Im Rahmen der Initiative „Meine Daten. Meine Freiheit.“ für mehr Achtsamkeit im Umgang mit personenbezogenen Daten, stellt die Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) seit kurzer Zeit mehrere Textgeneratoren zur Umsetzung der gängigsten Betroffenenrechte der Datenschutz-Grundverordnung bereit. Die sächsische Datenschutz-Aufsichtsbehörde möchte damit betroffenen Personen die Kommunikation mit den datenverarbeitenden Stellen erleichtern und so eine bessere Kontrolle über die eigenen personenbezogenen Daten ermöglichen.

Weiterführende Informationen zu Betroffenenrechte

Neben den eigentlichen Textgeneratoren für das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht werden Betroffenen und Interessierten zusätzliche Informationen bereitgestellt. Dazu zählen etwa Erläuterungen zum jeweiligen Zweck und Umfang, Hinweise auf mögliche Einschränkungen und Besonderheiten sowie Verweise auf einschlägige Veröffentlichungen der Datenschutzkonferenz.

Einfache Bedienung der Textgeneratoren

Das Herzstück der Initiative bilden jedoch die fünf Textgeneratoren selbst. Mit wenigen Klicks und Eingaben wird ein fertiges Musterschreiben erstellt: Angaben zum Verantwortlichen und zur eigenen Person, optionale Präzisierungen, die gewünschte Form der Auskunft – und schon liegt das fertige Auskunftsersuchen vor. Wer zusätzlich das Häkchen für eine Datenkopie setzt, berücksichtigt zugleich auch das Recht gemäß Art. 15 Abs. 3 DS-GVO. Alle Eingaben werden schließlich mit einem Klick zu einem übersichtlichen Musterschreiben – wahlweise als Text- oder PDF-Datei – zusammengefügt.

Die Generatoren für die weiteren Betroffenenrechte sind naturgemäß noch einfacher: Für das Recht auf Berichtigung wird eine kurze Begründung ergänzt, der konkrete Grund bezüglich des Rechts auf Löschung wird ausgewählt – und in Sekundenschnelle steht auch hier das fertige Schreiben bereit.

Insgesamt scheinen die Textgeneratoren auf den ersten Blick sehr intuitiv und bedienungsfreundlich. Datenschutzsensible Personen brauchen zudem nicht befürchten, dass die getroffenen Eingaben zu weiteren Zwecken aufbewahrt oder weiterverwendet werden. Nach der Generierung des Musterschreibens stehen die jeweiligen Dokumente für nur 15 Minuten zum Download zur Verfügung und werden sodann unverzüglich gelöscht

Fazit

Ob die Bereitstellung der Textgeneratoren tatsächlich zu einer vermehrten Wahrnehmung der Betroffenenrechte führt, bleibt abzuwarten. Fest steht jedoch: Sie erleichtern den Zugang erheblich und senken die Hemmschwelle zur Geltendmachung dieser Rechte sowie zur Kontaktaufnahme mit den datenverarbeitenden Stellen. Auch Verantwortliche können profitieren – etwa durch die klare Struktur und präzise Formulierung der Anliegen, die den Willen der betroffenen Person deutlicher hervortreten lassen können. Nun bleibt abzuwarten, wie die neuen Textgeneratoren von den Betroffenen angenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Ausflug ist winzig kurz – aber besser, wenigstens einige Schritte vor die Tür gehen, als den ganzen Tag drinnen sitzen. Immerhin spazieren wir durch wenig bekannte Gegend. Selbst die/der eine oder andere Datenschutzbeauftragte wird Artikel 19 DS-GVO noch nie gelesen haben. Dann ruhig jetzt nachholen!

Zum Artikel

Satz 1 verlangt vom Verantwortlichen, etwaige Datenempfänger über Maßnahmen nach Artikel 16, 17 und 18 zu informieren. Warum bei Artikel 17 konkret Absatz 1 genannt wird und bei Artikel 18 nicht, ist Geheimnis des Gesetzgebers. Die Informationspflicht besteht allerdings nur, wenn sie mit angemessenem Aufwand erfüllt werden kann. Satz 2 ist überflüssig, weil bereits durch Artikel 15 DS-GVO abgedeckt. Und auch Satz 1 ist nicht durchdacht: Wenn Daten berichtigt oder gelöscht oder beschränkt verarbeitet werden, haben Betroffene gar nicht immer ein Interesse daran, dass „die ganze Welt“ davon erfährt.

Zum Beispiel: Eine Abteilungsleiterin behauptet per E-Mail im Kollegenkreis (falsch), Mitarbeiter X färbe sich die Haare. X stellt das bei ihr richtig und möchte keine weitere Publicity. Darf und muss der Arbeitgeber wirklich eine zweite E-Mail herumsenden „X färbt sich doch nicht die Haare“? Wäre Artikel 19 nicht sinnvoller als ein Anspruch zu gestalten, den Betroffene ausüben können, aber nicht müssen?

