DA+

Aufsatz : Das „Radierverbot“ als „Rettung“ vor den umfangreichen DS-GVO-Löschpflichten : aus der RDV 2/2018, Seite 70 bis 76

Lesezeit 24 Min.

Das Löschen von personenbezogenen Daten war schon nach § 35 BDSG eine ernstzunehmende datenschutzrechtliche Verpflichtung, die in der Praxis jedoch nicht immer ganz ernst genommen wurde. Dies liegt nicht nur daran, dass bislang keine nennenswerten Bußgelder für das „Nicht-Löschen“ verhängt wurden, sondern auch daran, dass moderne Datenbankstrukturen, umfangreiche Backup-Konzepte und die entsprechende Unternehmenssoftware bislang keine komfortablen Funktionen zum punktuellen Löschen von personenbezogenen Daten vorgesehen haben (siehe hierzu unter 1.). Ein Verstoß gegen die umfangreichen Löschpflichten aus Art. 17 DS-GVO kann in der Zukunft jedoch mit einem Bußgeld von bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes sanktioniert werden. Dies ist besonders brisant, da eine noch im BDSG vorhandene Ausnahme für die Löschverpflichtung bei einem unverhältnismäßigen Aufwand (§ 35 Abs. 3 Nr. 3 BDSG) im BDSG-neu nicht aufgenommen wurde (siehe hierzu unter 2.). Umso wichtiger wird es in der Zukunft, den Umfang der Ausnahme von Löschpflichten genau zu kennen. Insbesondere müssen die handelsrechtlichen und steuerrechtlichen Aufbewahrungspflichten unter dem Stichwort „Radierverbot“ weit ausgelegt werden (siehe hierzu unter 3.). In einem Fazit wird darauf eingegangen, dass die durch Software verursachten Löschprobleme in der Zukunft auch durch entsprechende Funktionen von Software gelöst werden müssen – was aktuell bei weitem noch nicht flächendeckend der Fall ist. Dies zwingt auch zu entsprechenden vertraglichen Regelungen mit Softwareanbietern (siehe hierzu unter 4.).

I. Gründe für die bisherige Praxis des „Nichtlöschens“ in vielen Unternehmen

Ein Bußgeld war bislang für die Missachtung der Löschpflicht aus § 35 BDSG nicht vorgesehen. Dementsprechend wurden bislang nur wenige Fälle bekannt, in denen Datenschutzaufsichtsbehörden einen Verstoß gegen Löschpflichten rügten. Hierbei standen vorwiegend staatliche Einrichtungen[1], Krankenhäuser und Ärzte[2] oder größere Unternehmen aus einer stark regulierten Branche (wie etwa Banken[3], Telekommunikationsanbieter[4] und die Deutsche Bahn[5]) im Fokus.

Nach Bekanntwerden von Verstößen gegen den Datenschutz haben große Unternehmen ihr Vorgehen meistens und staatliche Einrichtungen möglichst unverzüglich nach den konkreten Vorgaben der Datenschutzbeauftragten angepasst.[6]

Schon aus der geringen Verfolgungspraxis und des geringen Bußgeldrisikos (allenfalls eine weitere Verarbeitung von Daten, die eigentlich hätten gelöscht werden müssen, hätte mit einem Bußgeld sanktioniert werden können) resultierte eine geringe Motivation von Unternehmen an der Löschung von personenbezogenen Daten. Verschiedene Aspekte moderner Software und Datenbanken erschwerten zudem rein praktisch ein systematisches Löschen, wie im Folgenden gezeigt wird.

1. Datenbankstrukturen sehen punktuelles Löschen nicht vor

Moderne Datenbankstrukturen in Unternehmenssoftware wurden durch Mathematiker und Informatiker entwickelt. Hierbei lagen verschiedene Zielsetzungen zugrunde, wie insbesondere ein geringer Verbrauch von Speicherplatz, eine hohe Konsistenz von Daten, die in unterschiedlichen Prozessen genutzt werden oder etwa eine hohe Performance der Datenbank (also geringe Zugriffszeiten). Um dieses Ziel zu erreichen wird in modernen relationalen Datenbanken nicht für jeden einzelnen Geschäftsprozess ein separater Datensatz angelegt. Vielmehr greifen verschiedenste Prozesse auf verschiedenste Teildatensätze zu. Um eine hohe Konsistenz zu erhalten, erfolgt ein ständiger Abgleich zur Konsolidierung und Überarbeitung etwaiger veralteter Daten mit neuen Informationen.

So besteht etwa ein typischer Personaldatensatz aus einer kleinen Tabelle mit Stammdaten und weiteren gesonderten Tabellen für verschiedenste Unternehmensprozesse (z.B. Talent Management, Betriebsrente, Payroll Services, Abmahnungen usw.). Bei einem Löschen der Daten, die für einen Vorgang wichtig sind (so müssen etwa Abmahnungen in der Regel nach ca. drei Jahren aus der Personalakte entfernt werden)[7], muss sichergestellt werden, dass die gelöschten Daten nicht etwa noch von anderen Prozessen benötigt werden. So kann etwa auch nach Ausscheiden des Mitarbeiters nicht einfach der Stammdatensatz gelöscht werden (auch nicht nach Ablauf der Verjährungsfristen etwaiger Ansprüche des Unternehmens oder dem Lauf etwaiger Wettbewerbsverpflichtungen aus dem Arbeitsvertrag). Denn z.B. für den Prozess der Betriebsrente werden nicht nur die gesonderten Datenfelder für die Betriebsrente, sondern zahlreiche einzelne Datenbankrelationen (etwa die Tabelle mit den Stammdaten, aber auch sämtliche Tabellen, die über die Dauer der Betriebszugehörigkeiten etwaiger Unterbrechungen Auskunft geben können) benötigt.

