Jeder Betrof­fe­ne hat das Recht, unter den gesetz­li­chen Vor­aus­set­zun­gen und im gesetz­li­chen Umfang die Löschung sei­ner per­so­nen­be­zo­ge­nen Daten zu ver­lan­gen. Dabei trifft den Ver­ant­wort­li­chen neben der Lösch­pflicht aller­dings auch die Pflicht, die Löschung der Daten nachzuweisen.

Hier ent­steht viel­fach ein Dilem­ma, da der Nach­weis der Per­so­nen­da­ten­lö­schung häu­fig die Spei­che­rung von eben die­sen Per­so­nen­da­ten erfor­dert. So stellt sich in der Pra­xis neben der Fra­ge »wie« der gesetz­li­che Nach­weis zu erbrin­gen ist, auch die Fra­ge »wann« die­se Nach­weis­da­ten end­gül­tig gelöscht wer­den können.

Wür­de die Rechen­schafts­pflicht – durch­aus begründ­bar – zeit­lich unbe­grenzt gel­ten, wür­de dies zu einer eben­falls zeit­lich unbe­grenz­ten Spei­che­rung eben gera­de der Daten füh­ren, die durch den Anspruch auf Löschung end­gül­tig »ver­schwin­den sol­len«. ” – Mat­thi­as Herkert

Von der DSGVO über das BDSG zum OWiG

Die Pflicht zum Nach­weis der Daten­lö­schung ergibt sich, anders als die Pflicht zur Löschung sel­ber, aus der all­ge­mei­nen Rechen­schafts­pflicht des Arti­kel 5 Abs. 2 DSGVO. Soweit die Löschung nun nicht nach­ge­wie­sen wer­den könn­te, stün­de das Risi­ko einer Sank­tio­nie­rung über Arti­kel 83 DSGVO im Raum, für des­sen Ahn­dung über § 41 Abs. 1 BDSG das Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) sinn­ge­mäß gel­ten soll.

Und wäh­rend sich weder in der DSGVO noch im BDSG Ver­jäh­rungs­vor­schrif­ten fin­den, sieht das im Gesetz über Ord­nungs­wid­rig­kei­ten schon ganz anders aus.

Denn dort ergibt sich aus § 31 Abs. 2 Nr. 1 OWiG für Ord­nungs­wid­rig­kei­ten, die mit Geld­bu­ße im Höchst­maß von mehr als fünf­zehn­tau­send Euro bedroht sind – und über Arti­kel 83 Abs. 5 lit. b DSGVO ste­hen im Fall der Nicht­er­fül­lung eines berech­tig­ten Löscher­su­chens immer­hin bis zu 20.000.000 EUR im Raum – eine Ver­fol­gungs­ver­jäh­rung von drei Jahren.

Vom Beginn der Ver­jäh­rung des Nach­wei­ses der Erfül­lung von Betroffenenanfragen

Die Ver­jäh­rung beginnt im OWiG nicht wie im Zivil­recht grund­sätz­lich üblich mit dem Schluss des jewei­li­gen Kalen­der­jah­res, son­dern gemäß § 31 Abs. 3 S. 1 OWiG, sobald die Hand­lung been­det ist bezie­hungs­wei­se sobald der zum Tat­be­stand gehö­ren­de Erfolg ein­ge­tre­ten ist.

Die »Hand­lung« wäre in die­sem Fall wohl begründ­bar die ver­meint­li­che Nicht­er­fül­lung des Löscher­su­chens der betrof­fe­nen Per­son bezie­hungs­wei­se der letz­te Tag, am dem das begrün­de­te Löscher­su­chen hät­te erfüllt wer­den müs­sen. Mit­hin beginnt die Ver­jäh­rung mit dem Datum des Ein­gangs des Löscher­su­chens zuzüg­lich einer ange­mes­se­nen Frist, die dem Ver­ant­wort­li­chen für des­sen Prü­fung und Erfül­lung ein­zu­räu­men ist, die jedoch die Monats­frist des Arti­kel 12 Abs. 3 S. 1 DSGVO nicht über­schrei­ten darf.

