Löschpflicht und Verjährungsfristen

Fachbeitrag

Nach Art. 17 DSGVO ist jeder Verantwortliche dazu verpflichtet, personenbezogene Daten wieder zu löschen. Von der Löschung personenbezogener Daten kann gemäß Art. 17 Abs. 3 DSGVO in bestimmten Fällen abgesehen werden. Inwieweit sich die zivilrechtlichen Verjährungsfristen auf die Verpflichtung zur Löschung personenbezogener Daten auswirken, soll im folgenden Beitrag beleuchtet werden.

Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Nach Art. 17 Abs. 3 lit. e DSGVO besteht eine Ausnahme von der Verpflichtung zur Löschung personenbezogener Daten, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Die Ausnahme bezieht sich nicht allein auf gerichtliche, sondern auch auf außergerichtliche Verfahren (Art. 49 Abs. 1 lit. e DSGVO verwendet die gleiche Formulierung. In Erwägungsgrund 111 findet sich ein ausdrücklicher Hinweis, dass Art. 49 Abs. 1 lit. e DSGVO auch außergerichtliche Verfahren erfassen soll).

Die zivilrechtliche Verjährung von Ansprüchen

Regelungen zur Verjährung zivilrechtlicher Ansprüche finden sich in den §§ 194 ff. des Bürgerlichen Gesetzbuches (BGB). Die regelmäßige Verjährung beträgt 3 Jahre (§ 195 BGB). Die regelmäßige Verjährung beginnt grundsätzlich mit dem Ende des Jahres, in dem der Anspruch entstanden ist und in dem der Gläubiger von den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt.

In den Regelungen des BGB zur Verjährung von Ansprüchen finden sich auch weitere und speziellere Fristen, die je nach Art des Anspruchs bis zu 30 Jahre betragen können.

Verjährungsfristen als Richtwerte für die Löschung

Gerade im vertraglichen Bereich scheint es sich anzubieten, die Fristen für die Löschung personenbezogener Daten pauschal nach den einschlägigen zivilrechtlichen Verjährungsregelungen zu definieren. Zumindest für diejenigen Informationen, für die nicht ohnehin bereits eine gesetzliche Aufbewahrungspflicht nach beispielsweise handelsrechtlichen oder steuerrechtlichen Vorgaben besteht. Bestimmten Geschäftsvorgängen könnte als Löschfrist zunächst pauschal die jeweils einschlägige Verjährungsfrist zugewiesen werden.

Keine Speicherung ohne Interessenabwägung

Die Ausnahme von der Löschpflicht aus Art. 17 Abs. 3 lit. e DSGVO stellt für sich keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar. Die Ausnahme kann nur greifen, wenn die weitere Speicherung der für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlichen personenbezogenen Daten auf eine Rechtsgrundlage gestützt werden kann.

Ist die Verarbeitung personenbezogener Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, kann die Verarbeitung der Daten grundsätzlich auf § 24 Abs. 1 Nr. 2 BDSG gestützt werden, wenn es sich um eine zweckfremde Verarbeitung der Daten handelt. Andernfalls ließe sich die Verarbeitung gem. Art. 6 Abs. 1 lit. f DSGVO auf ein berechtigtes Interesse stützen (im Falle besonderer Kategorien personenbezogener Daten i.V.m. Art. 9 Abs. 2 lit. f DSGVO).

Die Verarbeitung personenbezogener Daten auf der Grundlage von § 24 Abs. 1 Nr. 2 BDSG oder Art. 6 Abs. 1 lit. f DSGVO ist jedoch nur zulässig, wenn nicht die Interessen der betroffenen Person einer Verarbeitung ihrer Daten überwiegend entgegenstehen. Der weitergehenden Speicherung bestimmter Daten hat daher eine Interessenabwägung vorauszugehen.

Interessenabwägung – abstrakt oder für jeden Einzelfall?

Die erforderliche Interessenabwägung darf nicht abstrakt durchgeführt werden, sondern muss unter Berücksichtigung der Interessen des Betroffenen und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen für einen bestimmten Einzelfall durchgeführt werden. So zumindest die wohl überwiegende Auffassung der Aufsichtsbehörden (siehe z.B. Bayerisches Landesamt für Datenschutzaufsicht, FAQ zur DS-GVO, Löschung von Patientendaten). Auch in der Kommentarliteratur zu Art. 17 DSGVO heißt es in der Regel, dass die abstrakte Möglichkeit einer rechtlichen Auseinandersetzung nicht ausreiche, um eine Ausnahme von der bestehenden Löschpflicht zu rechtfertigen (so z.B. Herbst in Kühling/Buchner/Herbst, DS-GVO, 2. Aufl. 2018, Art. 17 Rn. 83.).

Praktische Überlegungen zum Erfordernis der Interessenabwägung

Die Regelungen zur Verjährung dienen insbesondere der Sicherheit des Rechtsverkehrs und dem Rechtsfrieden (BT-Drs. 14/6040 ; Bundesgerichtshof Urt. v. 16.06.1972, Az.: I ZR 154/70). Vor dem Ablauf der einschlägigen Verjährungsfrist besteht diese Rechtssicherheit nicht. Der mögliche Anspruchsgegner muss bis zum Ablauf der Verjährungsfristen damit rechnen, ggf. doch noch in Anspruch genommen zu werden – auch wenn der Anspruch möglicherweise vollkommen haltlos ist.

Um sich im Falle der Inanspruchnahme verteidigen zu können, ist der jeweilige Anspruchsgegner in der Regel auf alle relevanten Informationen in Zusammenhang mit einem bestimmten Geschäftsvorgang angewiesen.

Von den Verantwortlichen zu fordern, vor der weiteren Speicherung personenbezogener Daten für den Zeitraum der bestehenden Verjährungsfristen eine einzelfallbezogene dokumentierte Interessenabwägung unter Berücksichtigung der Wahrscheinlichkeit einer rechtlichen Auseinandersetzung durchzuführen, wirkt gekünstelt. Für den Verantwortlichen birgt eine Löschung relevanter Informationen vor Ablauf bestehender Verjährungsfristen die Gefahr, sich im Falle einer Inanspruchnahme möglicherweise nicht verteidigen zu können und selbst im Falle eigentlich haltloser Ansprüche zu unterliegen. Das Interesse an der Speicherung der Daten für die Dauer der laufenden Verjährungsfristen ist daher durchaus erheblich.

Auch wäre für eine sichere Beurteilung der Wahrscheinlichkeit, inwieweit eine rechtliche Auseinandersetzung im Einzelfall drohen mag, voraussichtlich ein Vielfaches der Daten erforderlich, die im Rahmen des jeweiligen Geschäftsvorgangs tatsächlich anfallen. Verantwortlichen Unternehmen mit einer Vielzahl von relevanten Geschäftsvorgängen dürfte es zudem praktisch nicht möglich sein, für jeden einzelnen dieser Vorgänge die geforderte Interessenabwägung durchzuführen.

Wunsch eines Datenschutz-Praktikers

Es wäre durchaus sinnvoll und wünschenswert, dass die den Verjährungsvorschriften zugrundeliegenden Erwägungen sowie die in dem Zusammenhang gewonnen Erfahrungswerte aus unzähligen gerichtlichen und außergerichtlichen Verfahren als ausreichend für das Interesse an der Speicherung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erachtet werden. Die Interessenabwägung ergäbe sich dann sozusagen direkt aus dem Gesetz und der dazugehörigen Gesetzesbegründung.

In dem Fall könnten auch Löschkonzepte in relevanten Bereichen guten Gewissens an den einschlägigen Verjährungsfristen ausgerichtet werden. Andernfalls besteht stets die Gefahr, dass entweder den datenschutzrechtlichen Verpflichtungen zur Löschung personenbezogener Daten nicht im erforderlichen Umfang nachgekommen wird – oder, im Falle einer möglichen Inanspruchnahme, eine Verteidigung im erforderlichen Umfang nicht mehr gelingen kann.

Von Relevanz ist diese Frage natürlich nur, soweit nicht bereits gesetzliche Aufbewahrungspflichten für bestimmte Informationen bestehen – was im vertraglichen Bereich bereits auf einen wesentlichen Kern von Informationen zutreffen dürfte.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.