Das sehr schematisch dargestellte Beispiel soll nur das grundsätzliche Problem verdeutlichen. Wem bewusst wird, dass in umfangreicher Unternehmenssoftware eine sehr hohe Anzahl solcher Beziehungen für Arbeitnehmer, für Kunden, für potentielle Kunden, für B2B-Vertragspartner, für Social Media Activities usw. existieren, dem wird klar, dass bei dem Löschen von personenbezogenen Daten häufig sehr vorsichtig vorgegangen werden muss.[8]

2. Punktuelles Löschen häufig softwareseitig nicht vorgesehen

Hinzukommt, dass die heute aktuelle Unternehmenssoftware das punktuelle Löschen von personenbezogenen Daten in vielen Fällen nicht als eine Funktion angeboten hat. Aufgrund der bisher kaum wahrnehmbaren Rechtsverfolgung der Löschpflichten im Unternehmen (aber auch wegen dem bisherigen § 35 Abs. 3 Nr. 3 BDSG)[9] bestand auf Seiten der Softwareanbieter bisher nicht das Bedürfnis, spezifische Funktionen zum systematischen Löschen anzubieten. Solche „Features“ von Software wurden bislang schlichtweg viel zu selten nachgefragt. Der Fokus der Unternehmen lag vielfach eher darauf, maximal viele Daten zu behalten, durch Backup-Funktionen die dauerhafte Sicherung der Daten zu gewährleisten und im Falle einer Migration auf ein neues System möglichst viele der alten Daten mit in neue Softwarelandschaften nehmen zu können. Zudem wurden die steuerrechtlichen und handelsrechtlichen Aufbewahrungsfristen entsprechend der Vorgaben der Behörden ernst genommen.[10] Einer Vielzahl von Backup-Lösungen und Migrationshilfen steht eine nur sehr geringfügige Möglichkeit zum Löschen von personenbezogenen Daten gegenüber. Erst seit die Auswirkungen von Art. 17 DS-GVO langsam bekannter werden, ist nun davon auszugehen, dass die große Mehrzahl der Softwarehersteller das Problem des Löschens systematisch angeht.

Besonders hart trifft es Unternehmen, die umfangreiche individuelle Eigenentwicklungen beauftragt oder selbst erstellt haben. In diesem Fall kann nicht darauf vertraut werden, dass ein namhafter Hersteller von Unternehmenssoftware schon in eigenem Interesse tunlichst bald eine möglichst komfortable Löschfunktion anbieten wird. Hier stehen Unternehmen oftmals vor einem schwierigen, häufig nur sehr aufwändig zu lösenden Problem. In Einzelfällen ist es dem Autor bekannt, dass die letzten verbliebenen „COLBOLD“-Entwickler aus dem Ruhestand geholt werden bzw. der geniale Werksstudent, der Ende der 90er Jahre einen wichtigen Teil einer Unternehmenssoftware erstellt hatte, wiedergefunden werden musste.

3. Backup-Routinen

Das Thema des punktuellen Löschens personenbezogener Daten betrifft auch die Backup-Routinen. In heutigen Zeiten, in denen ein Unternehmen ohne seine Daten kaum mehr handlungsfähig ist – dies hat die Vielzahl der Verschlüsselungstrojaner insbesondere in den letzten anderthalb Jahren gezeigt –, ist es aus Sicht der Unternehmensleitung fahrlässig, nicht über umfangreiche Backups zu verfügen. Eine der heute so wichtigen Cyber-Policen, die ein Unternehmen im Fall des Hackings absichern und wichtige Assistance-Leistungen zur Verfügung stellen, ist am Markt nur abschließbar, wenn entsprechende Backup-Routinen vorhanden sind.[11] Schließlich sind auch zur revisionssicheren Speicherung und damit zur Absicherung der gesetzlichen Aufbewahrungspflichten umfangreiche Backups notwendig, die häufig – in Form eines Jahres-Backups – für die letzten zehn Jahre abgeschlossen wurde. Doch klar ist auch: In diesen Backups sind unzählige personenbezogene Daten gespeichert, die nach reiner Anwendung der Löschpflichten gelöscht werden müssen. Es steht zu hoffen, dass in der Zukunft Spezial-Software eine Lösung hierfür bieten kann.