Nun geht es in die Tie­fen der Berech­nung von Fristen

Wäh­rend es in der Ver­tei­di­gung gegen­über Auf­sichts­be­hör­den wegen einer mut­maß­li­chen Ver­let­zung von Betrof­fe­nen­rech­ten durch­aus auch mal auf einen ein­zel­nen Tag ankom­men mag, wer­den in der Pra­xis die meis­ten Lösch­sys­te­me indes doch kaum so kon­fi­gu­riert sein, die Löschung der erfor­der­li­chen Nach­wei­se Tag genau mit Ein­tritt der Ver­fol­gungs­ver­jäh­rung erfol­gen wird.

Die in der daten­schutz­recht­li­chen Lite­ra­tur geführ­te Dis­kus­si­on, ob für die Berech­nung des Frist­ab­lau­fes die Rege­lun­gen des natio­na­len Zivil­rechts (§§ 186 ff. BGB, § 222 ZPO) anzu­wen­den sind, oder ob viel­mehr die natio­na­len Berech­nungs­me­tho­den in die­sem Fall hin­ter den euro­pa­recht­li­chen Vor­schrif­ten der EU-Verordnung Nr. 1182/71 (Fristen-VO) zurück­tre­ten und mit­hin der Tag des Frist­be­ginns zwar der Tag des Ereig­nis­ses sel­ber ist, die Frist indes erst am dar­auf­fol­gen­den Tag zu lau­fen beginnt (Art. 3 Abs. 2 lit. c, 3 Abs. 1 Fristen-VO) wird in der Pra­xis der Löschung von Betrof­fe­nen­an­fra­gen – anders als etwa im Fall von Data-Breach-Meldung — nur in weni­gen Aus­nah­men Bedeu­tung gewinnen.

Viel­mehr emp­fiehlt es sich, einen (zuge­ge­be­ner­ma­ßen engen) »Puf­fer« ein­zu­bau­en und so unter ande­rem auch inter­ne Post­läu­fe vom Ein­gang einer Auskunfts- oder Nach­weis­auf­for­de­rung einer Auf­sichts­be­hör­de im Unter­neh­men bis zu des­sen Zulei­tung an den betrieb­li­chen Daten­schutz­be­auf­trag­ten ein­zu­fan­gen. Ein ent­spre­chen­des Erfor­der­nis der gering­fü­gig ver­län­ger­ten Nach­weis­spei­che­rung soll­te jeden­falls daten­schutz­recht­lich über Arti­kel 6 Abs. 1 S. 1 lit f DSGVO begründ­bar sein.

Fazit

Die Dau­er des Nach­wei­ses der Erfül­lung von Betrof­fe­nen­rech­ten ist weder in der DSGVO noch im BDSG gere­gelt. Wür­de die Rechen­schafts­pflicht – durch­aus begründ­bar – zeit­lich unbe­grenzt gel­ten, wür­de dies zu einer eben­falls zeit­lich unbe­grenz­ten Spei­che­rung eben gera­de der Daten füh­ren, die durch den Anspruch auf Löschung end­gül­tig »ver­schwin­den sol­len«. Dies wür­de sowohl den natio­na­len wie auch dem euro­päi­schen daten­schutz­recht­li­chen Grund­ge­dan­ken entgegenstehen.

Für den Umgang mit den erfor­der­li­chen Nach­wei­sen emp­fiehlt sich daher ein Rück­griff auf das Ende der Ver­jäh­rung aus dem OWiG.Mit dem Ablauf von drei Jah­ren ab dem Tag des Ereig­nis­ses inkl. eines klei­nen »Puf­fers« wäre die Ver­fol­gung einer etwa­igen Ord­nungs­wid­rig­keit aus der Ver­let­zung einer Lösch­an­fra­ge verjährt..

Was Sie noch interessieren könnte:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR