Jeder Betroffene hat das Recht, unter den gesetzlichen Voraussetzungen und im gesetzlichen Umfang die Löschung seiner personenbezogenen Daten zu verlangen. Dabei trifft den Verantwortlichen neben der Löschpflicht allerdings auch die Pflicht, die Löschung der Daten nachzuweisen.
Hier entsteht vielfach ein Dilemma, da der Nachweis der Personendatenlöschung häufig die Speicherung von eben diesen Personendaten erfordert. So stellt sich in der Praxis neben der Frage »wie« der gesetzliche Nachweis zu erbringen ist, auch die Frage »wann« diese Nachweisdaten endgültig gelöscht werden können.
“Würde die Rechenschaftspflicht – durchaus begründbar – zeitlich unbegrenzt gelten, würde dies zu einer ebenfalls zeitlich unbegrenzten Speicherung eben gerade der Daten führen, die durch den Anspruch auf Löschung endgültig »verschwinden sollen«. ” – Matthias Herkert
Von der DSGVO über das BDSG zum OWiG
Die Pflicht zum Nachweis der Datenlöschung ergibt sich, anders als die Pflicht zur Löschung selber, aus der allgemeinen Rechenschaftspflicht des Artikel 5 Abs. 2 DSGVO. Soweit die Löschung nun nicht nachgewiesen werden könnte, stünde das Risiko einer Sanktionierung über Artikel 83 DSGVO im Raum, für dessen Ahndung über § 41 Abs. 1 BDSG das Gesetz über Ordnungswidrigkeiten (OWiG) sinngemäß gelten soll.
Und während sich weder in der DSGVO noch im BDSG Verjährungsvorschriften finden, sieht das im Gesetz über Ordnungswidrigkeiten schon ganz anders aus.
Denn dort ergibt sich aus § 31 Abs. 2 Nr. 1 OWiG für Ordnungswidrigkeiten, die mit Geldbuße im Höchstmaß von mehr als fünfzehntausend Euro bedroht sind – und über Artikel 83 Abs. 5 lit. b DSGVO stehen im Fall der Nichterfüllung eines berechtigten Löschersuchens immerhin bis zu 20.000.000 EUR im Raum – eine Verfolgungsverjährung von drei Jahren.
Vom Beginn der Verjährung des Nachweises der Erfüllung von Betroffenenanfragen
Die Verjährung beginnt im OWiG nicht wie im Zivilrecht grundsätzlich üblich mit dem Schluss des jeweiligen Kalenderjahres, sondern gemäß § 31 Abs. 3 S. 1 OWiG, sobald die Handlung beendet ist beziehungsweise sobald der zum Tatbestand gehörende Erfolg eingetreten ist.
Die »Handlung« wäre in diesem Fall wohl begründbar die vermeintliche Nichterfüllung des Löschersuchens der betroffenen Person beziehungsweise der letzte Tag, am dem das begründete Löschersuchen hätte erfüllt werden müssen. Mithin beginnt die Verjährung mit dem Datum des Eingangs des Löschersuchens zuzüglich einer angemessenen Frist, die dem Verantwortlichen für dessen Prüfung und Erfüllung einzuräumen ist, die jedoch die Monatsfrist des Artikel 12 Abs. 3 S. 1 DSGVO nicht überschreiten darf.
Nun geht es in die Tiefen der Berechnung von Fristen
Während es in der Verteidigung gegenüber Aufsichtsbehörden wegen einer mutmaßlichen Verletzung von Betroffenenrechten durchaus auch mal auf einen einzelnen Tag ankommen mag, werden in der Praxis die meisten Löschsysteme indes doch kaum so konfiguriert sein, die Löschung der erforderlichen Nachweise Tag genau mit Eintritt der Verfolgungsverjährung erfolgen wird.
Die in der datenschutzrechtlichen Literatur geführte Diskussion, ob für die Berechnung des Fristablaufes die Regelungen des nationalen Zivilrechts (§§ 186 ff. BGB, § 222 ZPO) anzuwenden sind, oder ob vielmehr die nationalen Berechnungsmethoden in diesem Fall hinter den europarechtlichen Vorschriften der EU-Verordnung Nr. 1182/71 (Fristen-VO) zurücktreten und mithin der Tag des Fristbeginns zwar der Tag des Ereignisses selber ist, die Frist indes erst am darauffolgenden Tag zu laufen beginnt (Art. 3 Abs. 2 lit. c, 3 Abs. 1 Fristen-VO) wird in der Praxis der Löschung von Betroffenenanfragen – anders als etwa im Fall von Data-Breach-Meldung — nur in wenigen Ausnahmen Bedeutung gewinnen.
Vielmehr empfiehlt es sich, einen (zugegebenermaßen engen) »Puffer« einzubauen und so unter anderem auch interne Postläufe vom Eingang einer Auskunfts- oder Nachweisaufforderung einer Aufsichtsbehörde im Unternehmen bis zu dessen Zuleitung an den betrieblichen Datenschutzbeauftragten einzufangen. Ein entsprechendes Erfordernis der geringfügig verlängerten Nachweisspeicherung sollte jedenfalls datenschutzrechtlich über Artikel 6 Abs. 1 S. 1 lit f DSGVO begründbar sein.
Fazit
Die Dauer des Nachweises der Erfüllung von Betroffenenrechten ist weder in der DSGVO noch im BDSG geregelt. Würde die Rechenschaftspflicht – durchaus begründbar – zeitlich unbegrenzt gelten, würde dies zu einer ebenfalls zeitlich unbegrenzten Speicherung eben gerade der Daten führen, die durch den Anspruch auf Löschung endgültig »verschwinden sollen«. Dies würde sowohl den nationalen wie auch dem europäischen datenschutzrechtlichen Grundgedanken entgegenstehen.
Für den Umgang mit den erforderlichen Nachweisen empfiehlt sich daher ein Rückgriff auf das Ende der Verjährung aus dem OWiG.Mit dem Ablauf von drei Jahren ab dem Tag des Ereignisses inkl. eines kleinen »Puffers« wäre die Verfolgung einer etwaigen Ordnungswidrigkeit aus der Verletzung einer Löschanfrage verjährt..
Was Sie noch interessieren könnte:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]