In der Praxis stellt sich für Verantwortliche oft die Frage, wie lange personenbezogene Daten aufbewahrt werden dürfen, wenn etwa eine Kundenbeziehung endet oder ein Mitarbeiter das Unternehmen verlässt. Im Zweifel orientiert man sich hierbei etwa an den Verjährungsfristen (z.B. § 195 BGB) für Ansprüche, die durch Betroffene noch geltend gemacht werden könnten. Solange eine Klage möglich bleibt, möchte man schließlich nicht Dokumente und Informationen vorzeitig löschen, die im Falle eines Rechtsstreits als Beweismittel zur Verteidigung dienen können.
Nach Art. 17 Abs. 3 e) DSGVO gilt die Löschpflicht nicht, soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Das OLG Karlsruhe (Urt. v. 15.01.25, Az. 14 U 150/23) hat in einem solchen Fall nun eine sehr strenge Ansicht zur Möglichkeit der weiteren Aufbewahrung von Daten und Dokumenten vertreten.
Sachverhalt
Im konkreten Fall stritten die Parteien um Ansprüche wegen einer vorübergehenden Deaktivierung des Accounts der Klägerin. Unbekannte Dritte verbreiteten unter unberechtigter Nutzung des Kontos der Klägerin kinderpornografische Darstellungen. Das Konto wurde von der Beklagten vorübergehend deaktiviert. Nach gewisser Zeit und Aufforderungen durch den Anwalt der Klägerin wurde das Konto reaktiviert. Die Information zur Sperrung des Kontos und die Löschung der Beiträge, die durch Dritte erstellt wurden, waren weiterhin im Datensatz der Beklagten vermerkt. Die Klägerin verlangte nun, die bei der Beklagten gespeicherte Daten der Klägerin dahingehend zu berichtigen, dass alle Lösch- und/oder Sperrvermerke, die Grund für die Kontodeaktivierung gewesen sind, aus dem Nutzerdatensatz gelöscht werden.
Entscheidung
Das OLG geht davon aus, dass ein Löschanspruch der Klägerin besteht.
Auf die Ausnahmeregelung zur Löschpflicht nach Art. 17 Abs. 3 e) DSGVO könne sich die Beklagte nicht berufen, wenn der zugrundeliegende Vorfall bereits Gegenstand einer gerichtlichen Auseinandersetzung ist und die Geltendmachung weitergehender Ansprüche zwar theoretisch möglich, aber gänzlich unwahrscheinlich ist.
Die vorhandenen Daten sind nach Ansicht des OLG für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig, Art. 17 Abs. 1 a) DSGVO. Zudem könne sich die Beklagte auch nicht darauf berufen,
„dass die fortgesetzte Verarbeitung der Daten in Form der Speicherung nunmehr für einen anderen Zweck notwendig sei, namentlich mit Blick auf Art. 17 Abs. 3 lit. e DSGVO“.
Das OLG geht diesbzgl. kurz auf den Zweck der Ausnahmeregelung und die dazu vertretenen Ansichten ein.
Die Vorschrift diene dazu, dass die Rechtsdurchsetzung, aber auch die Rechtsverteidigung nicht dadurch eingeschränkt wird, in dem die andere Seite durch Geltendmachung von Löschungsansprüchen eben gerade diese Rechtsdurchsetzung oder Rechtsverteidigung behindert. Der (Prozess-)Gegner soll nicht über Löschungsansprüche Beweismittel oder anspruchsbegründende Tatsachen vernichten können.
„Wie wahrscheinlich eine rechtliche Auseinandersetzung sein muss, um diesen Ausnahmetatbestand zu rechtfertigen, ist umstritten“.
Gerade dieser letzte Aspekt, wird in der Literatur und auch unter den Aufsichtsbehörden in verschiedener Weise diskutiert. Im Grunde geht es um die Frage: Wie sicher muss ich sein, dass ich verklagt werde, um deswegen noch personenbezogene Daten speichern zu dürfen?
Und das OLG vertritt hierzu eine, aus meiner Sicht durchaus diskutable, strenge Auffassung.
Zunächst geht das OLG davon aus, dass unabhängig von den Anforderungen, die insoweit im Einzelnen gestellt werden, Einigkeit darüber bestehe,
„dass die lediglich abstrakte Möglichkeit eventueller zukünftiger Klagen eine Berufung auf Art. 17 Abs. 3 lit. e DSGVO nicht rechtfertigen kann“.
Natürlich stellt sich dann die Frage, wann eine solche Möglichkeit nur „abstrakt“ besteht? Im vorliegenden Fall begründet das OLG grob in zwei Schritten, warum die Speicherung nicht mehr zur Verteidigung gegen Ansprüche erforderlich sei.