Anderes Beispiel: Personalchef A hat in einem Bewerbungsverfahren unerlaubt – peinliche, aber inhaltlich richtige – Daten über Frau X gesammelt, einigen Beschäftigten davon erzählt und die Daten gespeichert. X erfährt viel später davon und verlangt Löschung. Soll A den anderen Beschäftigten die Löschung mitteilen – am besten noch dokumentiert – und damit X noch einmal in Verruf bringen? Also wohl besser: „Wenn von Betroffenen verlangt und mit angemessenem Aufwand möglich, informieren Verantwortliche…“

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nach der kurzen letzten Etappe gibt es jetzt wieder ordentlich etwas „wegzuwandern“.

Ein Recht auf Vergessenwerden?

Artikel 17 zieht sich in die Länge, vor allem weil der Gesetzgeber den Wanderweg wieder in großen Schleifen angelegt hat. Absatz 1 und Absatz 3 könnte man zusammenfassen: „Betroffene können von Verantwortlichen die sofortige Löschung ihrer personenbezogenen Daten verlangen, wenn eine Rechtsgrundlage für die weitere Speicherung fehlt.“

Aber der Reihe nach: Schon die Überschrift enthält sprachlich eine „seltene Orchidee“. Das „Recht auf Vergessenwerden“ kann man Stars und Sternchen, A-, B- und C-Prominenten sowie Influencern wahrscheinlich gar nicht erklären. Wer will schon vergessen werden? Vermutlich führt der Begriff auch andere betroffene Personen, zum Beispiel Kinder und Jugendliche, nur in die Irre und sollte deshalb selbst schnell vergessen werden. Es gibt kein durchsetzbares (!) Recht auf Vergessenwerden und erzieherisch wertvoller als dieser einlullende, trügerische Begriff bleibt allemal die Erkenntnis „Das Internet vergisst nicht.“ Wie beim ökologischen Fußabdruck müssen Betroffene auch beim „data foot print“ zuallererst auf die eigenen „Emissionen“ achten und sollten sich nicht darauf verlassen, dass anschließend Andere den (Daten-)Abfall sauber wegräumen.

„Recht auf Vergessenwerden“ soll originell klingen, ist aber nur albern. Halten wir uns lieber an das „Recht auf Löschung“.

Absatz 1

In Absatz 1 wird es sehr lang abgehandelt. Wie schon erwähnt, lassen sich die dort aufgelisteten Einzelfälle zusammenfassen: Gelöscht werden muss, wenn eine Rechtsgrundlage für die weitere Speicherung fehlt. Der Anspruch auf Löschung bei der betroffenen Person ist dabei immer das Spiegelbild zur Löschpflicht des Verantwortlichen.

Absatz 2

Absatz 2 möchte erreichen, dass der Verantwortliche den Löschauftrag genauso weitergibt, wie er zuvor die personenbezogenen Daten weitergegeben hat. In der Praxis ist die Vorschrift zwar nicht gänzlich bedeutungslos, aber Betroffene sollten sich über die Erfolgsquote keinen Illusionen hingeben: Veröffentlichungen lassen sich selten oder nie rückgängig machen. Hilfreicher ist manchmal ein Effekt, den die DS-GVO gar nicht in Betracht zieht: Die Daten von heute werden zugedeckt durch die Daten von morgen.

Absatz 3

Absatz 3 regelt sehr umständlich Ausnahmen von den Löschpflichten aus Absatz 1 und 2, nämlich genau solche Fälle, in denen eben doch noch eine Rechtsgrundlage zur weiteren Speicherung besteht.

Geht es auch ein bisschen kürzer?

Die Abkürzung zum verschlungenen Wanderweg durch Artikel 17 könnte also beispielsweise insgesamt lauten:

„Recht auf Löschung“

(1) Betroffene können von Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten verlangen, sobald eine Rechtsgrundlage zur weiteren Speicherung fehlt.

(2) Haben Verantwortliche die betreffenden Daten an Dritte weitergegeben, bei denen vermutlich die Rechtsgrundlage zur Speicherung ebenfalls entfallen ist, sollen sie das Löschverlangen mitteilen.

Es geht sogar noch kürzer: Der zweite Absatz ist ganz verzichtbar, wenn man Artikel 19 anschaut. Aber laufen wir erst einmal zum achtzehnten Meilenstein…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der vorliegende Beitrag befasst sich mit der Reichweite des Rechts auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Hintergrund ist ein Sachverhalt, mit dem sich das Oberlandesgericht Naumburg (Beschl. v. 11.1.2023, Az. Wx 5 14/22) befassen musste. In dem Fall ging es (kurz umrissen) um ein Unternehmen, dessen Gesellschafter die Löschung bzw. Schwärzung ihrer Unterschriften in einer von ihnen eingereichten Gesellschafterliste und auf einer Grundstücksurkunde beantragten.

