Wir beleuchten das Recht auf Vergessenwerden aus Art. 17 DS-GVO.
Löschung personenbezogener Daten
Einführung
Seit 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DS-GVO). Seitdem müssen Unternehmen alle Maßnahmen getroffen haben, die zur Umsetzung der Datenschutzgrundverordnung erforderlich sind. Hierzu zählt insbesondere die Erstellung eines Konzepts zur Löschung personenbezogener Daten. „Löschen“ bedeutet die Unkenntlichmachung gespeicherter personenbezogener Daten. In Art. 17 der DS-GVO verankert ist zudem das sog. Recht auf Löschung („Recht auf Vergessenwerden“), welches als eines der Hauptmotive für die Entstehung der DS-GVO gilt. In Ergänzung zur DS-GVO hat der nationale Gesetzgeber mit § 35 des neuen Bundesdatenschutzgesetzes (BDSG) Gebrauch von der in der DS-GVO vorgesehenen Öffnungsklausel gemacht. Allerdings gehen die Tatbestände des Art. 17 DS-GVO über die des § 35 BDSG hinaus. Unternehmen müssen nun also abhängig vom Ort der Verarbeitung prüfen, wann welche Daten einer Löschung bedürfen. Seit Mai können für die Nichteinhaltung dieser Pflicht Bußgelder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro angeordnet werden. Parallel können Betroffene nach Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter haben. Die Umsetzung des Art. 17 DS-GVO ist damit auch vor dem Hintergrund der drohenden Konsequenzen im Falle der Nichtbeachtung unumgänglich.
Art. 17 Abs. 1 DS-GVO
Nach Art. 17 Abs. 1 DS-GVO hat die betroffene Person ein Recht auf Löschung ihrer personenbezogenen Daten, wenn eine der Voraussetzungen des Art. 17 Abs. 1 DS-GVO vorliegt. Dabei gilt das Recht auf Löschung als Kernrecht eines umfassenden Rechts auf Vergessenwerden (Abs. 2). Eine Löschung kann verlangt werden, wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a). Ein Löschungsbegehren ist darüber hinaus auch dann begründet, wenn die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1 lit. b). Legt die betroffene Person Widerspruch gegen die Verarbeitung ein, so liegt auch dann ein begründetes Löschungsbegehren nach Art. 17 Abs. 1 lit. c DS-GVO vor, sofern keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen. Art. 17 Abs. 1 lit. a-c DS-GVO umfasst damit also Fälle, in denen eine ursprünglich rechtmäßige Datenverarbeitung rechtswidrig geworden ist.
Nach Art. 17 Abs. 1 lit. d DS-GVO ist eine unverzügliche Löschung vorzunehmen, wenn eine unrechtmäßige Verarbeitung der Daten erfolgt ist. Der Tatbestand der Unrechtmäßigkeit ist zu bejahen, wenn kein Rechtmäßigkeitsgrund iSv. Art. 6 bzw. Art. 9 DS-GVO vorliegt oder wenn die Datenverarbeitung aus anderen Gründen gegen die DS-GVO verstößt (Erwägungsgrund 65). Art. 17 Abs. 1 lit. d DS-GVO ist u.a. dann einschlägig, wenn die Verarbeitung den Grundsätzen von Treu und Glauben widerspricht.
Art. 17 Abs. 1 lit. f DS-GVO stellt eine Schutzregel zugunsten Minderjähriger dar. Demnach besteht ein Löschungsrecht, wenn die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben wurden. Art. 8 DS-GVO verweist dabei auf die Bedingungen für die Einwilligung eines Kindes iSd. Art. 6 Abs. 1 lit. a zur Datenverarbeitung im Zusammenhang mit Diensten der Informationsgesellschaft iSv. Art. 4 Nr. 25 DS-GVO.
Die Öffnungsklausel nach Art. 17 Abs. 1 lit. e DS-GVO
Auffällig ist die Öffnungsklausel nach Art. 17 Abs. 1 lit. e DS-GVO. Danach kann eine Löschung personenbezogener Daten aufgrund rechtlicher Verpflichtungen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich sein. Öffnungsklauseln zeichnen sich dadurch aus, dass sie zwar einen entsprechenden Rahmen vorgeben, die konkrete Umsetzung wird aber weiterhin den Mitgliedsstaaten überlassen.
Die Löschpflichten des Art. 17 DS-GVO wurden durch den deutschen Gesetzgeber durch § 35 Abs. 1 und Abs. 3 BDSG modifiziert. Hiernach entfällt die Pflicht zur Löschung auch dann, wenn satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.
