Abmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anrede

Löschpflichten im Fokus: Ein teures Beispiel aus Hamburg

/von

Im November dieses Jahres verhängte die Hamburger Datenschutzaufsicht ein in ihrer Geschichte historisches Bußgeld: 900.000 Euro muss ein Unternehmen zahlen, das personenbezogene Daten länger als erlaubt gespeichert hat. Zu diesem Ergebnis kam die Aufsicht im Rahmen einer branchenweiten Schwerpunktprüfung marktstarker Unternehmen des Forderungsmanagements. Hierzu setzte die Aufsicht Fragebögen ein und forderte umfangreiche Dokumente zu den datenschutzrelevanten Prozessen bei den Unternehmen an wie etwa das Verzeichnis der Verarbeitungstätigkeiten, die technischen und organisatorischen Maßnahmen und Musterschreiben für die Bearbeitung von Anfragen betroffener Personen. In einigen Fällen fanden im Anschluss an die Prüfung per Fragebogen auch Prüfungen in den Geschäftsräumen der Unternehmen statt.

Das Unternehmen, um das es in diesem Artikel geht und das bislang namentlich nicht bekannt wurde, hatte hunderttausende Datensätze mit personenbezogenen Daten deutlich über die gesetzliche Aufbewahrungsfrist hinaus gespeichert. Zwar handelte es sich bei den betroffenen Daten nicht um Daten, die den besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO zuzurechnen sind. Die besondere Sensibilität der Daten, die im Rahmen von Inkassoverfahren verarbeitet werden, dürfte dennoch auf der Hand liegen.

Aufgrund der hohen Sensibilität dieser personenbezogenen Daten und der großen Zahl betroffener Personen hat der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von 900.000 Euro verhängt, das vom Unternehmen akzeptiert wurde und mittlerweile rechtskräftig ist.

Die Höhe des Bußgelds dürfte sich an dem Risiko für die betroffenen Personen und großen Menge gespeicherter Daten orientiert haben. Gleichwohl wurde die „professionelle“ Zusammenarbeit des Unternehmens mit dem HmbBfDI bei der Bußgeldbemessung berücksichtigt. Es hätte folglich ein weitaus höheres Bußgeld ausgesprochen werden können. Hieran zeigt sich einmal mehr, dass die Zusammenarbeit mit der Datenschutzaufsicht nicht nur wegen Art. 31 DSGVO angeraten ist.

Probleme beim Löschen

Auch wenn derart umfangreiche Verstöße hoffentlich die Ausnahme bilden, so ist dennoch auch bei Verstößen im kleineren Maßstab eine Sanktionierung durch die Aufsichtsbehörden möglich. Umso wichtiger bleibt es, die Löschfristen im Verzeichnis der Verarbeitungstätigkeiten (siehe Art. 30 Abs. 1 DSGVO) klar zu benennen und anschließend konsequent umzusetzen, um so vermeidbare Bußgelder abzuwenden. Im Rahmen unserer Beratungstätigkeit behandeln wir dieses Thema ausgesprochen häufig mit unseren Mandantinnen und wissen auch um die praktischen Schwierigkeiten bei der Umsetzung.

Die Löschfrist muss bestimmt werden

Zum einen sind die gesetzlich vorgeschriebenen Aufbewahrungspflichten, die als Rechtsgrundlage für die Verarbeitung nach Art. 6 Abs. 1 lit. c DSGVO dienen, nicht leicht zu überblicken. Sie können sich beispielsweise aus dem Handelsrecht, dem Steuerrecht oder dem Arbeitsrecht ergeben. Daneben sind spezialgesetzliche Regelungen zu berücksichtigen.

Und als wäre die Prüfung der Anwendbarkeit einer bestimmten Aufbewahrungspflicht noch nicht kompliziert genug, kommen mitunter auch Änderungen an diesen Fristen hinzu, wie wir am Beispiel des Bürokratieentlastungsgesetzes hier beleuchtet haben.

Unter Umständen kann es auch nötig sein, personenbezogene Daten zu speichern, auch wenn keine explizite Aufbewahrungspflicht existiert. So haben Bewerber*innen beispielsweise nach § 15 des Allgemeinen Gleichbehandlungsgesetzes (AGG) die Möglichkeit, innerhalb von zwei Monaten Ansprüche wegen Benachteiligung geltend zu machen. Würde der Verantwortliche die Daten vor Ablauf der Frist löschen, würde ihn dies seiner Nachweismöglichkeiten in einem diesbezüglichen Gerichtsverfahren berauben. Hierbei ist entscheidend, dass das AGG, sofern Indizien vorliegen, dass eine Benachteiligung stattgefunden hat die Beweislast zu Lasten des Arbeitgebers umkehrt, dieser also beweisen muss, dass keine Benachteiligung vorlag. Insofern kann eine Speicherung der Daten bis zum Ablauf eventueller Forderungsfristen auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Das berechtigte Interesse besteht hierbei darin, eine gegebenenfalls vorgebrachte Benachteiligung widerlegen zu können.

