Dass es sich bei der durch die Datenschutz-Grundverordnung (DSGVO) eingeführten Rechenschaftspflicht um die zentrale Änderung im Datenschutzrecht handelt, dürfte sich mittlerweile herumgesprochen haben. Keine andere Regelung hat so weitreichende Auswirkungen auf die Praxis bei Verantwortlichen.
Große Fragezeichen gibt es jedoch noch hinsichtlich des Einflusses der Rechenschaftspflicht auf die sich aus der DSGVO ebenfalls ergebenden Löschpflichten. Hier besteht noch Klärungsbedarf.
Die Rechenschaftspflicht in der DSGVO
In früheren Zeiten genügte es, die eigenen Prozesse so im Griff zu haben, dass nichts passierte. Was allerdings nicht unbedingt bedeutete, dass Verantwortliche im Datenschutz tatsächlich sauber aufgestellt waren. Das nichts passierte, konnte auch Zufall oder reine Glückssache sein.
Nunmehr verlangt Art. 5 Abs. 2 DSGVO den aktiven und vor allem anlasslosen Nachweis vom Verantwortlichen, dass die Grundsätze im Datenschutz beachtet und wirksam umgesetzt werden. Es kommt nicht darauf an, ob jemals etwas schiefgeht.
Das bedeutet regelmäßig mehr Aufwand als früher und stellt immer noch eine reichlich hohe Zahl an Verantwortlichen vor größte Herausforderungen. Der Aufbau und erfolgreiche Betrieb eines Datenschutz-Managementsystems (DSMS) und die hierzu notwendige Erhöhung der Reifegrade der datenschutzrelevanten Prozesse ist keine ganz triviale Aufgabe.
Mit diesem kurzen Artikel soll ein bislang weniger diskutierter Aspekt in diesem Zusammenhang beleuchtet werden. Wir weisen allerdings darauf hin, dass uns zu diesem Problembereich derzeit (Dezember 2022) noch keine verbindlichen Positionen von Gerichten oder Aufsichtsbehörden bekannt sind. Der Artikel soll daher primär als Denkanstoß verstanden werden. Ob sich die hier beschriebene Schlussfolgerung durchsetzt, bleibt abzuwarten.
Die Rechenschaftspflicht ist eine Pflicht und damit auch im Sinne von Art. 6 DSGVO als solche zu verstehen. Das heißt, die Rechenschaftspflicht bietet nicht etwa nur die Möglichkeit, bestimmte Informationen zu verarbeiten, sondern sie schreibt dies verbindlich vor. Ein Verstoß gegen die Rechenschaftspflicht eröffnet nun auch immerhin den nach DSGVO größtmöglichen Bußgeldrahmen, siehe Art. 83 Abs. 5 a) DSGVO. Fehler könnten folglich gravierende Konsequenzen haben.
Wenn wir betrachten, welche Informationen im Zusammenhang mit der Erfüllung der Rechenschaftspflicht relevant werden, kommt schnell eine doch recht eindrucksvolle Liste zusammen, die sich gar nicht zwingend auf personenbezogene Daten beschränkt. Um nur einige Beispiele aufzuzählen – und das ganz sicherlich nicht abschließend:
- Nachweise im Zusammenhang mit dem Betrieb des Datenschutz-Managementsystems, allem voran die Dokumentation der vom Verantwortlichen aktuell verfolgten Datenschutzpolitik. Daneben dürften auch etwa die Tätigkeitsberichte des Datenschutzbeauftragten und Nachweise über das sonstige Meldewesen relevant sein, über das das Management überhaupt erst in die Lage versetzt wird, den eigenen Pflichten nachzukommen.
- Die Dokumentation über Verletzungen des Schutzes personenbezogener Daten, ungeachtet der Meldepflicht, Art. 33 Abs. 5 DSGVO.
- Löschprotokolle, Sperrvermerke und Nachweise über Berichtigungen sowie allgemein die Eingabekontrolle.
- Nachweise zur korrekten Umsetzung der technischen und organisatorischen Maßnahmen. Hierzu gehören neben den Richtlinien bzw. Konzepten auch die Ergebnisse der internen Audits und auch andere Prüfprotokolle sowie das laufende Monitoring.
- Erteilte und widerrufene Einwilligungen, wobei es beispielsweise im Zusammenhang mit Marketingmaßnahmen ja entscheidend auf den Zeitpunkt der letzten Werbung ankommt, die auf eine Einwilligung gestützt wurde.
- Eingang und korrekte Behandlung von Betroffenenanfragen, auch und insbesondere dann, wenn der Betroffene die sofortige Löschung fordert.
- Nachweise über die regelmäßige Kontrolle von eingesetzten Auftragsverarbeitern.
- Nachweise zur Verpflichtung und Schulung von Personal.
- Durchgeführte Transfer Impact Assessments (TIA) und die Überwachung von Dienstleistern im Zusammenhang mit Verarbeitungen in Drittländern.
Allerdings erlaubt selbst die Erfüllung einer rechtlichen Verpflichtung nicht vorbehaltslos die Verarbeitung von personenbezogenen Daten. Auch Art. 6 Abs. 1 c) DSGVO steht unter der Einschränkung der Erforderlichkeit. Dies ist eine qualitative sowie quantitative Begrenzung und eben auch eine zeitliche Grenze.
Nachweispflicht schön und gut – aber wie lange eigentlich?
Wie lange die Rechenschaftspflicht erfüllt werden muss, wird in der DSGVO selbst allerdings gar nicht beantwortet. Im Ergebnis besteht die Rechenschaftspflicht gegenüber der zuständigen Aufsichtsbehörde. In allen anderen Fällen gilt das normale Prozessrecht mit den dort üblichen Beweislastverteilungen. Nur im Verhältnis zur Exekutive muss der Entlastungsbeweis erbracht werden. Entscheidend für die Frage der Erforderlichkeit ist also, wie lange die Aufsichtsbehörde einen solchen verlangen kann und das wiederum hängt von den zeitlichen Grenzen ab, innerhalb derer die Behörde überhaupt eine Handhabe hätte.
