Wie lange muss ich die Löschung von Daten von Betroffenen nachweisen können?

Datenschutz

Einige Unternehmen (und auch öffentliche Stellen) haben schon Bekanntschaft mit Art. 17 Abs. 1 DSGVO gemacht. In der Norm geht es um den Anspruch auf Löschung von personenbezogenen Daten, der von Betroffenen geltend gemacht werden kann.
In diesem Beitrag geht es nicht um den Anspruch auf Auskunft des Betroffenen zu den zu seiner Person verarbeiteten Daten, sondern eben um deren Löschung.
Ferner geht es auch in diesem Beitrag nicht darum, ob nun gelöscht werden muss und auch nicht wie die Löschung nachgewiesen werden muss.

Sondern allein um diese Frage: Wie lange muss ich nachweisen können, dass ich Daten gelöscht habe?

Die Beantwortung der Frage ist sicher nicht ganz einfach. Und wenn wir zwei Datenschutzrechtler zu der Frage befragen würden, dann würden wir sicher drei verschiedene Meinungen hören.

Genauso trefflich lässt sich schon darüber streiten, wie und in welchem Umfang ich die Löschung von Daten nachweisen können muss. Reicht dazu ein Vermerk, dass ich an Datum XYZ den Datensatz mit der Nr. 1234x gelöscht habe oder muss ich etwa protokollieren, dass ich die Daten „Max Müller, Musterstraße 123, 12345 Musterstadt, E-Mail-Adresse: mueller@mueller.geocities.com, Geburtsdatum: 10.01.1955, Lebensmittelunverträglichkeit: Erdbeerallergie“ am 12.11.2018 gelöscht habe?

Sollte – was durchaus vertreten wird – Letzteres richtig sein, dann „gestalten“ wir uns das sog. Protokollierungsdilemma. Dann sind in den Protokolldaten (Sekundärdaten) nämlich auf einmal mehr Daten als in den Primärdaten. Aus Sicht der Datenminimierung sicher keine gute Idee!

Aber darum geht es in diesem Beitrag ja – wie gesagt – nicht. Vielmehr geht es darum, wie lange ich nun die Löschung nachweisen können muss. Sind es 6 Monate oder ein Jahr, vielleicht 5 Jahre oder 10 Jahre oder gar bis der Betroffene verstorben ist?
Problematisch ist in dem Kontext, dass zu diesem Thema gerne vorgebracht wird, dass aufgrund der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO quasi für ewig die Information über die Löschung vorgehalten werden muss.

Nun…ich sehe das nicht so. Mag sein, dass ich da zu sehr die Anwaltsbrille aufhabe. Aber ich sehe das nun einmal für die Mandanten gerne strategisch – aus einer Sicht des Risikos. Konkret: Wie kann das Risiko, dass einem Mandanten hier wegen eines nicht mehr vorhandenen Löschnachweises Sanktionen drohen, minimiert werden?
Zur Beantwortung dieser Frage müssen wir uns einfach nur einmal anschauen, wie so ein Fall in der Praxis ablaufen würde. Das könnte wie folgt aussehen:

  1. Betroffener verlangt Löschung von Daten am 10.11.2015.
  2. Mandant löscht die „Primärdaten“ am 12.11.2015 und dokumentiert dies in einem Löschprotokoll/-vermerk.
  3. Betroffener verlangt am 14.11.2018 Auskunft bei Mandanten zu seinen Daten? Mandant teilt mit, dass keine Daten zur Person gespeichert wären (mit Ausnahme derer aus diesem Auskunftsersuchen).
  4. Betroffener beschwert sich bei der Aufsichtsbehörde.
  5. Aufsichtsbehörde wendet sich an Mandanten und verlangt Auskunft bzw. Nachweis der Löschung.
  6. Mandant teilt der Aufsichtsbehörde mit, dass keine Nachweise mehr vorhanden sind.

Und dann die Frage: Kann die Aufsichtsbehörde nun ggf. ein Bußgeld verlangen, weil ein Verstoß gegen die DSGVO vorliegt?