II. Verpflichtung zur Löschung nach Art. 17 DS-GVO

1. Die Tatbestände von Art. 17 DS-GVO im Überblick

Die wesentlichen Tatbestände von Art. 17 DS-GVO kann man als ein „Spiegelbild“ der Erlaubnistatbestände und gleichsam des „Zweckbindungsgrundsatzes“ ansehen. Grundsätzlich muss für jeden Zweck der Datenverarbeitung ein Erlaubnistatbestand gegeben sein, der in dem Moment nicht mehr erfüllt ist, in dem der ursprüngliche Zweck erfüllt wurde und kein weiterer legitimer Zweck hinzugekommen ist.[12] Dementsprechend ordnet Art. 17 Abs. 1 lit. a DS-GVO an, dass personenbezogene Daten zu löschen sind, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Diese Formulierung erfasst auch die Verarbeitung von personenbezogenen Daten auf Basis von Erlaubnistatbeständen. Der Begriff „Notwendigkeit“, der im „Lösch-Tatbestand“ nach Art. 17 DS-GVO die Verknüpfung zwischen einzelnen Daten und der Zweckerreichung (nicht mehr „notwendig“ zur Erfüllung eines bestimmten Zweckes) darstellt, ist das zentrale Tatbestandsmerkmal. Dies entspricht der Formulierung der Erlaubnistatbestände, die ihrerseits darauf abstellen, dass eine Datenverarbeitung zur Durchführung eines Vertrages oder zur Wahrung der berechtigten Interessen „erforderlich“ ist (siehe Art. 6 Abs. 1 lit. b und lit. f DS-GVO). Der Begriff der Notwendigkeit in Art. 17 DS-GVO muss daher identisch ausgelegt werden wie der Begriff der Erforderlichkeit in Art. 6 Abs. 1 DS-GVO.[13] Der Wortlaut aus Art. 17 Abs. 1 lit. a DS-GVO erfasst mithin auch die Löschung von Daten, die auf Basis einer Einwilligungserklärung verarbeitet wurden, soweit die Verarbeitung nicht mehr notwendig zur Erfüllung des mit der Einwilligung verbundenen Zweckes ist. Klargestellt wurde in Art. 17 Abs. 1 lit. b DS-GVO jedoch auch, dass nach einem Widerruf einer Einwilligungserklärung die Daten zu löschen sind, soweit keine andere Rechtsgrundlage für die Verarbeitung zur Verfügung steht.[14] Gleiches gilt für etwaige Widersprüche gegen eine Datenverarbeitung, die auf Basis des berechtigten Interesses stattfindet; entsprechende Widersprüche sind nach Art. 21 Abs. 1 und Abs. 2 DS-GVO möglich. Im Fall eines Widerspruchs nach Art. 21 DS-GVO besteht jedoch ein wichtiger Unterschied im Gegensatz zum Widerruf einer Einwilligungserklärung: Art. 17 Abs. 1 lit. c DS-GVO, der die Löschpflicht bei einem Widerruf nach Art. 21 DS-GVO regelt, formuliert nämlich nicht ausdrücklich, dass Daten behalten werden dürfen, wenn eine anderweitige Rechtsgrundlage für die Verarbeitung zur Verfügung steht.[15]

Sehr absolut formuliert Art. 17 Abs. 1 lit. f DS-GVO, dass personenbezogene Daten unverzüglich zu löschen sind, sofern diese „in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben“ wurden. Damit kann freilich nicht gemeint sein, dass diese Daten unmittelbar nach dem Erheben unverzüglich zu löschen sind, denn dies käme einem vollständigen Verarbeitungsverbot gleich.[16] Vielmehr hilft bei der Interpretation dieses missglückten Wortlauts wiederum der Grundsatz, dass Art. 17 Abs. 1 DS-GVO als das Spiegelbild der Erlaubnistatbestände zu sehen ist. Soweit die Verarbeitung von personenbezogenen Daten eines Kindes in Bezug auf einen Dienst der Informationsgesellschaft[17] auf Basis einer Einwilligungserklärung nicht mehr verarbeitet werden kann (etwa weil die Einwilligungserklärung abgelaufen ist oder ein Widerruf der Einwilligungserklärung erfolgte), so sind die entsprechenden Daten zu löschen.

Dass schließlich personenbezogene Daten, die unrechtmäßig verarbeitet wurden, zu löschen sind (Art. 17 Abs. 1 lit. d DS-GVO) und dass personenbezogene Daten zu löschen sind, wenn dies ein Gesetz ausdrücklich anordnet (Art. 17 Abs. 1 lit. e DS-GVO), versteht sich von selbst.

2. Verpflichtung zur Löschung auch ohne Anspruch des Betroffenen

Es ist wichtig zu betonen, dass die Verpflichtung zur Löschung von personenbezogenen Daten auch dann gilt, wenn kein Betroffener einen entsprechenden Anspruch geltend gemacht hat.[18] Art. 17 DS-GVO enthält insoweit eine systematische Besonderheit gegenüber den benachbarten Vorschriften. Art. 16 und Art. 18 DS-GVO verpflichten einen Verantwortlichen nur zu einer Handlung, wenn ein Betroffener einen entsprechenden Anspruch geltend macht. Art. 17 Abs. 1 DS-GVO formuliert jedoch ausdrücklich, dass nicht nur jeder Betroffene jederzeit einen Anspruch auf Löschung stellen kann, sondern dass auch der Verantwortliche unabhängig davon zur Löschung verpflichtet ist, wenn einer der oben genannten Tatbestände eintrifft.[19]

3. Probleme der Bestimmung der Löschpflichten im Einzelfall

Was zu einer Löschverpflichtung führt, ist nicht in jedem Einzelfall exakt bestimmbar.[20] Daten, die zum Zweck der Durchführung eines Vertrages erhoben wurden, sind erst dann nicht mehr „erforderlich“ für die Durchführung des Vertrages, wenn alle damit einhergehenden Pflichten der Parteien erfüllt worden sind.[21] Hierbei kann nach teilweise vertretener Ansicht auf den Zeitpunkt der Verjährung der Vertragsansprüche abgestellt werden.[22] Aber bereits diese Grundsatzfrage ist umstritten.[23]