35 BDSG (neu)
Das Recht auf Löschung ist ab dem 25. Mai 2018 auf nationaler Ebene im Bundesdatenschutzgesetz in § 35 BDSG (neu) geregelt. Demnach besteht ein solches Recht lediglich dann nicht, wenn die Art der Speicherung nur mit unverhältnismäßigem Aufwand möglich ist und wenn das Interesse der betroffenen Person an der Löschung als gering anzusehen ist. Der Betroffene bleibt dann jedoch nicht rechtlos, sondern es kommt zu einer Sperrung der betroffenen Daten nach Art. 18 DS-GVO. § 35 Abs. 1 BDSG nimmt direkten Bezug auf die Ausnahmetatbestände des Art. 17 Abs. 3 DS-GVO. Eine Einschränkung der Verarbeitung soll vorliegen, wenn personenbezogene Daten in der Weise markiert sind, dass ihre künftige Verarbeitung eingeschränkt ist.
Eine besondere Herausforderung in der Praxis ist der richtige Umgang mit unstrukturierten Datensätzen wie E-Mail-Postfächern. Aufgrund der großen Datenmenge erfordert die Prüfung der Löschverpflichtung einen hohen personellen Aufwand. Jedoch müssen Unternehmen die Verfügbarkeit personenbezogener Daten gewährleisten können: Nach Art. 32 Abs. 1 lit. b DS-GVO muss die Herstellung eines Zugangs zu diesen Daten bei einem physischen oder technischen Zwischenfall jederzeit möglich sein. Hieraus resultiert eine gesetzliche Verpflichtung zur Erstellung von Backups. Eine Bewältigung des Problems ist nur durch eine umfassende und präzise Festlegung der Zwecke der Datenverarbeitungen möglich.
Auch im Rahmen des Umgangs mit E-Mails sind die Aufbewahrungspflichten zu beachten. E-Mails können unter anderem der Vorbereitung und Durchführung von Handelsgeschäften dienen und damit als Handelsbriefe zu qualifizieren sein. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Ein bestimmtes Aufbewahrungsformat wird handelsrechtlich jedoch nicht vorgeschrieben.
Ausnahmen nach Art. 17 Abs. 3 DS-GVO
Von besonderer Relevanz sind gerade auch für Unternehmen die in Art. 17 Abs. 3 DS-GVO normierten Ausnahmen von Löschpflichten.
Nach Art. 17 Abs. 3 lit. a DS-GVO hat die betroffene Person keinen Anspruch auf Löschung, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Diese Norm weist somit auf eines der Hauptspannungsfelder im Bereich der Löschungsansprüche hin. Im Rahmen der bei Art. 17 Abs. 3 lit. a DS-GVO vorzunehmenden Abwägung ist das Verhältnis von Datenschutz und Meinungsfreiheit von Relevanz.
Weitere Ausnahmetatbestände sind in Art. 17 Abs. 3 lit. b bis e DS-GVO normiert. Nachfolgend liegt der Schwerpunkt auf Art. 17 Abs. 3 lit. b und Art. 17 Abs. 3 lit. e DS-GVO.
Art. 17 Abs. 3 lit. b DS-GVO
Eine weitere Ausnahme nach Art. 17 Abs. 3 lit. b DS-GVO stellt eine erforderliche Datenverarbeitung zur Erfüllung rechtlicher Pflichten nach dem Recht der Union oder der Mitgliedstaaten, zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder einer dem Verantwortlichen übertragenen Ausübung öffentlicher Gewalt dar. Art. 17 Abs. 3 lit. b DS-GVO enthält damit eine weitere Öffnungsmöglichkeit zu Gunsten der nationalen Gesetzgeber, einen Anspruch auf Löschung im jeweiligen Fall auszuschließen.
