Aktuelles

Urteile, Vorfälle, Kommentierungen...
Zweck erreicht oder Löschung gefordert: Müssen Daten gelöscht werden?

Zweck erreicht oder Löschung gefordert: Müssen Daten gelöscht werden?

by 20. August 2018

Die neue DSGVO stellt die Unternehmen vor eine Vielzahl von Problemen. Eines davon ist besonders perfide, und hat erhebliche Auswirkungen:

Man stelle sich vor, der geplante Zweck der Datenverarbeitung ist erreicht, z.B. der Vertrag zwischen Veranstalter und Kongressteilnehmer ist erfüllt und abgewickelt.

Oder ein Betroffener fordert das Unternehmen auf, Daten zu löschen, d.h. er macht sein „Recht auf Vergessenwerden“ geltend gemäß Art. 17 DSGVO.

Für das datenverarbeitende Unternehmen stellt sich nun ein Problem: Er muss die Daten unverzüglich löschen. Ungeachtet etwaiger steuerrechtlicher Aufbewahrungspflichten kann es aber auch sein, dass ggf. Schadenersatzansprüche drohen oder geltend gemacht werden.

Ein Beispiel: Der Kongressteilnehmer Hans Müller verlangt nach dem Kongress die Löschung seiner Daten, darunter auch die Einwilligung in den Erhalt eines Newsletters und die Verwendung eines Fotos, auf dem er zu erkennen ist. Der Veranstalter löscht diese Daten und bestätigt dem Herrn Müller die Löschung.

Nach ein paar Monaten erhält der Veranstalter eine Abmahnung, in der ein Herr Hans Müller Unterlassungs- und Schadenersatzansprüche geltend macht: Er habe eine Werbemail erhalten und sei auf Fotos abgebildet, die der Veranstalter veröffentlicht habe. Er habe nie eine Einwilligung erteilt.

Der Veranstalter sitzt nun in einer blöden Situation: Wenn er – so wie er es beauskunftet hat – tatsächlich alles gelöscht hat, dann kann er nicht (mehr) beweisen, dass Herr Müller zuvor Kongressteilnehmer war und die Einwilligungen erteilt hatte:

Sie sind ja gelöscht worden…

Was sagt die DSGVO dazu?

Auf den ersten Blick könnte hier Art. 17 Absatz 3 Buchstabe e DSGVO helfen:

„Die Verpflichtung zur Löschung gilt nicht, soweit die Verarbeitung erforderlich ist … zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“

In der juristischen Kommentarliteratur hängt man das Problem an dem Wort „erforderlich“ auf: Das Behaltendürfen der Daten trotz Löschungsverlangen ist jedenfalls dann erforderlich, wenn bereits ein Rechtsstreit läuft oder er unmittelbar bevorsteht.

Aber:

Begründet schon die Wahrscheinlichkeit, dass möglicherweise irgendwann später ein Streit entstehen könnte, die „Erforderlichkeit“?

Es wäre im Ergebnis absurd, wenn man hier den Wortlaut sehr streng auslegen würde, und nur ein laufender bzw. bevorstehender Rechtsstreit zur Aufbewahrung trotz Löschungsverlangen berechtigen würde. Denn andernfalls könnte man die Löschung verlangen und irgendwann später eine Rechtsverletzung behaupten (siehe im Beispiel oben). Würde der Veranstalter die Daten „heimlich“ aufbewahren genau für solch einen Fall, dann würde er sich immensen Geldbußen und Schadenersatzansprüchen ausgesetzt sehen.

Der berechtigte Schutzanspruch des Betroffenen darf also nicht zu einer Waffe gegen einen dann wehrlosen Ex-Datenverarbeiter führen.

„Logisch“ kann insoweit nur sein, dass letztlich auch eine (über Null liegende) Wahrscheinlichkeit einer späteren Rechtsdurchsetzung die Aufbewahrung rechtfertigen können muss. Diese Prüfung der Wahrscheinlichkeit sollte unbedingt dokumentiert werden, außerdem ist der Betroffene hiervon zu informieren. Schließlich sollte der Datenverarbeiter diese Daten dem Zugriff „normaler“ Mitarbeiter entziehen, bspw. also so speichern/ablegen, dass nur noch die Geschäftsleitung Zugriff darauf hat, eben bspw. im Falle der Geltendmachung eines Anspruchs.

www.eventfaq.de/onlineberatung-veranstaltungsrecht

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Radiergummi löscht Daten: © freshidea - Fotolia.com