Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das erste Kapitel liegt hinter uns. Ging doch, oder? Schon müde vom… Laufen? Mit vier Artikeln gehört Kapitel I zu den kürzeren der DS-GVO. Kleine Abfrage unnützen Wissens: Wie lang ist das kürzeste Kapitel der DS-GVO? Und das längste? – Antworten erst am Ende des Blog-Beitrags und einstweilen Ihren Tipp am besten wieder notieren.

Kapitel II trägt den bedeutungsschweren Titel Grundsätze und fällt mit sieben Artikeln immerhin fast doppelt so lang aus wie sein Vorgeher. Die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 kommen recht übersichtlich daher. Jedenfalls gehören sie nicht zu den besonders verwirrenden Regeln der DS-GVO. Aber bei genauem Hinsehen finden wir sicher wieder Verbesserungspotenzial. Absatz 1 listet die eigentlichen Grundsätze und Absatz 2 klärt, wer sie zu befolgen hat. Zäumen wir das Pferd von hinten auf, schauen uns also zuerst Absatz 2 an.

Absatz 2

Die erste Aussage ist drolliges und schlechtes Juristen-Deutsch: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich.“ Andere Sprachfassungen kommen wenigstens ohne Wortwiederholung aus, im Englischen zum Beispiel: „The controller shall be responsible […]“.

Die zweite Aussage: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können. Das Gesetz verwendet dafür den Begriff Rechenschaftspflicht (accountability). Gelegentlich wird das mit einer Beweislastumkehr gleichgesetzt. Ganz dasselbe ist es allerdings nicht, wie wohl zuerst Veil (ZD 2018, 9, 12) gezeigt hat: In Ordnungswidrigkeiten- und Strafverfahren kann z.B. wegen DS-GVO-Verstößen nicht einfach mit der Begründung verurteilt werden, die Beschuldigten hätten ihre Unschuld beweisen müssen und das sei ihnen nicht gelungen. Deshalb müssen auch Datenschutz-Aufsichtsbehörden beispielsweise in Bußgeldverfahren den jeweiligen Verstoß der verantwortlichen Stelle nachweisen. Sie können nicht ein Bußgeld verhängen mit der Begründung, der Verantwortliche könne nicht beweisen, dass er keine Fehler gemacht hat.

Rechenschaftspflicht oder Dokumentationspflicht (ein bisschen komplizierter: Revisionsfähigkeit) trifft es also besser als Beweislastumkehr. Die Verantwortlichen müssen die DS-GVO nicht nur einhalten, sondern das auch zeigen können. Das bedeutet für Bußgeldverfahren: Wenn zum Beispiel bei einer zwischenzeitlich verstorbenen betroffenen Person nicht geklärt werden kann, ob sie in eine Datenverarbeitung eingewilligt hat oder nicht, würde das Bußgeld nicht wegen fehlender Einwilligung verhängt, sondern wegen fehlender Dokumentation. Damit genug der langen Ausführungen zum kurzen Absatz 2 und hinein in Absatz 1.

AbsATZ 1

Buchstabe a) stellt scheinbar drei Grundsätze auf, von denen bei genauem Hinsehen aber nur einer übrig bleibt: Personenbezogene Daten sollen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“. Zum ersten Grundsatz, nämlich der Rechtmäßigkeit, ist erstaunlicherweise schon viel geschrieben worden. Er besteht jedoch nur aus Luft: Es ist ja gerade Aufgabe des Gesetzgebers zu klären, was rechtmäßig ist. Der Grundsatz Tue das Richtige taugt nichts.

Nicht sehr viel besser steht es mit dem Grundsatz von Treu und Glauben – in der englischen Sprachfassung: fairness. Was fair ist, muss durch Spielregeln geklärt werden. Ansonsten können die Meinungen sehr weit auseinandergehen. Fußballfreunde wissen, was gemeint ist?

Echten Inhalt besitzt deshalb wohl nur der Grundsatz der Transparenz: Alle sollen wissen, wer welche Daten über sie besitzt und wofür diese Daten genutzt werden. Datenschutz-Veteranen erinnern sich an das berühmte, nun reichlich 40 Jahre alte Volkszählungsurteil des Bundesverfassungsgerichts. Schon damals war erkannt, dass informationelle Selbstbestimmung viel damit zu tun hat, zu wissen, wo welche Daten verarbeitet werden.

Buchstabe b) behandelt die Zweckbindung. Dieser Grundsatz ist vor allem wichtig als prinzipielles Verbot der Vorratsdatenspeicherung. Aus Sicht der Verantwortlichen ergeben sich daraus manchmal große Schwierigkeiten, nicht nur für Wünsche der staatlichen Überwachung (an die Datenschützer natürlich zuerst denken). Auch bei „chaotischen“ und „ergebnisoffenen“ Verarbeitungsvorgängen (Stichworte: KI, Data Mining, Marketing, aber auch: Forschung) sind Ziele und Zwecke der Datenverarbeitungen anfangs häufig noch unklar, also nicht so genau beschreibbar, wie Datenschützer sich das wünschen würden.

Gruselvorstellung für Historiker: Hätte in mittelalterlichen Klöstern die DS-GVO gegolten, wie viele Dokumente zum Klosterleben wären uns verloren gegangen? Hätten Unternehmen nach der Deutschen Reichsgründung 1871 die DS-GVO befolgt: Wüssten wir genauso viel über die Sozial- und Wirtschaftsgeschichte des Deutschen Kaiserreiches? Übrigens können sich Historiker bei Art. 5 Abs. 1 lit. b) DS-GVO nicht nur über den Grundsatz der Zweckbindung ärgern, sondern auch darüber, dass – hier wie öfter in der DS-GVO – von „wissenschaftlichen oder historischen Forschungszwecken“ die Rede ist, also die Geschichtswissenschaft in Brüssel also offenbar nicht als „Wissenschaft“ gesehen wird.

Schlussbemerkung zu Buchstabe b: Der zweite Halbsatz bedeutet natürlich nicht, dass Datenverarbeitungen für Archiv-, Forschungs- und statistische Zwecke immer zulässig wäre. Solche Zwecke gelten nur „nicht als unvereinbar mit den ursprünglichen Zwecken“. Bei diesen Zielen scheitert die Verarbeitung also nicht von vornherein an einer Unzulässigkeit der Zweckänderung (Ausblick nach vorn: Art. 6 Abs. 4). Trotzdem wird natürlich jeweils eine Rechtsgrundlage für die Verarbeitung zum geänderten Zweck benötigt.

Buchstabe c): Datenminimierung ließe sich gut verbinden mit Buchstaben b) Zweckbindung und Buchstaben e) Speicherbegrenzung – letztlich nur der zeitliche Aspekt der Datenminimierung. Alle drei Buchstaben gemeinsam ergeben: Personenbezogene Daten bitte nur verarbeiten, soviel und solange dies für einen konkreten Zweck nötig ist.

Buchstabe d) schreibt vor, dass die Verantwortlichen die Richtigkeit personenbezogener Daten anzustreben haben. Das ist – bei genauerem Hinsehen – seltsam und hat mit informationeller Selbstbestimmung gar nicht viel zu tun: Vielleicht ist betroffenen Personen ja ganz recht, wenn verantwortliche Stellen sich irren? Beispiel: Bei Vereinsmitglied A ist in der Buchhaltung fehlerhaft vermerkt, dass der Mitgliedsbeitrag des laufenden Jahres schon gezahlt wurde. Laut DS-GVO ein Datenschutzverstoß – aber ist das sinnvoll? Würde nicht für das Selbstbestimmungsrecht der Anspruch auf Berichtigung genügen? Dann kann die betroffene Person selbst entscheiden, ob ihr die Berichtigung wichtig ist oder ob sie vielleicht gern ein bisschen günstiger dasteht.

Buchstabe e) war oben schon erwähnt; das muss genügen. Und Buchstabe f) behandelt die in der Informationssicherheit bekannte Trias von Vertraulichkeit, Integrität und Verfügbarkeit (schöne alte Eselsbrücke: CIA – confidentiality, integrity, availability). Allerdings wurde die „Verfügbarkeit“ im Klammerzusatz vergessen. Verbesserungsvorschlag: „[…] f) in einer Weise verarbeitet werden, die ihre Integrität, Vertraulichkeit und Verfügbarkeit durch geeignete technische und organisatorische Maßnahmen gewährleisten“.

Klitzekleiner Korrekturhinweis zum Schluss: Absatz 1 müsste natürlich mit einem „Punkt“, nicht mit Semikolon enden. Vielleicht wird es bei der zweiten DSGVO-Evaluation bemerkt. Nun aber schnellen Schrittes zum spannenden Artikel 6! Auflösung zu den eingangs gestellten Quizfragen: Am kürzesten und längsten sind die Kapitel … ach nein, schauen Sie selbst!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der vorliegende Beitrag befasst sich mit der Reichweite des Rechts auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Hintergrund ist ein Sachverhalt, mit dem sich das Oberlandesgericht Naumburg (Beschl. v. 11.1.2023, Az. Wx 5 14/22) befassen musste. In dem Fall ging es (kurz umrissen) um ein Unternehmen, dessen Gesellschafter die Löschung bzw. Schwärzung ihrer Unterschriften in einer von ihnen eingereichten Gesellschafterliste und auf einer Grundstücksurkunde beantragten.

Bereits am 10. Oktober 2022 wandten sich die Gesellschafter an das zuständige Registergericht und beantragten unter Berufung auf Art. 17 DS-GVO die Schwärzung ihrer Unterschriften in den jeweiligen Dokumenten. Der Antrag wurde kurz darauf vom Gericht abgewiesen, wogegen die Beteiligten Beschwerde einlegten. Diesmal stützten sie sich jedoch auf das Recht auf informationelle Selbstbestimmung. Das Registergericht legte die Beschwerde daraufhin dem Oberlandesgericht Naumburg zur Entscheidung vor.

Die Entscheidung im Einzelnen

Das Oberlandesgericht Naumburg stellte in seiner Entscheidung fest, dass Art. 17 Abs. 1 DS-GVO aufgrund der Ausnahmevorschrift des Art. 17 Abs. 3 lit. b) DS-GVO (Widerruf der Einwilligung, Fehlen einer Rechtsgrundlage) im Registerwesen keine Anwendung findet.

Das Gericht argumentiert, dass Art. 17 Abs. 1 DS-GVO anwendbar ist, wenn „die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“ und stellt klar, dass die Tätigkeit zur Erfüllung von Publizitätspflichten seitens des Hoheitsträgers zur Ausübung ihrer hoheitlichen Befugnisse gehört. Zudem stellt die Ausübung ebenjener Tätigkeit eine im öffentlichen Interesse liegende Aufgabe im Sinne des Art. 17 Abs. 3 lit. b) DS-GVO dar.

Das Gericht hat zudem auf vergangene Urteile verweisen, in denen bereits vor der DS-GVO klargestellt wurde, dass die Registerpublizität dem Persönlichkeitsschutz vorrangig ist (Europäischer Gerichtshof, Urt. v. 9.3.2017 – C-398/15). Zuletzt stellt das Oberlandesgericht fest, dass sich ein Löschungsanspruch auch aus dem Grundrecht auf informationelle Selbstbestimmung der Beteiligten nicht ableiten lässt, da Dokumente, die bereits im Registerordner eingestellt sind, zum Schutz der Registerwahrheit grundsätzlich nicht verändert werden können. Aus diesem Grund ist es nicht die Aufgabe des Registergerichts, nachträglich in freigegebene Dokumente einzugreifen.

Fazit

Das Urteil zeigt, dass die Reichweite des Rechts auf Vergessenwerden oder zumindest das Recht auf Löschung durchaus begrenzt ist. Art. 17 Abs. 3 lit. a) bis e) DS-GVO geben einen gewissen, wenn auch sehr abstrakten Aufschluss darüber. Es ist jedoch genau diese Abstraktion, die es vielen Betroffenen deutlich erschwert zu bestimmen, ob sie nun ein Recht auf Löschung ihrer Daten haben oder nicht. Auch die Gerichte tun sich zu Teilen bei derartigen Fragestellungen schwer.

Welche Gründe auch immer eine Person dazu führen, die Unterschrift aus der offiziellen Gesellschafterurkunde löschen zu lassen, insbesondere wenn die Gesellschaft noch existiert – für diesen Fall schafft das aktuelle Urteil Gewissheit und stellt klar, dass die Registerpublizität in diesem Fall sogar einen höheren Rang hat als der Schutz der Persönlichkeit.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.