Jeder Betroffene hat das Recht, unter den gesetzlichen Voraussetzungen und im gesetzlichen Umfang die Löschung seiner personenbezogenen Daten zu verlangen. Dabei trifft den Verantwortlichen neben der Löschpflicht allerdings auch die Pflicht, die Löschung der Daten nachzuweisen.
Hier entsteht vielfach ein Dilemma, da der Nachweis der Personendatenlöschung häufig die Speicherung von eben diesen Personendaten erfordert. So stellt sich in der Praxis neben der Frage »wie« der gesetzliche Nachweis zu erbringen ist, auch die Frage »wann« diese Nachweisdaten endgültig gelöscht werden können.
“Würde die Rechenschaftspflicht – durchaus begründbar – zeitlich unbegrenzt gelten, würde dies zu einer ebenfalls zeitlich unbegrenzten Speicherung eben gerade der Daten führen, die durch den Anspruch auf Löschung endgültig »verschwinden sollen«. ” – Matthias Herkert
Von der DSGVO über das BDSG zum OWiG
Die Pflicht zum Nachweis der Datenlöschung ergibt sich, anders als die Pflicht zur Löschung selber, aus der allgemeinen Rechenschaftspflicht des Artikel 5 Abs. 2 DSGVO. Soweit die Löschung nun nicht nachgewiesen werden könnte, stünde das Risiko einer Sanktionierung über Artikel 83 DSGVO im Raum, für dessen Ahndung über § 41 Abs. 1 BDSG das Gesetz über Ordnungswidrigkeiten (OWiG) sinngemäß gelten soll.
Und während sich weder in der DSGVO noch im BDSG Verjährungsvorschriften finden, sieht das im Gesetz über Ordnungswidrigkeiten schon ganz anders aus.
Denn dort ergibt sich aus § 31 Abs. 2 Nr. 1 OWiG für Ordnungswidrigkeiten, die mit Geldbuße im Höchstmaß von mehr als fünfzehntausend Euro bedroht sind – und über Artikel 83 Abs. 5 lit. b DSGVO stehen im Fall der Nichterfüllung eines berechtigten Löschersuchens immerhin bis zu 20.000.000 EUR im Raum – eine Verfolgungsverjährung von drei Jahren.
Vom Beginn der Verjährung des Nachweises der Erfüllung von Betroffenenanfragen
Die Verjährung beginnt im OWiG nicht wie im Zivilrecht grundsätzlich üblich mit dem Schluss des jeweiligen Kalenderjahres, sondern gemäß § 31 Abs. 3 S. 1 OWiG, sobald die Handlung beendet ist beziehungsweise sobald der zum Tatbestand gehörende Erfolg eingetreten ist.
Die »Handlung« wäre in diesem Fall wohl begründbar die vermeintliche Nichterfüllung des Löschersuchens der betroffenen Person beziehungsweise der letzte Tag, am dem das begründete Löschersuchen hätte erfüllt werden müssen. Mithin beginnt die Verjährung mit dem Datum des Eingangs des Löschersuchens zuzüglich einer angemessenen Frist, die dem Verantwortlichen für dessen Prüfung und Erfüllung einzuräumen ist, die jedoch die Monatsfrist des Artikel 12 Abs. 3 S. 1 DSGVO nicht überschreiten darf.
Nun geht es in die Tiefen der Berechnung von Fristen
Während es in der Verteidigung gegenüber Aufsichtsbehörden wegen einer mutmaßlichen Verletzung von Betroffenenrechten durchaus auch mal auf einen einzelnen Tag ankommen mag, werden in der Praxis die meisten Löschsysteme indes doch kaum so konfiguriert sein, die Löschung der erforderlichen Nachweise Tag genau mit Eintritt der Verfolgungsverjährung erfolgen wird.
Die in der datenschutzrechtlichen Literatur geführte Diskussion, ob für die Berechnung des Fristablaufes die Regelungen des nationalen Zivilrechts (§§ 186 ff. BGB, § 222 ZPO) anzuwenden sind, oder ob vielmehr die nationalen Berechnungsmethoden in diesem Fall hinter den europarechtlichen Vorschriften der EU-Verordnung Nr. 1182/71 (Fristen-VO) zurücktreten und mithin der Tag des Fristbeginns zwar der Tag des Ereignisses selber ist, die Frist indes erst am darauffolgenden Tag zu laufen beginnt (Art. 3 Abs. 2 lit. c, 3 Abs. 1 Fristen-VO) wird in der Praxis der Löschung von Betroffenenanfragen – anders als etwa im Fall von Data-Breach-Meldung — nur in wenigen Ausnahmen Bedeutung gewinnen.
Vielmehr empfiehlt es sich, einen (zugegebenermaßen engen) »Puffer« einzubauen und so unter anderem auch interne Postläufe vom Eingang einer Auskunfts- oder Nachweisaufforderung einer Aufsichtsbehörde im Unternehmen bis zu dessen Zuleitung an den betrieblichen Datenschutzbeauftragten einzufangen. Ein entsprechendes Erfordernis der geringfügig verlängerten Nachweisspeicherung sollte jedenfalls datenschutzrechtlich über Artikel 6 Abs. 1 S. 1 lit f DSGVO begründbar sein.
Fazit
Die Dauer des Nachweises der Erfüllung von Betroffenenrechten ist weder in der DSGVO noch im BDSG geregelt. Würde die Rechenschaftspflicht – durchaus begründbar – zeitlich unbegrenzt gelten, würde dies zu einer ebenfalls zeitlich unbegrenzten Speicherung eben gerade der Daten führen, die durch den Anspruch auf Löschung endgültig »verschwinden sollen«. Dies würde sowohl den nationalen wie auch dem europäischen datenschutzrechtlichen Grundgedanken entgegenstehen.
Für den Umgang mit den erforderlichen Nachweisen empfiehlt sich daher ein Rückgriff auf das Ende der Verjährung aus dem OWiG.Mit dem Ablauf von drei Jahren ab dem Tag des Ereignisses inkl. eines kleinen »Puffers« wäre die Verfolgung einer etwaigen Ordnungswidrigkeit aus der Verletzung einer Löschanfrage verjährt..
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]