Noch schwieriger ist die Bestimmung des Zeitpunktes, ab dem die Rechte des Betroffenen zur Löschung das berechtigten, Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DS-GVO überwiegen.[24] Maßgeblich sind keine starren Fristen, sondern vielmehr eine individuelle Entscheidung für jeden Einzelfall,[25] was – insbesondere in Ermangelung von als Orientierungshilfe dienender Rechtsprechung – mit Rechtsunsicherheit für den Verantwortlichen der Datenverarbeitung verbunden ist.[26] Wie lange darf eine Aufnahme aus einer Videoüberwachung gespeichert werden, wann ist ein Persönlichkeitsprofil im Rahmen personalisierter Onlinewerbung zu löschen, wie ist die legitime Speicherfirst für Webserver-Logfiles und wann sind im Rahmen des berechtigten Interesses übermittelte Daten innerhalb eines Konzerns von den einzelnen Konzerngesellschaften zu löschen? Der Theorie nach kann der Zeitpunkt, ab dem die genannten Daten zu löschen sind, jeweils genau bestimmt werden. In der Praxis ist mangels Rechtsprechung schon die Prüfung, ob überhaupt im Rahmen von Art. 6 Abs. 1 lit. f DS-GVO Daten verarbeitet werden dürfen, mit Unwägbarkeiten behaftet. Dies potenziert sich für die Frage des Eintritts der Löschpflichten.

Insgesamt wirken sich hier wiederum die Unbestimmtheit und die generalklauselartige Formulierung der datenschutzrechtlichen Erlaubnistatbestände aus. Hätte der Gesetzgeber den Weg gewählt, für die modernen Phänomene wie Smart Home, Industrie 4.0, Internet of Things und für viele andere Bereiche des modernen Lebens eine spezifische Regelung zu treffen, wäre auch mit spezifischen Löschvorgaben zu rechnen gewesen. Der Europäische Gesetzgeber hat sich jedoch auf Kosten des Rechtsstaatsprinzips[27] gegen eine klare Regelung – bzw. positiv formuliert für die viel betonte „Technikneutralität“[28] der DS-GVO – entschieden. Ob der nationale Gesetzgeber überhaupt noch Rechtssicherheit schaffen kann – wie etwa im Bereich Smart-Meter-Datenschutz versucht wurde[29] – muss angesichts des Vorgangs der DS-GVO weitestgehend bezweifelt werden.

4. Hinweise der Aufsichtsbehörden

In den vielen bisherigen Papieren der Art. 29-WorkingParty, der Datenschutzkonferenz (DSK) und der einzelnen Datenschutzaufsichtsbehörden wurde bislang nicht vertieft auf das Thema des Löschens von personenbezogenen Daten eingegangen. Einzig ein entsprechendes Kurzpapier des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) ist hier hervorzuheben,[30] welches zwischenzeitlich durch ein Papier der Datenschutzkonferenz (DSK) ersetzt wurde.[31] Ein Hinweis des BayLDA am Ende des ursprünglichen Kurzpapiers war sehr aufschlussreich: „Wie die Anforderungen des Art. 17 Abs. 1 DS-GVO in der Praxis durch die Verantwortlichen umzusetzen sind, lässt sich der DS-GVO nicht ohne weiteres entnehmen. Umso wichtiger ist es, dass der europäische Datenschutzausschluss so schnell wie möglich Leitlinien, Empfehlungen und bewehrte Verfahren zum Art. 17 DS-GVO bereitstellt. Dies hilft nicht nur den Verantwortlichen, sondern ist auch für die Aufsichtsbehörde entscheidend – denn diese haben künftig die Befugnis, die Vorgaben des Art. 17 durchzusetzen.“[32]

Diese Aussage findet sich in dem aktuellen Papier der DSK leider nicht mehr, auch wenn sich inhaltlich keine Klarstellung ergeben hat. Es bleibt zu hoffen, dass die Datenschutzaufsichtsbehörden mit strengen Bußgeldern und detaillierten Verfügungen auch erst ab dem Moment vorgehen, ab dem spezifischere Vorgaben existieren, der Verstoß gegen das Rechtsstaatsprinzip läge ansonsten auf der Hand.[33] Dies kann freilich nicht als ein Freibrief für Unternehmen verstanden werden. Insbesondere wenn Unternehmen nicht über einheitliche Löschkonzepte verfügen und eine hohe Anzahl von personenbezogenen Daten in Altbeständen besteht, ist dringender Handlungsbedarf angezeigt. Dies dürften auch – bei allem Respekt vor der Unbestimmtheit der Vorgaben der DS-GVO – die Datenschutzaufsichtsbehörden nicht anders sehen.

5. Keine Angemessenheitsprüfung

In der Praxis mussten die Löschverpflichtungen bislang auch deshalb nicht so ernst genommen werden, weil gemäß § 35 Abs. 3 BDSG an die Stelle einer Löschung auch eine Sperrung treten konnte, soweit „eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist“. Freilich handelte es sich um eine Ausnahmevorschrift, die dementsprechend eng auszulegen war.[34] Betrachtet man jedoch die oben skizzierte Praxisprobleme (siehe unter 1.), die mit dem Löschen von personenbezogenen Daten in größeren Datenbankstrukturen einhergehen, und nimmt noch die nahezu faktisch unmögliche Problematik des Löschens in Backups hinzu, liegt es nahe, den Ausnahmetatbestand aus § 35 Abs. 3 Nr. 3 BDSG-alt häufig anzuwenden.[35]

Eine mit § 35 Abs. 3 Nr. 3 BDSG-alt vergleichbare Regelung enthält die DS-GVO nicht. Der deutsche Gesetzgeber hatte es allerdings in der Hand, auf Basis von Art. 23 DSGVO für Deutschland eine ähnliche oder gleiche Regelung zu erlassen, die das Recht aus Art. 17 DS-GVO eingeschränkt hätte. Indes hat sich der deutsche Gesetzgeber in § 35 Abs. 1 BDSG-neu dazu entschieden, eine Regelung mit deutlich verringertem Anwendungsbereich zu erlassen: Nur die Verpflichtung zur Löschung von Papierdaten kann bei unverhältnismäßig hohem Aufwand durch eine Einschränkung der Verarbeitung nach Art. 18 DS-GVO ersetzt werden.