Bereits am 10. Oktober 2022 wandten sich die Gesellschafter an das zuständige Registergericht und beantragten unter Berufung auf Art. 17 DS-GVO die Schwärzung ihrer Unterschriften in den jeweiligen Dokumenten. Der Antrag wurde kurz darauf vom Gericht abgewiesen, wogegen die Beteiligten Beschwerde einlegten. Diesmal stützten sie sich jedoch auf das Recht auf informationelle Selbstbestimmung. Das Registergericht legte die Beschwerde daraufhin dem Oberlandesgericht Naumburg zur Entscheidung vor.

Die Entscheidung im Einzelnen

Das Oberlandesgericht Naumburg stellte in seiner Entscheidung fest, dass Art. 17 Abs. 1 DS-GVO aufgrund der Ausnahmevorschrift des Art. 17 Abs. 3 lit. b) DS-GVO (Widerruf der Einwilligung, Fehlen einer Rechtsgrundlage) im Registerwesen keine Anwendung findet.

Das Gericht argumentiert, dass Art. 17 Abs. 1 DS-GVO anwendbar ist, wenn „die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“ und stellt klar, dass die Tätigkeit zur Erfüllung von Publizitätspflichten seitens des Hoheitsträgers zur Ausübung ihrer hoheitlichen Befugnisse gehört. Zudem stellt die Ausübung ebenjener Tätigkeit eine im öffentlichen Interesse liegende Aufgabe im Sinne des Art. 17 Abs. 3 lit. b) DS-GVO dar.

Das Gericht hat zudem auf vergangene Urteile verweisen, in denen bereits vor der DS-GVO klargestellt wurde, dass die Registerpublizität dem Persönlichkeitsschutz vorrangig ist (Europäischer Gerichtshof, Urt. v. 9.3.2017 – C-398/15). Zuletzt stellt das Oberlandesgericht fest, dass sich ein Löschungsanspruch auch aus dem Grundrecht auf informationelle Selbstbestimmung der Beteiligten nicht ableiten lässt, da Dokumente, die bereits im Registerordner eingestellt sind, zum Schutz der Registerwahrheit grundsätzlich nicht verändert werden können. Aus diesem Grund ist es nicht die Aufgabe des Registergerichts, nachträglich in freigegebene Dokumente einzugreifen.

Fazit

Das Urteil zeigt, dass die Reichweite des Rechts auf Vergessenwerden oder zumindest das Recht auf Löschung durchaus begrenzt ist. Art. 17 Abs. 3 lit. a) bis e) DS-GVO geben einen gewissen, wenn auch sehr abstrakten Aufschluss darüber. Es ist jedoch genau diese Abstraktion, die es vielen Betroffenen deutlich erschwert zu bestimmen, ob sie nun ein Recht auf Löschung ihrer Daten haben oder nicht. Auch die Gerichte tun sich zu Teilen bei derartigen Fragestellungen schwer.

Welche Gründe auch immer eine Person dazu führen, die Unterschrift aus der offiziellen Gesellschafterurkunde löschen zu lassen, insbesondere wenn die Gesellschaft noch existiert – für diesen Fall schafft das aktuelle Urteil Gewissheit und stellt klar, dass die Registerpublizität in diesem Fall sogar einen höheren Rang hat als der Schutz der Persönlichkeit.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Auskunftsrecht der betroffenen Personen ist für den Datenschutz und das informationelle Selbstbestimmungsrecht unverzichtbar. Nur wenn Betroffene wissen oder zumindest erfahren können, wer ihre Daten verarbeitet und wie dies geschieht, können sie Entscheidungen treffen, Rechte geltend machen und durchsetzen. Die Ausgestaltung des Auskunftsanspruchs in der DS-GVO (und erst recht die enorme Erweiterung durch den Anspruch auf ungefragte „Information“ – aber dies ist einen eigenen Blog-Beitrag wert) schafft in der Praxis viele Fragen. Einige sollen hier näher betrachtet werden.

Frage:

Der Verantwortliche erhält eine Auskunftsanfrage, prüft seine Datenbestände und stellt fest, dass zur betroffenen Person tatsächlich noch Daten vorhanden sind, die längst hätten gelöscht werden müssen. Darf die Löschung jetzt erfolgen und der betroffenen Person anschließend eine Negativauskunft gegeben werden oder muss die Löschung „zwecks Mitteilung des Rechtsverstoßes an die betroffene Person“ unterbleiben?

