungarische Datenschutzbehörde entschied, dass das Unternehmen gegen Art. 5 Abs. 1 lit. b und e DSGVO verstoßen habe, da es die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht sofort gelöscht habe. Hierdurch seien in der Testdatenbank eine große Menge Kundendaten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert worden seien, die die Identifizierung der betroffenen Personen ermöglicht habe.

Entscheidung des EuGH

In seinem Urteil befasst sich der EuGH ab Rz. 46 ff. mit dem Grundsatz der Speicherbegrenzung und damit auch der Frage der Lösch- und einer erforderlichen Nachweispflicht.

Zunächst stellt der EuGH (wie schon öfter in der Vergangenheit) klar, dass die Grundsätze des Art. 5 Abs. 1 DSGVO kumulativ einzuhalten sind. „Daher muss die Speicherung personenbezogener Daten nicht nur dem Grundsatz der „Zweckbindung“, sondern auch dem Grundsatz der „Speicherbegrenzung“ genügen“.

Bezogen auf den konkreten Fall bewertet der EuGH danach die Frage, ob Art. 5 Abs. 1 lit. e DSGVO dahin auszulegen ist, dass der in dieser Vorschrift vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Nachweis über Erforderlichkeit der Speicherung

Nach Ansicht des EuGH muss der Verantwortliche in der Lage sein, gemäß dem Grundsatz der Rechenschaftspflicht, „nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist“.

Praktisch dürfte dies für ein Löschkonzept bedeuten, dass für personenbezogene Daten die jeweilige festgelegte Aufbewahrungsdauer genau geprüft und gut begründbar sein muss. Im Grunde sieht der EuGH hier zwei Ziele der Nachweispflicht:

  • Dass die personenbezogenen Daten rein faktisch nur für den Zeitraum der Erforderlichkeit verarbeitet werden und danach nicht mehr (personenbeziehbar) vorhanden sind.
  • Dass die Erforderlichkeit der Verarbeitung zur Erreichung der definierten Zwecke dargelegt werden kann.

Der erste Aspekt ist aus meiner Sicht eher ein technisches bzw. organisatorisches Thema. Der zweite Aspekt betrifft eher die juristische Begründung der Verarbeitung.

Ein Datum kann mehreren Zwecken dienen – aber irgendwann ist Schluss

Der EuGH stellt im Hinblick auf die Erforderlichkeit zudem klar, dass es nicht zwingend nur einen Verarbeitungszweck geben muss, für den ein Datum verwendet wird. Vielmehr kann ein Datum im Laufe der Zeit mehreren Zwecken dienen. Jedoch ist die Verarbeitung eines Datums dann nicht mehr zulässig, wenn das Datum für die Erreichung der Zwecke nicht mehr erforderlich ist. In diesem Fall muss das Datum gelöscht werden, wenn diese Zwecke erreicht sind. Für den konkreten Fall geht der EuGH daher davon aus, dass der Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, „in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist“. Für die Praxis der Datenlöschung, etwa in Form eines Löschkonzepts, kommt dem Merkmal der „Erforderlichkeit“ und damit der Begründung, warum Daten noch verwendet werden müssen, entscheidende Bedeutung zu.