6. Pflicht zur Dokumentation und Offenlegung der Löschpflichten

Gemäß der umfangreichen Transparenzvorschriften und Dokumentationspflichten der DS-GVO ist jeder Verantwortliche gezwungen, seine Handhabung der Löschpflichten offenzulegen. Selbst für kleinere Unternehmen, die aufgrund der Ausnahmeregelung aus Art. 30 Abs. 5 DS-GVO jedenfalls kein umfangreiches Verzeichnis der Verarbeitungstätigkeiten führen müssen,[36] gilt die Verpflichtung gemäß Art. 13 Abs. 2 lit. a bzw. 14 Abs. 2 lit. a DS-GVO, wonach der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der Daten Informationen über die Dauer der Datenspeicherung – oder jedenfalls die Kriterien der Festlegung der Datenspeicherung – zur Verfügung stellt. Wann in der Praxis diese Voraussetzung erfüllt ist, muss wiederum im Rahmen der Datenverarbeitungsvorgänge, die sich auf Art. 6 Abs. 1 lit. f DS-GVO stützen, kritisch hinterfragt werden. Der abstrakte Hinweis darauf, dass die Löschpflicht eintritt, wenn die Daten nicht mehr notwendig zur Erfüllung der berechtigten Interessen sind, dürfte wohl kaum als hinreichend transparent gelten.[37] Wenn, wie für die Dauer der Speicherung von Logfiles,[38] eine klare Vorgabe der Rechtsprechung besteht, lässt sich diese präzise und transparent angeben? Für alle anderen Fälle bleibt dem jeweiligen Verantwortlichen nichts anderes übrig als sich eine Speicherdauer selbst auszudenken und mit möglichst umfangreichen und validen Argumenten zu begründen, weshalb gerade diese Speicherfrist für adäquat gehalten wird.

Gleiches gilt für jegliche interne Dokumentation, sei es im Rahmen von Art. 30 Abs. 1 lit. f DS-GVO, der Rechenschaftspflichten gemäß Art. 5 Abs. 2 DS-GVO oder der Pflicht des Verantwortlichen aus Art. 24 Abs. 1 DS-GVO, „technische und organisatorische Maßnahmen“ umzusetzen, mit deren Hilfe der Nachweis erbracht werden kann, dass die Datenverarbeitung verordnungsgemäß erfolgt.

III. Ausnahme von der Löschpflicht

Art. 17 Abs. 3 DS-GVO enthält Ausnahmetatbestände, in denen die Löschverpflichtung nach Art. 17 Abs. 1 DS-GVO entfällt. Nach dem in der Praxis wohl wichtigsten Ausnahmetatbestand (Art. 17 Abs. 3 lit. b Var. 1 DS-GVO) gilt die Löschverpflichtung nicht, wenn „die Verarbeitung erforderlich ist zur Erfüllung einer rechtlichen Verpflichtung“, wobei hierbei nur rechtliche Vorgaben der EU oder der Mitgliedsstaaten in Betracht kommen. Die Erlaubnis der weiteren Speicherung der Daten für die Zwecke der Erfüllung der gesetzlichen Aufbewahrungsfristen ergibt sich im Übrigen parallel auch aus Art. 6 Abs. 1 lit. c DS-GVO, nach dem die Verarbeitung von personenbezogenen Daten rechtmäßig ist, soweit dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

1. Reichweite der handelsrechtlichen Aufbewahrungspflichten

Gemäß § 257 HGB und § 147 AO sind Handelsbriefe sechs Jahre nach dem Abschluss der Durchführung des Handelsgeschäfts aufzubewahren. Der Begriff des Handelsbriefs erfasst dabei sämtliche Schriftstücke, die im Zusammenhang mit der Vorbereitung, dem Abschluss oder der Durchführung eines Handelsgeschäfts stehen.[39] Somit werden etwa Verträge und Vertragsdaten, Kommunikationen während der Vertragslaufzeit über den Vertrag, Entwürfe und die entsprechende Kommunikation im Rahmen der Entwürfe von der Aufbewahrungspflicht erfasst. Dies ist etwa wichtig, um zu begründen, weshalb nicht nur der geschlossene Vertrag an sich, sondern etwa auch sämtliche E-Mails, die im Vorfeld des Vertragsabschlusses und während der Vertragslaufzeit versendet wurden, mindestens sechs Jahre nach Ende des Vertrages gespeichert werden müssen.

2. Hinweise des BMF zu elektronischer Buchführung

Zehn Jahre lang müssen Buchungsbelege aufbewahrt werden, hiervon sind sämtliche Belege umfasst, die Grundlagen für eine Buchung sind. Dies können auch ganz triviale Notizen, interne Anweisungen, Kontoauszüge oder eher typische Buchungsbelege, wie etwa Rechnungen, Rechnungskopien, Zinsberechnungen usw. sein.[40] Die Aufbewahrungsfrist beginnt in dem Moment, in der Buchungsbeleg entstanden ist (§ 257 Abs. 5 HGB, § 147 Abs. 4 AO).