Erstens
Der Vorgang sei zwischenzeitlich in den anwaltlichen und den Gerichtsakten dokumentiert, da der Vorgang unter einer Mehrzahl an Aspekten Gegenstand des vorliegenden Rechtsstreits ist. Das OLG geht davon aus, dass die Position der Beklagten im laufenden Rechtsstreit nicht beeinträchtigt ist, wenn diese Informationen aus dem Datensatz der Klägerin gelöscht werden.
Das Gericht stellt also darauf ab, dass die ggfs. in Zukunft noch relevanten Daten bei anderen Stellen, Anwälte und Gerichte, vorhanden sind. Daher benötige die Verantwortliche sie nicht mehr.
Die Begründung lässt aus meiner Sicht außer Acht, dass die anderen Stellen eigene Verantwortliche nach der DSGVO sind und nicht festgestellt wird, unter welchen Voraussetzungen die Beklagte in Zukunft an diese Daten gelangen könnte. Wenn sie sie doch noch benötigt. Dürften etwa die Dritten diese Daten wieder zur Verfügung stellen? Unter welchen Voraussetzungen? Hierzu sagt das OLG nichts.
Zweitens
Da die Klägerin im vorliegenden Verfahren potentielle Ansprüche umfänglich verfolgt hat, liege die Befürchtung einer weiteren Klage wegen des zugrundeliegenden Vorfalls fern.
Dieser Ansicht mag man zustimmen, wenn die Klägerin wirklich alle potentiellen Ansprüche bereits geltend gemacht hat. So lag der Fall hier aber gerade nicht, was sogar das OLG zugesteht.
„Zwar könnte sie noch auf Schmerzensgeld oder materiellen Schadensersatz klagen, da sie entsprechende Ansprüche bislang nicht anhängig gemacht hat. Hierbei handelt es sich indes aus mehreren Gründen um ein gänzlich unwahrscheinliches Szenario.“
Das OLG sieht also die Möglichkeit, dass die Verantwortliche noch auf Schadenersatz in Anspruch genommen werden kann. Dann nimmt das Gericht jedoch eine Einschätzung vor, wie wahrscheinlich dies erscheint.
„Dagegen spricht, dass die Klägerin dies bislang gerade nicht getan hat.“
Als ich dieses Argument gelesen habe, musste ich schon kurz schmunzeln. Nur weil eine Person bisher eine Klage nicht eingereicht hat, bedeutet das meines Erachtens noch lange nicht, dass sie dies nicht doch in Zukunft unternimmt.
„Hinzu kommt, dass eine derartige Klage nach der höchstrichterlichen und obergerichtlichen Rechtsprechung in einer Konstellation wie der vorliegenden keinerlei Aussicht auf Erfolg hätte, was auch der Grund dafür sein dürfte, dass die von einem unter anderem auf Fallgestaltungen wie den vorliegenden spezialisierten Rechtsanwalt vertretene Klägerin bislang keine Schadensersatzansprüche geltend gemacht hat.“
Viele, die in der Praxis mit Klagen auf Basis der DSGVO befasst sind, dürften mir zustimmen, dass diese Klagen sehr oft gerade nicht nur geltend gemacht werden, wenn gute Erfolgsaussichten bestehen, Dazu müsste man nur einen Blick in die Rechtsprechung des letzten Jahres zu Art. 82 DSGVO werfen. Das Argument des OLG ist im Grunde: man soll davon ausgehen, dass nur dann geklagte wird, wenn gute Erfolgsaussichten bestehen. Meine persönliche Erfahrung im Datenschutzrecht hierzu, sieht tatsächlich anders aus.
Zudem lässt das OLG eine rein „theoretische Gefahr“ einer Klage nicht ausreichen.
„Eine derartige, theoretische Gefahr als ausreichend anzusehen und hierauf die Anwendung einer datenschutzrechtlichen Ausnahmeregelung zu stützen, wäre nach Auffassung des Senats mit den Wertungen der DSGVO nicht vereinbar“.
Folgt man dieser Ansicht, dürften Verantwortliche wohl nur Daten zur zukünftigen Verteidigung speichern, wenn man als Verantwortlicher schon einmal wegen genau dieses Streitgegenstands schon verklagt wurde oder zB der Betroffene die Klage ankündigt.
Wenn man aber bisher ohne Streitigkeiten mit Kunden oder Mitarbeitern gelebt hat, würde man hier benachteiligt und dürfte keine Daten speichern.
Fazit
Möchte man als Verantwortlicher Daten zur zukünftigen Verteidigung speichern, sollte man intern mindestens einige Argumente vorhalten, warum dies geschieht. Allein der Verweis auf eine mögliche Inanspruchnahme und die laufenden Verjährungsfristen würde, mit Ansicht des OLG, nicht ausreichen.