Beiträge

Löschpflichten in der Datenschutzgrundverordnung

Löschpflichten in der Datenschutzgrundverordnung

Von Timo Schutt 19. Juli 2019

Löschpflichten in der Datenschutzgrundverordnung

Seit Wirksamkeit der DSGVO bekommt der Grundsatz der Datenminimierung und der Speicherbegrenzung eine ganz neue Dimension.

Denn die Nichtlöschung von Daten, die nicht mehr verarbeitet werden dürfen, wird mit einem Bußgeld belegt, das im Einzelfall empfindlich hoch werden kann. Nach Art. 83 Absatz 5 DSGVO reden wir hier von Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Ein Blick auf die grundsätzlich geltenden Fristen zu Löschung von Daten lohnt sich also. Grundsätzlich kann gesagt werden, dass Sie Daten immer dann löschen müssen, wenn Sie nicht mehr berechtigt sind diese zu verarbeiten. Also hängt die Frage der Löschung entscheidend davon ab, auf welcher Legitimationsgrundlage die Daten überhaupt verarbeitet werden durften.

Daher stelle ich Ihnen die Grundlagen der Löschpflichten vor:

1. Einwilligung

Basiert Ihre Datenverarbeitung auf einer Einwilligung, dann gibt es zwei mögliche Löschszenarien:

a. Sie müssen die Daten dann löschen, wenn die betroffene Person die Einwilligung zur Datenverarbeitung widerruft UND Sie nicht anderweitig begründen können, weshalb Sie zur weiteren Datenverarbeitung berechtigt sind (bspw. in den Fällen, in denen Sie die Datenverarbeitung auch auf anderen Legitimationsgründe stützen können.

b. Sie müssen die Daten dann löschen, wenn der Zweck, der Datenverarbeitung, den Sie in der Einwilligungserklärung festlegen müssen weggefallen ist, also sich der Zweck erledigt hat (Zweckbindungsgrundsatz). Wenn Sie also beispielsweise in den Teilnahmebedingungen zu einem Gewinnspiel zum Zwecke der Abwicklung des Gewinnspiels eine Einwilligung einholen, dann ist der Zweck weggefallen, wenn das Gewinnspiel endgültig beendet ist.

2. Vertragserfüllung

Basiert Ihre Datenverarbeitung auf der Erfüllung einer vertraglichen Verpflichtung, dann müssen Sie die Daten dann löschen, wenn der Vertrag erfüllt und endgültig abgeschlossen ist.

Nach herrschender und auch unserer Meinung gilt diese Löschpflicht allerdings erst dann, wenn auch mögliche Ansprüche aus dem Vertrag im Nachgang verjährt sind. Das wäre grundsätzlich nach der Regelverjährungsfrist dann der Fall, wenn – beginnend zum Ende des Jahres, in dem der Vertrag erfüllt wurde – drei Jahre vergangen sind. Beispiel: Ist der Vertrag im Jahre 2018 erfüllt worden, so verjähren Ansprüche daraus im Grundsatz am 31.12.2021. Ab dem 01.01.2022 müssen also die personenbezogenen Daten aus diesem Vertrag gelöscht werden.

Ausnahme auch hier: haben Sie noch eine wirksame, nicht widerrufene Einwilligung, die sich nicht nur auf die Vertragserfüllung bezieht, dürfen Sie die Daten aufgrund der Einwilligung weiter verarbeiten (aber nur noch zu den sich aus der Einwilligung ergebenden Zwecken).

3. Datenverarbeitung wegen gesetzlicher Verpflichtung

Basiert die Datenverarbeitung auf einer gesetzlichen Pflicht, dann müssen die Daten gelöscht werden, wenn die gesetzliche Pflicht nicht mehr besteht oder, wenn der Zweck für den die Datenverarbeitung vorgenommen wurde, weggefallen bzw. erledigt ist (Zweckbindungsgrundsatz).

4. Berechtigtes Interesse

Wenn Sie Daten verarbeiten aufgrund eines berechtigten Interesses (hier bitte nicht vergessen, dass Sie vorab eine schriftliche Abwägung der Interessen vornehmen und berechtigterweise zu dem Ergebnis kommen müssen, dass die Interessen der betroffenen Person(en) zumindest nicht überwiegen), dann müssen Sie die Daten löschen, sobald das berechtigte Interesse nicht mehr besteht (beispielsweise auch, wenn der Zweck für die Verarbeitung erledigt oder weggefallen ist bzw., nicht mehr besteht), die Abwägung zu einem anderen Ergebnis kommt (beispielsweise, weil sich die Umstände geändert haben) oder die betroffene Person wirksam Widerspruch eingelegt hat (dann ist bitte, wie bei der Einwilligung auch, unverzüglich zu löschen).

5. Aufbewahrungspflichten als wichtige Ausnahme

Neben den Löschpflichten gibt es aus anderen Gesetzen Aufbewahrungspflichten. Solche gesetzlichen Aufbewahrungspflichten gehen den Löschpflichten vor. Daher dürfen Daten dann nicht gelöscht werden, wenn für diese gleichzeitig eine Aufbewahrungspflicht besteht.

Solche gesetzlichen Aufbewahrungspflichten haben Sie vorwiegend aus steuerlichen und buchhalterischen Gründen. Diese verpflichten Sie als Nachweis für Ihre ordnungsgemäße Buchführung bestimmte Daten, zu denen auch personenbezogene Daten gehören können, über einen Zeitraum von sechs (6) bis zu zehn (10) Jahren aufzubewahren. Auch die Aufbewahrungsfristen beginnen jeweils mit Schluss des betreffenden Jahres, also am 31.12.

Denken Sie in diesen Fällen aber bitte daran, dass eigentlich löschungspflichtige Daten dann nur noch zum Zwecke der Archivierung/Aufbewahrung und nicht mehr zu anderen Zwecken verarbeitet (gespeichert) werden dürfen (Zweckbindungsgrundsatz).

6. Was bedeutet Löschung im Rechtssinne?

Beachten Sie bitte, dass Löschung hier meint, dass die Daten nicht wiederhergestellt werden können. Eine tatsächliche Löschung liegt also dann noch nicht vor, wenn Daten in den „virtuellen Papierkorb“ gelegt wurden oder aber lediglich zum Überschreiben markiert sind, aber noch nicht (ausreichend oft) überschrieben wurden. Es empfehlen sich daher so genannte „Shredder-„ oder „Eraser-Tools“, die bei der „Sauberen“ Datenlöschung helfen.

Bei Fragen und Anmerkungen bin ich natürlich jederzeit für Sie da:

Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man