Zahlreiche Normen aus dem HGB und der AO weisen darauf hin, dass die Daten stets konsistent und damit eben „revisionssicher“ sein müssen. So dürfen Eintragungen und Aufzeichnungen gemäß § 146 Abs. 4 AO und § 239 Abs. 3 HGB in Handelsbüchern nicht so verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Dies bedeutet, dass über jede Veränderung ein entsprechendes Protokolldatum existieren muss, welches die Veränderung vollständig nachvollziehbar macht. Insbesondere der Zeitpunkt einer Veränderung muss jederzeit einsehbar sein. Auch dies zeigt insgesamt: Die Aufbewahrungspflichten müssen umfassend sein. Als Grundsatz ordnet § 239 Abs. 2 HGB zudem an, dass die Eintragungen in Büchern „vollständig“ sein müssen.

Das Bundesministerium der Finanzen (BMF) weist in seinem Rundbrief an die Finanzbehörden betreffend der „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ auf Folgendes hin: Neben den außersteuerlichen und steuerlichen Büchern, Aufzeichnungen und sonstigen Geschäftsunterlagen sollen darüber hinaus auch sämtliche weitere Unterlagen aufbewahrt werden, die „zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind.“[41] Hierbei beruft sich das BMF auf ein Urteil des Bundesfinanzhofs vom 24.06.2009,[42] in welchem zudem darauf hingewiesen wird, dass sich die Pflicht zur Aufbewahrung auch dann auf die elektronische Dokumentation bezieht, wenn parallel auch Aufzeichnungen in Papierform über denselben Vorgang aufbewahrt werden.[43]

3. Das Konzept des „Radierverbots“

Das Prinzip, welches hinter dieser sehr weiten Auslegung der Aufbewahrungspflichten steht, ist schon sehr alt, was an dem Namen „Radierverbot“ deutlich wird. Im Rahmen einer Überprüfung der Handelsbücher und steuerlichen Unterlagen darf schon seit alters her keine Stelle auffallen, in der eine Radierung vorgenommen wurde. Dieser Gedanke ist auf die modernen Datenbankstrukturen zu übertragen: Wenn erkennbar ist, dass ein Datenfeld, eine E-Mail, ein Kalendereintrag oder eine digitale Notiz für eine Buchung in irgendeinem Zusammenhang mit einem aufbewahrungspflichtigen Vorgang steht, so können diese keinesfalls vor Ablauf der Aufbewahrungsfrist gelöscht werden. Ansonsten würde bei einer steuerlichen Prüfung die Frage aufkommen, welche Informationen in dem entsprechenden Datenfeld gespeichert waren. Aus Sicht der Steuerfahndung ist gerade der Hinweis darauf, dass bestimmte Informationen gelöscht wurden, andere aber nicht, ein typischer Verdachtsmoment. Im Rahmen eines großen Compliance-Skandals, in dem ein Unternehmen nachweisen muss, dass keine Wirtschaftsstraftaten begangen wurden und dass sämtliche Steuern ordnungsgemäß abgeführt wurden, wäre es fatal, wenn eine Vielzahl von Lücken in den Büchern (bzw. Datenbankstrukturen) vorläge, die durch einen – datenschutzrechtlich gut gemeinten – „vorauseilenden Gehorsam“ entstanden ist, obwohl dies angesichts einer gesetzlichen Aufbewahrungspflicht nicht notwendig gewesen wäre.

IV. Fazit – Problem muss durch Software gelöst werden

Angesichts der komplexen Datenbankstrukturen und der Software, die ein punktuelles Löschen nicht vorsehen, sowie der Backups, die ein Löschen von Daten durchaus noch kompliziert machen, ist der Fokus auf die Softwareentwicklung zu legen. Nur damit kann es gelingen, den rechtlichen Dokumentations- und Nachweisverpflichtungen einerseits sowie dem Grundsatz der Datenminimierung und insbesondere den Löschverpflichtungen andererseits gerecht zu werden. Die „Komplexität“ und die Probleme der Löschpflichten, die durch die Digitalisierung geschaffen wurden, lassen sich langfristig auch nur adäquat durch digitale Hilfen wieder in den Griff bekommen. Office Software, E-Mail-Clients, CRMSysteme und HR-Software und Backuplösungen werden – in ferner Zukunft – das Problem des Löschens idealerweise weitestgehend von selbst erledigen. Bis dahin ist es tatsächlich noch ein weiter Weg. Sollten Datenschutzaufsichtsbehörden demnach frühzeitig gegen das „NichtLöschen“ in Unternehmen vorgehen, wird sich die Frage stellen, wer die Kosten für diese aufwendigen Löschprojekte zu tragen hat. In diesem Rahmen ist die Frage denkbar, ob eine Software, die nicht dazu in der Lage ist, die Vorgaben der DS-GVO umzusetzen (bzw. dies jedenfalls nicht ohne nennenswerten Aufwand ermöglicht), als mangelhaft anzusehen ist.[44] Etwaige Kosten von Unternehmen könnten im Falle der Mangelhaftigkeit der Software im Wege eines Gewährleistungsanspruchs geltend gemacht werden. Aus Sicht der Softwareunternehmen sollte (spätestens bei neuen Verträgen ab dem 25.05.2018) auf Ebene der Beschaffenheitsvereinbarung deutlich darauf hingewiesen werden, inwiefern ein vollautomatisiertes Löschen zur Erfüllung der Verpflichtung aus Art. 17 DS-GVO bereits vorgesehen ist. Dass ein entsprechender Hinweis nicht gerade „marketingträchtig“ ist, versteht sich von selbst.