Antwort: Es geht um den Umfang der geschuldeten Auskunft, in gewisser Hinsicht auch um den Bezugszeitpunkt: Müssen die bei Auskunftserteilung oder die bei Eingang des Auskunftsantrags laufenden Datenverarbeitungen mitgeteilt werden? Nach Sinn und Zweck der Vorschrift wird mindestens das zu beauskunften sein, was im Zeitpunkt der Auskunftserteilung beim Verantwortlichen vorhanden ist. Mit anderen Worten: Wenn nach Eingang des Auskunftsantrags neue Datenverarbeitungen zur betroffenen Person beginnen, sind auch diese Verarbeitungen in die Auskunft aufzunehmen. Andere Auffassungen scheint es auch in der Fachliteratur nicht zu geben. Hinweise und Gegenargumente sind aber unter der am Ende genannten E-Mail-Adresse hier und generell willkommen.

Weiter ist klar, dass der Verantwortliche über gelöschte Daten keine Auskunft mehr erteilen kann. Insoweit gilt „weg ist weg“. Oder spiegelbildlich formuliert: Was der Verantwortliche noch beauskunften kann, ist nicht wirklich gelöscht. Bleibt die Frage, ob Löschungen zwischen Auskunftsantrag und Auskunftserteilung erlaubt sind. Auch sie lässt sich noch in zwei Teilfragen zerlegen.

Teilfrage 1:

Bewirkt der Auskunftsantrag ein Einfrieren der Datenverarbeitungen beim Verantwortlichen? Darf also die verantwortliche Stelle nach Eingang eines Auskunftsantrags erst dann überhaupt wieder Daten löschen, wenn sie die auskunftsrelevanten Daten „beiseite gelegt“ hat?

Antwort: In der Fachliteratur wird teilweise vertreten, der Auskunftsanspruch betreffe „vollumfänglich […] alle bei Auskunftsersuchen vorliegenden Daten“ (z.B. Taeger/Gabel/Mester Art. 15 DSGVO Rn. 3 m.w.N.), ohne die Konsequenz eines kompletten „Löschverbots“ beim Verantwortlichen anzusprechen. Mit Blick auf „große“ verantwortliche Stellen (massenhafte Datenverarbeitungen, auch automatisierte und in kurzen Frequenzen für verschiedene Verarbeitungsprozesse stattfindende Löschungen) wird deutlich, was auch auf „kleine“ Verantwortliche übertragen werden muss: Die verantwortliche Stelle hat ihre Löschpflichten, die gegenüber anderen betroffenen Personen weiterhin bestehen, zu erfüllen; sie muss und darf Löschpflichten nicht verschieben. Niemand kann also durch eigene Auskunftsanträge bewirken, dass bei verantwortlichen Stellen Löschprozesse angehalten werden.

Teilfrage 2:

Darf oder muss der Verantwortliche Daten der Auskunft fordernden, betroffenen Person gezielt löschen und danach logisch zwingend: insoweit keine Auskunft mehr erteilen, wenn er bei Bearbeitung des Auskunftsantrags feststellt, dass die Daten nicht mehr gespeichert sein dürften?

Antwort: Dazu gehen die Meinungen auseinander. Beide Antworten sind juristisch vertretbar. Die DS-GVO gibt nichts Eindeutiges vor und der Europäische Gerichtshof hat sich noch nicht geäußert. Für ein insoweit bestehendes Löschverbot und komplette Auskunftspflicht könnte man hauptsächlich anführen, dass Verantwortliche ansonsten Datenschutzverstöße vertuschen und Sanktionen, z.B. Schadensersatzforderungen, und Bußgelder, vermeiden könnten. Gegen das Löschverbot und für die „Selbstkorrektur“ des Verantwortlichen lässt sich argumentieren, dass der Verantwortliche – wenn auch verspätet – seine Rechtspflichten erfüllt und bei datenschutzkonformer Löschung dadurch auch der Betroffene geschützt ist. Wenn man Löschungen nach Auskunftsantrag „im Rahmen regelmäßiger informationeller Verwaltung / Geschäftsführung“ erlaubt, jedoch „nicht etwa […] in Reaktion auf einen Löschungsantrag“ (v. Lewinski/Rüpke/Eckhardt, Datenschutzrecht, § 15 Rn. 21 in Fn. 34), bedeutet das: Der Verantwortliche darf nur die Daten des Auskunft fordernden Betroffenen nicht löschen und muss sie weiter speichern; alle bei selber Gelegenheit gefundenen Daten andererBetroffener müssen umgehend gelöscht werden.