Die Löschfrist muss dokumentiert werden

Sind die gesetzlichen Aufbewahrungspflichten identifiziert, so schreibt Art. 30 Abs. 1 DSGVO vor, dass die „vorgesehenen Fristen für die Löschung“ im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Dies ist zum einen zur Erfüllung der gesetzlichen Anforderung geboten, andererseits aber auch sinnvoll, um als Verantwortlicher einen Überblick der einzuhaltenden Löschfristen zu haben.

Zu beachten bleibt hierbei, dass die Löschfristen für jede Verarbeitung getrennt bestimmt werden müssen. Daraus resultiert auch, dass unter Umständen dieselben Daten für eine Verarbeitung noch genutzt werden dürfen, wohingegen sie im Rahmen einer anderen Verarbeitung zu löschen wären. Um diesen rechtlichen Rahmenbedingungen gerecht zu werden, ist die Trennung der Daten nach Verarbeitungen schon bei der technischen Gestaltung angeraten (Art. 25 DSGVO).

Anhand der im Verzeichnis der Verarbeitungstätigkeiten festgelegten Löschfristen sollte der Verantwortliche regelmäßig überprüfen, ob diese mit den gesetzlichen Anforderungen übereinstimmen oder sich Anpassungsbedarf ergibt (siehe Bürokratieentlastungsgesetz).

Es gibt nicht  nur gesetzliche Aufbewahrungsfristen

Neben den gesetzlichen Aufbewahrungsfristen können sich die Löschfristen auch anderweitig bestimmen. Beispielsweise, wenn personenbezogene Daten auf Basis eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet werden. In diesen Fällen existiert häufig keine gesetzliche Verpflichtung, die Daten aufzubewahren. Dennoch müssen auch diese irgendwann gelöscht werden. Hier richtet sich die Löschpflicht üblicherweise nach dem zu erreichenden berechtigten Interesse. Werden die Daten hierfür nicht mehr benötigt, sind sie zu löschen.

Ist die Rechtsgrundlage ein Vertrag, bei dem die betroffene Person Vertragspartei ist (Art. 6 Abs. 1 lit. b DSGVO), richtet sich die Löschfrist üblicherweise nach der Vertragsdauer. Hier kommt allerdings sehr häufig auch noch das Thema „Verjährungsfristen“ ins Spiel. Sind bestimmte Ansprüche verjährt, werden die zu Nachweiszwecken gespeicherten Daten unter Umständen nicht mehr benötigt – und müssen dann gelöscht werden.

Die Löschfrist muss umgesetzt werden

Außerdem kann die Umsetzung der zuvor bestimmten Löschfristen problematisch sein, da zwei in Teilen widerstreitende Anforderungen der DSGVO zu erfüllen sind. Grundsätzlich gilt das Verbot der Verarbeitung mit Erlaubnisvorbehalt aus Art. 6 DSGVO. Es muss also für jede Verarbeitung (und hierzu zählt bereits die reine Speicherung in einem Dateisystem) eine entsprechende Rechtsgrundlage existieren.

Gleichzeitig fordert Art. 5 Abs. 1 lit. f DSGVO den Schutz der personenbezogenen Daten vor „unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“, wobei in den meisten Unternehmen Backups einen Bestandteil zur Erfüllung dieser Vorschrift darstellen. Zur Erfüllung der Löschpflicht muss eigentlich auch aus den Backups gelöscht werden. Dies ist jedoch schwierig bis unmöglich, da die eingesetzten Systeme eine selektive Löschung üblicherweise nicht hergeben und es auch die Integrität der Backups gefährden würde. Diesem Thema haben wir vor einiger Zeit bereits einen eigenen Artikel gewidmet.

Fazit

Schlussendlich müssen wir feststellen, dass die Umsetzung der Löschfristen für Verantwortliche eine große Herausforderung ist. Auf die leichte Schulter darf die Anforderung dennoch nicht genommen werden, wie das Bußgeld des HmBfDI deutlich macht. Wir empfehlen, sich im Falle von Fragen zu Löschfristen und deren technischer sowie organisatorischer Umsetzung frühzeitig an Ihre*n Datenschutzbeauftragte*n zu wenden, um das Risiko für Verstöße und die damit verbundenen Bußgelder signifikant zu verringern.

Grundsätzlich müssen die im Verzeichnis für Verarbeitungstätigkeiten niedergeschriebenen Angaben auch im Unternehmen gelebt werden und deren Umsetzung sichergestellt sein. Für die diesbezügliche Überprüfung können (sollten!) Sie sich ebenfalls vertrauensvoll an Ihre*n Datenschutzbeauftragte*n wenden.

Das könnte Dich auch interessieren
berechtigungen zugriff führungskraft chefWelche Daten dürfen Führungskräfte und Kolleg*innen sehen?
Privacy by Design und Privacy by Default
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichAufgezwungene besondere Kategorien personbezogener Daten
KI-VOSerie zur KI-Verordnung: KI-Kompetenz und verbotene Praktiken
TOM technische organisatorische maßnahmen schufa scoringDer kleine TOM mal wieder – was ist besser? Technische oder organisatorische Maßnahmen?
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSchadenersatz für den Einsatz von Google Fonts auf der Webseite