Dr. Lutz M. Keppeler ist Rechtsanwalt in der unabhängigen deutschen Kanzlei Heuking Kühn Lüer Wojtek. Er berät nationale und internationale Mandanten aller Größen (vom Startup zum Weltkonzern) zu allen Fragen des Datenschutzrechts, IT-Sicherheitsrecht und Open Source-Lizenzrechts. Zu den genannten Themengebieten hält er regelmäßig Vorträge.

[1] Z.B. TB 2012/13 LfDI Baden-Württemberg, S. 119 (Schule); TB 2010/11 LfDI Baden-Württemberg, S. 62 (Justiz); TB 2007 BfD Baden-Württemberg, S. 100 (Bürgerbüro); JB 2015 BlnBDI, S. 66 (Kammergericht); JB 2013 BlnBDI, S. 74 (Justizvollzug); JB 2008 BlnBDI, S. 153 f. (öffentliche Register); TB 2015 DSB Hessen, S. 27, 37, TB 2014 DSB Hessen, S. 95 (Justiz); DIB 2013/14 LDI NRW, S. 73 (Kommune); DIB 2007/08 LDI NRW, S. 21 (Bürgerbüro); TB 2015/16 ULD Schleswig-Holstein, S. 41 (Justiz); TB 2013/14 ULD Schleswig-Holstein, S. 38 (Polizei).

[2] Z.B. TB 2010/11 LfDI Baden-Württemberg, S. 98; JB 2014 BlnBDI, S. 181; JB 2008 BlnBDI, S. 183; TB 2007 ULD Schleswig-Holstein, S. 60

[3] Z.B. JB 2015 BlnBDI, S. 133; JB 2014 BlnBDI, S. 115; JB 2008 BlnBDI, S. 137; DIB 2009/10 LDI NRW, S. 36; TB 2010 ULD SchleswigHolstein, S. 90.

[4] Z.B. TB 2009/10 BayLDA, S. 30; DIB 2011/12 LDI NRW, S. 125; TB 2009 ULD Schleswig-Holstein, S. 122; TB 2008 ULD Schleswig-Holstein, S. 118, 183.

[5] Z.B. JB 2016 BlnBDI, S. 73; JB 2011 BlnBDI, S. 69; JB 2010 BlnBDI, S. 88.

[6] Exemplarisch: Datenschutz- und Informationsfreiheitsbericht 2017 vom LDI NRW, S. 32 (Verfassungsschutz), S. 36 (Polizeibehörde); Jahresbericht BlnBDI 2013, S. 71 (bahn.bonus-Programm der Deutschen Bahn); Jahresbericht BlnBDI 2009, S. 194 ff. (Google Street View).

[7] Es sei denn der Arbeitnehmer hat ausnahmsweise noch ein weiteres berechtigtes Interesse an der Dokumentation der gerügten Pflichtverletzung (siehe BAG, Urteil vom 19.07.2012 – 2 AZR 782/11 – BAGE 142, 331 ff., AP BGB § 611 Abmahnung Nr. 34). (Rolfs, in: ders./ Giesen/Kreikebohm/Udsching (Hrsg.), BeckOK Arbeitsrecht, KSchG, § 1 Rn. 249). Selbst nach 3 ½ Jahren verliere eine Abmahnung daher nicht zwingend ihre Wirkung (BAG Urteil vom 10.10.2002 – 2 AZR 418/01 –, NZA 2003, 1295).

[8] Siehe hierzu ausführlich Anke/Berning/Schmidt/Zinke, IT-gestützte Methodik zum Management von Datenschutzanforderungen, HMD Praxis der Wirtschaftsinformatik 54 (1), Heft 313, 2017, S. 67–83. Berning/Meyer/Keppeler, Datenschutzkonformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO, in: Knoll/Strahringer (Hrsg. IT-GRC-Management – Governance, Risk und Compliance: Grundlagen und Anwendungen (Edition HMD), S. 185–198; Keppeler/ Berning, ZD 2017, 314–319

[9] Siehe unten unter 2. e).

[10] Siehe hierzu nur die Vorgaben des Bundesministeriums in dem Schreiben „Grundsatz zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form, sowie zum Datenzugriff (GoBD), Stand 14.11.2014“.

[11] Achenbach, VersR 2017, 1493 ff.

[12] Vgl. Leutheusser-Schnarrenberger, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO, Art. 17 Rn. 17.

[13] In diesem Sinne auch Veil, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 17 Rn. 92; Kamann/Braun, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 17 Rn. 9 und 20 und Paal, in: ders./Pauly (Hrsg.), DS-GVO, Art. 17 Rn. 23.

[14] Dazu Leutheusser-Schnarrenberger, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO, Art. 17 Rn. 21.

[15] A.A. Schneider, CR 2017, 568–573

[16] So auch Nolte/Werkmeister, in: Gola (Hrsg.), DS-GVO, Art. 17 Rn. 27.

[17] Siehe zu dem Begriff Dienst der Informationsgesellschaft Art. 4 Nr. 25 DS-GVO.