Die Befürworter des „Löschverbots“ können wiederum darauf verweisen, dass in bestimmten Situationen für die betroffene Person gerade wichtig sein kann, eine rechtswidrige Datenspeicherung nachzuweisen. (Lebensfremdes Lehrbuch-Beispiel: Eine Bewerberin wird vom potentiellen Arbeitgeber abgelehnt mit Verweis auf ihr schlechtes Abiturzeugnis. Das Zeugnis hat sie selbst nicht vorgelegt; es befindet sich ihres Wissens noch bei der Schulbehörde und einem früheren Arbeitgeber. Sie stellt Auskunftsantrag nach Art. 15 DSGVO beim früheren Arbeitgeber.) Darauf entgegnen die Anhänger der Löschbefugnis vielleicht: Im Rechtsstaat gilt als Verfassungsprinzip, das niemand gezwungen werden darf, sich selbst zu belasten (Rechtslatein: „nemo tenetur se ipsum accusare“). Würde man den Auskunftsanspruch so verstehen, dass er den Verantwortlichen zwingt, selbst der betroffenen Person die Beweise für einen Rechtsverstoß und damit die „Waffen“ für Schadenersatzprozess und Bußgeldverfahren in die Hand zu geben, wäre dies eine klare Pflicht zur Selbstbelastung.

Gegen-Gegenargument: Der genannte Grundsatz gilt im EU-Recht nicht uneingeschränkt und ist auch in der DS-GVO teilweise klar durchbrochen, beispielsweise hinsichtlich der Verpflichtung zur Meldung der Verletzng des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Art. 33 Abs. 1 DS-GVO. Befürworter der Löschbefugnis: Dann muss die Lösung aber doch zumindest in jenen Fällen erlaubt sein, in denen die Daten untrennbar auch Dritte betreffen und zu deren Schutz gelöscht werden müssen (Art. 15 Abs. 4 DSGVO). Erwiderung darauf: Es ist ja schon streitig, ob sich Art. 15 Abs. 4 überhaupt auf Abs. 1 anwenden lässt oder wie der Wortlaut nahelegt nur für den Kopie-Anspruch nach Abs. 3 gilt … .

Fazit

Und wo ist die versprochene Antwort? Längst gegeben und im Text gut versteckt: Beide Auffassungen sind juristisch mit anständigen Argumenten vertretbar – und für die Praxis verbindlich entschieden wird das Thema – vielleicht einmal – durch den EuGH. Persönlich neige ich (derzeit) eher zur „Löschbefugnis“. Und bei echtem Missbrauchsverdacht wäre Betroffenen natürlich wegen des tatsächlichen Löschrisikos alternativ zu empfehlen, die Möglichkeit der Beschwerde bei der Aufsichtsbehörde anstelle des Auskunftsantrags zu nutzen. Die Aufsichtsbehörde kann – muss nicht – ein größeres Instrumentarium einsetzen, um den Verdacht aufzuklären. Eine weitere Frage zum Thema Auskunftsrecht klären wir in der kommenden Woche.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

VORAUSSETZUNGEN FÜR EINEN LÖSCHANSPRUCH

Art. 17 Abs. 1 DS-GVO sieht das Recht der betroffenen Person vor, die Löschung von personenbezogenen Daten bei Vorliegen bestimmter Löschgründe verlangen zu können. Dieses Recht entbindet den Verantwortlichen allerdings nicht davon, auch ohne Verlangen der betroffenen Person regelmäßig zu überprüfen, ob die von ihm verarbeiteten Daten zu löschen sind. Als Löschgründe sind in Art. 17 Abs. 1 DS-GVO vorgesehen:
– die personenbezogenen Daten sind für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig (lit. a);
– Widerruf der Einwilligung und es besteht keine anderweitige Rechtsgrundlage für die Verarbeitung (lit. b);
– erfolgreicher Widerspruch gemäß Art. 21 Abs. 1 (lit. c);
– Unrechtmäßigkeit der Verarbeitung (Generalklausel, lit. d);
– rechtliche Verpflichtung zur Löschung (lit. e);
– Datenerhebung bei Kindern (lit. f).

Für verantwortliche Stellen werden die Tatbestände des Art. 17 Abs. 1 lit. a, b und d DS-GVO überwiegend eine Rolle spielen.

Der Tatbestand von Art. 17 Abs. 1 lit. a DS-GVO räumt der betroffenen Person ein Recht auf Löschung personenbezogener Daten dann ein, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs. 1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Wenn die betroffene Person Ihre Einwilligung widerruft, Art. 17 Abs. 1 lit. b, so entfällt die Rechtsgrundlage für Verarbeitungen gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Daraus resultiert aber nur dann ein Löschanspruch, wenn sich die Rechtmäßigkeit der Verarbeitung auf keine andere Rechtsgrundlage als die der Einwilligung stützen kann. Diesbezüglich kommen vor allem Art. 6 Abs. 1 lit. b (Vertragserfüllung), lit. c (rechtliche Verpflichtungen) und e (Aufgabenerfüllung im öffentlichen Interesse) und lit. f (berechtigtes Interesse) DS-GVO in Betracht. Der Widerruf der Einwilligung resultiert also nur dann in einer absoluten Verpflichtung zur Löschung, sofern die Einwilligung die einzige Rechtsgrundlage der Verarbeitung darstellte.