Antwort: Das wird sie wohl kaum können. Natürlich könnte man sich auf den Standpunkt stellen, dass die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, also die Pflicht die Einhaltung der Vorschriften zum Datenschutz nachweisen zu können, „ewig“ gelte. Das würde jedoch nicht nur den Schutz personenbezogener Daten ad absurdum führen (s.o. „Protokollierungsdilemma“), sondern auch die ebenfalls zu berücksichtigenden Grundrechte der Unternehmen wie z.B. das Recht auf unternehmerische Freiheit des Art. 16 der Grundrechte-Charta der EU (GRCh) unverhältnismäßig einschränken.

Als Anwalt würde ich bei der Umsetzung von Betroffenenrechten wie z.B. der Auskunft und Löschung von Daten, immer vor allem dem Fokus darauf setzen, wie lange hier im Falle einer etwaigen Rechtsverletzung ein Bußgeld denkbar wäre. Und zur Beantwortung der Frage müssen wir einen kleinen Blick auf das Ordnungswidrigkeitenrecht werfen.

Nach § 41 BDSG gelten für Bußgelder, die nach Art. 83 DSGVO verhängt werden (sollen), die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Das bedeutet aber auch, dass die Verjährungsvorschriften des OWiG Anwendung finden.

Entscheidend für die Verteidigung von Mandanten in Bußgeldangelegenheiten gegenüber Aufsichtsbehörden ist dann der § 31 OWiG. Denn dort ist die sog. „Verfolgungsverjährung“ geregelt. Und aus § 31 Abs. 2 Nr. 1 OWiG ergibt sich, dass ein Bußgeld wegen eines Verstoßes gegen die DSGVO (oder das BDSG) in drei Jahren verjährt ist. Im Gegensatz zum Zivilrecht beginnt die Verjährungsfrist aber nicht zum Ende des Jahres, sondern ab Begehung der Tat.
Der Tag der Begehung (also z.B. eine fehlerhafte Auskunftserteilung, eine rechtswidrige Datenverarbeitung etc.) zählt dabei als erster Tag der Verjährungsfrist mit.

Im o.g. Beispiel wäre also die „Tat“ der Datenlöschung (und deren Nachweis) am 12.11.2015 begangen worden. Und dabei ist aus anwaltlicher Sicht erst einmal völlig egal, ob es überhaupt eine Rechtsverletzung gab oder nicht. Denn spätestens mit Ablauf des 11.11.2018 wäre die „Tat“ wegen einer dann eingetretenen Verfolgungsverjährung nicht weiter zu ahnden gewesen. Das heißt, eine Aufsichtsbehörde könnte kein Bußgeld mehr verhängen. Es wäre Verjährung eingetreten.

Fazit: Daher empfehle ich Mandanten, den Nachweis der Löschung von Daten für drei Jahre aufzubewahren. Eine Verfolgung einer etwaigen Ordnungswidrigkeit im Hinblick auf eine Verletzung von Betroffenenrechten wäre dann verjährt.

Mit Eintritt dieser Verfolgungsverjährung wäre dann aber auch seitens des Unternehmens zu prüfen, ob ein weiteres Erfordernis für die Speicherung des Nachweises besteht. Das tut es jedoch in der Regel nicht. Insbesondere auch dann nicht, wenn sich aus den Sekundärdaten des Löschungsnachweises wiederum personenbezogene Daten des Betroffenen entnehmen lassen.

Aber Achtung: Wenn die Aufsichtsbehörde während der Verjährungszeit gegen das Unternehmen tätig geworden ist, kann eine Unterbrechung der Verjährung eingetreten sein. Im Zweifelsfall sollte hier dann besser bzgl. der Dauer der Aufbewahrung von Nachweisen mit einem Rechtsanwalt Rücksprache gehalten werden.

Und kleiner Tipp für Anwälte: Wenn in einem Fall klar Verfolgungsverjährung vorlag, bevor die Aufsichtsbehörde ein Bußgeld verhängt hat, dann sind die Kosten und notwendigen Auslagen des Betroffenen der Staatskasse aufzuerlegen (OLG Celle, NJW 1988, 1225). Der Mandant darf sich dann etwas freuen.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.