[18] Leutheusser-Schnarrenberger, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO, Art. 17 Rn. 12.

[19] Ebenso Veil, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 17 Rn. 43 ff.; Nolte/Werkmeister, in: Gola (Hrsg.), DSGVO, Art. 17 Rn. 7; Paal, in: ders./Pauly (Hrsg.), DS-GVO, Art. 17 Rn. 20.

[20] Siehe hierzu auch Keppeler/Berning, ZD 2017, 314, 316, auch im Hinblick auf Löschpflichten bei Einwilligungserklärungen, ferner gibt auch Leutheusser-Schnarrenberger, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO, Art. 17 Rn. 17 zu, dass die Löschtatbestände „in der Anwendung etwas kompliziert“ werden

[21] Veil, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 17 Rn. 95.

[22] Kamlah, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, § 35 BDSG, Rn. 19; Veil, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 17 Rn. 95; siehe die Darstellung des Streitstandes bei Kühling/ Klar, ZD 2014, 506 (507).

[23] A.A. Dix, in: Simitis, BDSG, 8. Aufl. 2014, § 35 Rn. 38; Gola/Klug/ Körffer, in: Gola/Schomerus, BDSG, 12. Aufl. 2015, § 35 Rn. 13a; Gassner/Schmidl, RDV 2004, 153, 155 f., die letztlich für eine Abwägungslösung plädieren; ähnlich Leutheusser-Schnarrenberger, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO, Art. 17 Rn. 62 im Hinblick auf die Ausnahme von der Löschpflicht aus Art. 17 Abs. 3 lit. a DS-GVO.

[24] Veil, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 17 Rn. 95, Kamlah, in: Plath (Hrsg.), BDSG/DS-GVO, Art. 17 Rn. 9.

[25] Kamlah, in: Plath (Hrsg.), BDSG/DS-GVO, § 35 Rn. 19.

[26] Veil, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 17 Rn. 94

[27] Siehe Keppeler/Schenk-Busch, BRJ 1/2018, 23–30

[28] Kritisch hierzu etwa Sydow/Kring, ZD 2014, 271–276.

[29] Siehe zu den begrenzten Möglichkeiten, die der Gesetzgeber freilich ignoriert hat, Keppeler, EnWZ 2016, 99–104.

[30] Https://www.lda.bayern.de/media/baylda_ds-gvo_4_right_to_be_ forgotten.pdf.

[31] Siehe https://www.lda.bayern.de/media/dsk_kpnr_11_vergessenwerden.pdf.

[32] Https://www.lda.bayern.de/media/baylda_ds-gvo_4_right_to_be_ forgotten.pdf, S. 2

[33] Dazu Feldmann, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 83 Rn. 35 und allgemein Keppeler/Schenk-Busch, BRJ 1/2018, 23–30.

[34] Dies betonen Dix, in: Simitis (Hrsg.), BDSG, § 25 Rn. 50; Däubler, in: ders./Klebe/Wedde/Weichert (Hrsg.), BDSG, § 35 Rn. 27; Meents, in: Taeger/Gabel (Hrsg.), BDSG, § 35 Rn. 35; Hilbrans, in: Däubler/Hjort/ Schubert/Wolmerath (Hrsg.), Arbeitsrecht, BDSG § 35 Rn. 7–9.

[35] Überwiegend wurde vor allem der Effekt der Kostenersparnis von § 35 Abs. 3 BDSG betont (so Kamlah, in: Plath (Hrsg.), BDSG/DS-GVO, § 35 Rn. 36 sagt zu § 35 Abs. 3 Nr. 3 BDSG; Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, BDSG, § 35 Rn. 39.

[36] Siehe zur Begrenzung der gesamten Dokumentationspflicht bei Vorliegen der Ausnahme aus Art. 30 Abs. 5 DS-GVO Veil, in: Gierschmann/Schlender/Stentzel/Veil (Hrsg.), DS-GVO, Art. 24 Rn. 63.

[37] Siehe zu den allgemeinen Anforderung an die Transparenzpflichten Frank, in: Gola (Hrsg.), DS-GVO, Art. 12 Rn. 17 ff.

[38] Das Urteil des LG Berlin in dem Streit um die Speicherdauer für Logfiles (und um den Personenzug für IP-Adressen) wird für 2018 erwartet. Siehe hierzu auch BGH Urteil vom 16.05.2017 – VI ZR 135/13 m. Anm. Keppeler

[39] § 257 Abs. 2 HGB und ferner Regierer, in: Häublein/Hoffmann-Theinert (Hrsg.), BeckOK HGB, § 257 Rn. 7.

[40] Buchungsbelege sind alle für die Dokumentation und den Beweis erforderlichen Unterlagen, die mit der Buchung im Zusammenhang stehen, Ballwieser, in: Schmidt (Hrsg.), MüKo HGB, § 257 Rn. 13.

[41]Http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/Datenzugriff_GDPdU/2014-11-14-GoBD.pdf;jsessionid=E41CF0015967343A12 52D95CB7032733?__blob=publicationFile&v=3, Rn. 5.

[42] BFH, Urteil vom 24. Juni 2009 – VIII R 80/06 – = BFHE 225, 302, BStBl II 2010, 452.

[43] BFH, Urteil vom 24. Juni 2009 – VIII R 80/06 –, Rn. 23, juris = BFHE 225, 302, BStBl II 2010, 452

[44] Schuster/Hunzinger, CR 2017, 141, 147.