Nach Art. 17 Abs. 1 lit. d DS-GVO bestehen die Löschrechte auch, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden. Die Regelung erfasst alle Konstellationen der unzulässigen Verarbeitung, insbesondere die Fälle, bei denen von vornherein keine Rechtsgrundlage für die Erhebung oder Speicherung personenbezogener Daten vorlag.

KEINE REGEL OHNE AUSNAHMEN

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beeinträchtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen.

VORGEHENSWEISE BEI EINEM ANTRAG AUF LÖSCHUNG

Im Rahmen der Bearbeitung eines Löschantrages bietet sich folgende Vorgehensweise an: Ein Löschantrag kann von jeder betroffenen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch erfolgen. Im Rahmen eines konkreten Antrags auf Löschung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Es muss geprüft werden, ob der Antragsteller einen Anspruch auf Löschung hat bzw. keine Gründe vorliegen, die eine Speicherung der Daten weiterhin rechtfertigen. Der Löschungsanspruch umfasst dann sämtliche Datenbestände, in denen die personenbezogenen Daten des Antragstellers gespeichert sind. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. dem Löschvorgang zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

SANKTIONEN UND SCHADENSERSATZ

Kommt der Verantwortliche der Löschpflicht / dem Löschanspruch der betroffenen Person nicht nach, kann die betroffene Person Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Eine Verletzung des Rechts auf Löschung wird mit hohen Geldbußen geahndet. Zudem kann die betroffene Person im Wege der Klage gegen den Verantwortlichen vorgehen. Es besteht die Möglichkeit Schadensersatz einzufordern.

FAZIT

Verantwortliche Stellen zeichnet ein professioneller Umgang mit der Löschpflicht aus, wenn bereits frühzeitig entsprechende interne Prozesse implementiert werden. Nutzen Sie hierbei Synergien! Oftmals knüpft die Löschung an ein Auskunftsbegehren an. Dieser Prozess sollte daher ganzheitlich etabliert werden. Verarbeitet ein Verantwortlicher personenbezogene Daten nur in gesetzlich zulässiger Weise, besteht keine darüberhinausgehende Verpflichtung zur Löschung. Eine organisierte Übersicht über die Art der verarbeiteten Daten, den Zweck der Verarbeitung sowie die gesetzlichen Aufbewahrungsfristen bietet das Verzeichnis über die Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Darüber hinaus empfiehlt sich ein eigenes Löschkonzept für alle innerhalb der verantwortlichen Stelle durchgeführten Verarbeitungszwecke an, woraus sich eine dokumentierte Löschroutine ablesen lässt.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

WAS IST PASSIERT?

Am 30.09.2019 hatte die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro verhängt. Dies stellte zum Zeitpunkt der Verhängung das höchste Bußgeld in Deutschland auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) dar. Mittlerweile erging gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von rund 35,3 Millionen Euro.

Die Deutsche Wohnen ist eines der größten deutschen Immobilienunternehmen. Sie hält nach eigenen Angaben rund 165.700 Einheiten, darunter befinden sich sowohl Wohn- als auch Gewerbeeinheiten. Gegenstand des Bescheides waren Vorwürfe seitens der Behörde, dass die Immobiliengesellschaft im Zeitraum zwischen Mai 2018 und März 2019 keine Maßnahmen zur Ermöglichung einer regelmäßigen Löschung von Mieterdaten in ausreichendem Umfang umgesetzt habe. Zum Teil sollen personenbezogene Daten von Mietern (u.a. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten) gespeichert worden sein. Hiergegen wurde seitens des Unternehmens Einspruch eingelegt. Das zuständige Landgericht hat das Verfahren nunmehr eingestellt.

ENTWICKELT SICH EINE RECHTSPRECHUNGSPRAXIS ZUR BUßGELDSANKTIONIERUNG?