Es bestehen diverse Aufbewahrungspflichten nach deutschem Recht. Beispielsweise regelt § 147 AO eine Aufbewahrungspflicht für steuerlich bedeutsame Unterlagen. Zu den wichtigsten aufbewahrungspflichtigen Unterlagen zählen somit Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, wie auch empfangene Handels- und Geschäftsbriefe, Buchungsbelege und sonstige Unterlagen, soweit sie für die Besteuerung von Relevanz sind. Unter die sonstigen Unterlagen aus § 147 Abs. 1 Nr. 5 AO fallen beispielsweise Prüfungsberichte, Preislisten und Handelsregister- und Grundbuchauszüge. Gemäß § 147 Abs. 1 Nr. 5 und Abs. 3 AO beträgt die Aufbewahrungsfrist sechs Jahre für alle für den Lohnsteuerabzug bedeutsamen Unterlagen. Nach § 140 AO wird die steuerrechtliche Aufbewahrungspflicht auch durch „andere Gesetze“ begründet. § 257 Abs. 1 HGB verweist beispielsweise auf die Unterlagen, die zwingend von jedem Kaufmann aufbewahrt werden müssen. Im Rahmen des HGB sind die Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte als auch die empfangenen Handelsbriefe und Buchungsbelege als wichtigste aufbewahrungspflichtige Unterlagen zu nennen.
Art. 17 Abs. 3 lit. e DS-GVO
Ist die Verarbeitung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, so besteht gem. Art. 17 Abs. 3 lit. e DS-GVO ebenfalls kein Löschungsanspruch. Durch diese Vorschrift soll verhindert werden, dass die betroffene Person ihre Daten mit dem Ziel löscht, eine Rechtverfolgung von Dritten zu erschweren.
Restliche Ausnahmetatbestände
Nach Art. 17 Abs. 3 lit. c DS-GVO liegt eine Ausnahme dann vor, wenn eine Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach dem Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 erfolgt.
Gemäß Art. 17 Abs. 3 lit. d DS-GVO ist der Ausnahmetatbestand auch dann erfüllt, sofern eine Verarbeitung erforderlich ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1. DS-GVO.
Logfiles
Grundsätzlich besteht aufgrund der mit der DS-GVO verstärkten Rechenschaftspflichten wie auch aufgrund allgemeiner Vorgaben aus der IT-Sicherheit eine Pflicht zur Dokumentation. Bei Logfiles (oder Protokolldatei) handelt es sich um Daten, die für einen bestimmten Zeitraum sämtliche Vorgänge in einem IT-System protokollieren, also Ereignisprotokolle in Textformat. Logdateien listen die durchgeführten Aktivitäten auf, wobei teilweise ein direkter Personenbezug besteht. Eine Erstellung von Logfiles erfolgt überall dort, wo eine Dokumentation von Vorgängen erforderlich oder gewünscht ist. Der große Vorteil von Logfiles besteht darin, dass beispielsweise im Falle einer fehlerhaften oder korrupten Datenübertragung die Ursache eines Fehlers herausgefunden und exakt bestimmt werden kann. Sind die Systeme beispielsweise von einem Virus infiziert, so kann die Analyse von Logfiles der rascheren Isolation befallener Sektoren dienen.
Löschungskonzept und Aufbewahrungsfristen
Gepaart mit den erweiterten Rechenschaftspflichten aus der DS-GVO ist es von nun an unabdingbar, ein unternehmensspezifisches Löschkonzept festzulegen. Unter einem Löschkonzept versteht man dabei eine Festlegung, anhand derer eine verantwortliche Stelle sicherstellt, dass ihre personenbezogenen Datenbestände rechtskonform gelöscht werden. Im Rahmen dieses Konzepts wird eine Festlegung von konkreten Speicher- bzw. Löschfristen vorgenommen. Resultierend aus dem Prinzip der Zweckgebundenheit sowie dem Gebot zur Datenminimierung folgt für verantwortliche Stellen die Pflicht, ohne Rechtfertigung vorgehaltene Daten aus ihren Systemen zu löschen. Grundsätzlich dient das Löschkonzept als Anleitung und Nachweis, wie und auf welche Weise innerhalb des Unternehmens datenschutzrechtliche Pflichten zur Löschung von personenbezogenen Daten rechtskonform erfüllt werden. Anknüpfend an die in der DS-GVO vorgesehenen Dokumentations- und Rechenschaftspflichten sollten vorgenommene Löschungen – freilich ohne Personenbezug – dokumentiert werden.
Im Rahmen der Anwendung des Löschkonzepts ist zwingend darauf zu achten, dass hierdurch keine für das Unternehmen relevanten Aufbewahrungspflichten verletzt werden. Die danach zu löschenden Daten werden vor der Löschung aus dem aktiven System an einem sicheren Ort außerhalb des aktiven Systems archiviert. Es wird sichergestellt, dass auf dieses Archiv nur die Geschäftsführung Zugriff hat, sofern diese ein berechtigtes Interesse an der Einsichtnahme hat.