Ähnliche mediale Aufmerksamkeit hatte das Leuchtturmverfahren des Bundesbeauftragten für Datenschutz und Informationsfreiheit gegen die „1&1 Telecom GmbH“ erlangt (LG Bonn, Urt. V. 11.11.2020, Az.: 29 OWi 1/20). In diesem Fall hatte das Landgericht Bonn das ursprünglich verhängte Bußgeld in der Höhe von 9,55 Millionen Euro auf 900.000€ eingedampft. Im Unterschied zum (bisherigen) Verfahren vor dem LG Berlin wurde das Bußgeld des Bundesbeauftragten jedoch dem Grunde nach bestätigt. In der Begründung wurde u.a. das Bußgeldberechnungsmodell der Aufsichtsbehörden als unverhältnismäßig eingestuft, was letztlich zu der Reduzierung des ursprünglich verhängten Bußgeldes führte. Bejaht wurde durch das Gericht zudem die Frage, ob gegen ein Unternehmen als juristische Person ein Bußgeld erhoben werden kann. Mithin wurde der Anwendungsvorrang der DS-GVO vor den nationalen Regelungen des Ordnungswidrigkeitenrechtes dargelegt. Das Urteil des LG Bonn ist mittlerweile rechtskräftig. Unternehmen haften demnach für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind.

WAS IST DAS BUßGELDBERECHNUNGSMODELL DER AUFSICHTSBEHÖRDEN?

Über die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden durch die Verhängung von Bußgeldern haben wir bereits berichtet. In diesem Beitrag richten wir den Blick ebenfalls auf das Bußgeldkonzept der Aufsichtsbehörden. Im Kern stellt das „Berechnungsmodell“ eine Hilfe bei der Zumessung der Höhe eines Bußgeldes dar. Dies erfolgt grundlegend durch das Bilden eines sogenannten „Tagessatzes“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor.

WACKELT NUN DIE BUßGELDPRAXIS DER AUFSICHTSBEHÖRDEN?

Mitteilungen des LG Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln. Laut Angaben einer Gerichtssprecherin am 24.02.2021 erklärte das Landgericht Berlin den Bescheid für unwirksam, weil ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zu konkreten Tathandlungen fehlten. Es fehlen Angaben, dass eine konkrete Person im Unternehmen für den Verstoß verantwortlich war. Eine Begründung liegt bislang nicht vor. Gegen den Beschluss des Landgerichts Berlin kann die Berliner Aufsichtsbehörde binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen. „Das Recht, Rechtsmittel gegen den Beschluss einzulegen, steht der Berliner Staatsanwaltschaft zu“, erläuterte ein Sprecher. Weiter heißt es, die Berliner Datenschutzbeauftragte werde die Staatsanwaltschaft bitten, von dieser Option Gebrauch zu machen. Der Entscheidung liege die Rechtsauffassung zugrunde, dass Bußgelder gegen Unternehmen nur bei Verschulden von Leitungspersonen verhängt werden könnten. Das Landgericht setze sich damit in Widerspruch zu den Datenschutzaufsichtsbehörden und auch zum Landgericht Bonn, „das die Regeln des deutschen Ordnungswidrigkeitengesetzes europarechtskonform ausgelegt hatte“. Über den Streit hatten wir bereits früher berichtet.

Die Kammer begründete ihren Beschluss laut der Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne, sondern nur eine natürliche Person eine Ordnungswidrigkeit „vorwerfbar“ begehen kann. Eine natürliche Person ist im Vergleich zu einer juristischen Person wie sie die Deutsche Wohnen in der Form der Aktiengesellschaft ist, selbst handlungsfähig. Sollten diese Informationen zutreffend sein, so konterkariert die Entscheidung des LG Berlin eben jene des LG Bonn. Letzteres hatte in der o.g. Entscheidung die Haftung seitens der Unternehmen wie dargestellt, angenommen. Unwahrscheinlich erscheint es nicht, dass nun das LG Berlin einer gegenteiligen Ansicht folgt, zumal die Thematik rechtlich nicht unstreitig ist. Es bleibt demnach abzuwarten, ob und wie die Aufsichtsbehörde hierauf reagiert. Kommt es tatsächlich so widerstreitenden Rechtsansichten der Gerichte müssen die gegenständlichen Rechtsfragen im Zweifel höchstrichterlich entschieden werden. Eine Abkehr von der Möglichkeit der Bußgeldsanktionierung stellt dies aber (zunächst) nicht dar.

Aufmerksamkeit erlangte zudem der Bußgeldbescheid der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen gegenüber notebooksbilliger.de AG über 10,4 Millionen Euro. Nach Auffassung der LfD überwachte das Unternehmen unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche, ohne dass dafür eine Rechtsgrundlage vorlag. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig.

In Sachen H&M ging das Unternehmen nicht gegen den Bescheid des HmbBfDI vor und „akzeptierte“ das verhängte Bußgeld in seiner Höhe. Dies lässt selbstverständlich Raum für Spekulationen.

FAZIT

Es wäre deutlich verfrüht von einem Wanken oder sogar einem Scheitern der aufsichtsbehördlichen Bußgeldpraxis zu sprechen. Allerdings lässt sich aus den Leuchtturmverfahren immer häufiger die Tendenz ableiten, dass die Einspruchsverfahren durchaus von Erfolg gekrönt sein können. Sei es aufgrund des fragwürdigen Konzeptes der Bußgeldberechnung oder aber aufgrund umstrittener Rechtsfragen beim Vorliegen der Tatbestandvoraussetzungen des Art. 83 DS-GVO.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

DIE WAHL DES BEWERBUNGSWEGES

Bewerbungen können dem Unternehmen auf zahlreichen Wegen zugehen. Neben der Zusendung auf dem Postweg oder per E-Mail werden hierfür oftmals auch Bewerberportale genutzt. Bei letzterem muss zwingend darauf geachtet werden, dass dieses über eine ausreichende Verschlüsselung nach aktuellem Stand der Technik verfügt. Weiterhin sollte für die Datenverarbeitung innerhalb des Bewerberportals eine Datenschutzerklärung erstellt oder die vorhandene Datenschutzerklärung des Unternehmens ergänzt werden. Kommt im Zusammenhang mit dem Bewerberportal außerdem ein Dienstleister zum Einsatz, ist mit diesem unter Umständen ein Vertrag zur Auftragsverarbeitung abzuschließen.

Wird den Bewerbern angeboten ihre Bewerbungsunterlagen per E-Mail einzusenden, ist ebenfalls dafür zu sorgen, dass eine ausreichende Verschlüsselung gewährleistet wird. Doch auch mit dieser birgt die Zusendung per E-Mail einige Risiken, sodass Formulierungen, nach denen die Bewerbungsunterlagen ausschließlich oder bevorzugt per E-Mail zu versenden sind, vermieden werden sollten. Den Bewerbern soll die Wahl des Bewerbungsweges grundsätzlich ohne Befürchtung von Nachteilen frei zustehen.

VERWALTUNG

Unabhängig des Bewerbungsweges dürfen Bewerbungsunterlagen nur für direkt am Bewerbungsverfahren beteiligte Personen zugänglich sein. Hierzu können beispielsweise die Personalabteilung und der jeweilige Entscheidungsträger gehören. Dementsprechend sollten in der Ausschreibung auch keine allgemeinen E-Mail-Adressen, wie zum Beispiel info@unternehmen.de, sondern stets allein der Personalabteilung zugeordnete E-Mail-Adressen angegeben werden. Bei der Vervielfältigung oder elektronischen Ablage von Bewerbungsunterlagen ist ebenso auf die Einhaltung eines gestuften Berechtigungskonzeptes zu achten. Weiterhin ist dafür Sorge zu tragen, dass Bewerbungsunterlagen niemals frei zugänglich am Arbeitsplatz zurückgelassen werden und stets getrennt von anderen Datensätzen aufbewahrt werden.

AUFBEWAHRUNG & LÖSCHUNG

Auch wenn nach Beendigung des Bewerbungsverfahrens die Daten des Bewerbers nicht mehr benötigt werden, sollten die Bewerbungsunterlagen jedoch keinesfalls sofort vernichtet oder zurückgeschickt werden. Grund hierfür ist, dass der Bewerber nach einer erfolglosen Bewerbung Ansprüche des Allgemeinen Gleichbehandlungsgesetzes (AGG) geltend machen kann, wobei die Bewerbungsunterlagen unter Umständen als Beweismittel dienen können. Um einen derartigen Anspruch geltend zu machen, wird dem Bewerber durch das AGG eine Frist von zwei bis sechs Monaten gegeben. Unter Berücksichtigung von etwaigen Verzögerungen bei der Zustellung ist dementsprechend eine Aufbewahrungsfrist von drei Monaten angemessen. Eine hierüber hinausgehende Aufbewahrung, beispielsweise um den Bewerber für eine andere Stellenausschreibung kontaktieren zu können, bedarf einer Einwilligung des Bewerbers.

Die Pflicht zur Löschung von Bewerbungsunterlagen bezieht sich neben dem Anschreiben, dem Lebenslauf sowie den Zeugnissen auch auf etwa angefertigte Notizen zur Person und Eignung des Bewerbers. Werden postalisch zugesandte Bewerbungsunterlagen nicht zurückgeschickt, sondern im Unternehmen datenschutzgerecht vernichtet, ist der Bewerber hierauf bereits bei der Absage hinzuweisen.

FAZIT

Wie eingangs erwähnt, sind innerhalb des Bewerbungsverfahrens einige datenschutzrechtliche Besonderheiten zu beachten. Die Umsetzung dieser in die Praxis stellt jedoch keinen besonderen Aufwand dar. Wie bei anderen Prozessen auch, empfiehlt es sich unter Abstimmung mit den im Unternehmen am Bewerbungsverfahren beteiligten Personen, ein datenschutzfreundliches Vorgehen zu etablieren. So kann von Beginn an potentiellen Mitarbeitern gezeigt werden, welchen Stellenwert der Datenschutz im Unternehmen hat.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.