Konkret wird damit die Verfolgungsverjährung relevant. So extrem die Sanktionen nach der DSGVO in der Praxis sein können, es handelt sich rechtlich gesehen um Ordnungswidrigkeiten, die in Deutschland im Gesetz über Ordnungswidrigkeiten geregelt sind. Die Antwort auf die Frage der Verfolgungsverjährung liefert somit § 31 Abs. 2 Nr. 1 OWiG. Sowohl Bußgelder nach Art. 83 Abs. 4 als auch nach Abs. 5 DSGVO liegen im Höchstmaß über fünfzehntausend Euro, damit gilt eine Frist von drei Jahren.
Achtung: Solche Fristen wären im Einzelfall und exakt, also tagesgenau, zu berechnen und im Hinterkopf sollten Verantwortliche haben, dass die DSGVO in Art. 17 Abs. 1 eine unverzügliche Löschung von personenbezogenen Daten vorsieht. Auch wenn dieser Begriff im Kontext der DSGVO nicht völlig identisch seine im deutschen Recht übliche Bedeutung haben wird; ein längeres Warten und Sammeln, um dann gebündelt zu löschen, wird sich nur schwer vertreten lassen. Nach unserer Einschätzung wird man wohl von maximal einem Monat ausgehen müssen, wenn man den Grundgedanken des Art. 12 Abs. 3 DSGVO heranzieht.
Anzumerken ist, dass hier die mit der DSGVO angepeilte Rechtsvereinheitlichung innerhalb der EU nicht annähernd erreicht ist. Hier wäre ein Nachjustieren des EU-Gesetzgebers sehr wünschenswert. Denn, je nachdem, wo man hinblickt, gelten völlig unterschiedliche Fristen. So ist man bei Ordnungswidrigkeiten in Irland wohlmöglich bereits nach einem halben Jahr aus dem Schneider, in den Niederlanden muss man zwei Jahre abwarten, in Spanien sprechen wir über vier Jahre und in Kroatien sind es sogar 5 Jahre.
Hier werden insbesondere Unternehmensgruppen Freude haben, die zentrale Dienste (Shared Services) für über die EU verstreute Stellen anbieten. Selbstverständlich muss in jedem konkreten Einzelfall geprüft werden, wann eine Frist läuft und wodurch sie ggf. unterbrochen wird und wenn ja wie lange.
Zur Vollständigkeit sei noch kurz die Verjährung von (Schadens-)Ersatzansprüchen Betroffener angesprochen. Auch diese ist nicht in der DSGVO geregelt, sondern richtet sich nach dem jeweiligen nationalen Recht. In Deutschland beträgt die Regelverjährungsfrist nach § 195 BGB drei Jahre, allerdings beginnt diese Frist erst mit dem Ende des relevanten Kalenderjahres, siehe § 199 Abs. 1 BGB. Sie läuft damit faktisch erst nach dem dritten vollen Kalenderjahr ab und zwar einheitlich und gesammelt für alles, was innerhalb des ursprünglich maßgeblichen Jahres anfiel; praktisch können bei Verstößen zu Jahresanfang damit sogar knapp vier Jahre zusammenkommen.
Eine datenschutzrechtlich schwierige Diskussion
Im gerade genannten Zusammenhang wäre die aus der Praxis wünschenswerte gesammelte Löschung zu bestimmten und nicht allzu häufigen Zeiten also möglich. Allerdings sind die Aufsichtsbehörden (und das wohl zu Recht) zurückhaltend, was eine pauschale Ausdehnung von Aufbewahrungsfristen auf lediglich denkbare Verjährungsfristen angeht. Wer folglich Daten aufbewahren möchte, um sich im Fall von Rechtsstreitigkeiten verteidigen zu können, sollte dies nur in den Einzelfällen tun, in denen sich eine rechtliche Auseinandersetzung auch aufgrund von greifbaren Tatsachen bereits abzeichnet. Sonst ist die Speicherung nicht erforderlich. Die verlockende Hintertür, einfach allgemein die zivilrechtliche Verjährung anzusetzen und nicht auf die punktgenaue Verfolgungsverjährung zu achten, steht leider nicht ganz so weit offen.
Last but not least: Es ist derzeit noch völlig ungeklärt, ob nicht nach dem hier beschriebenen Gedankengang in vielen Bereichen auch eine längere Aufbewahrung angezeigt ist, als bislang oft üblich. So wird doch die Rechenschaftspflicht schließlich umso strenger gesehen werden, je kritischer eine Verarbeitung ist. Beispielsweise wird der Umgang mit Beschäftigtendaten typischerweise immer als besonders sensibel angesehen. Im Zusammenhang mit den Daten abgelehnter Bewerber hat sich jedoch in der Praxis die Löschung nach sechs Monaten etabliert. Damit ist aber doch der Nachweis der Rechtmäßigkeit dieser Verarbeitung nach Art. 5 Abs. 1 a) DSGVO über drei Jahre hinweg überhaupt nicht möglich.
Überspitzt gesagt: Nachdem fast alles irgendwie relevant für die Rechenschaftspflicht sein kann, müsste nicht ganz allgemein eine Mindestaufbewahrungsfrist von drei Jahren gelten? Ausgenommen vielleicht die Fälle rechtswidriger Verarbeitung, in denen diese Frist dann nur für die Nachweise gilt, die im Zusammenhang mit der Korrektur des Verstoßes anfallen.
Wie bereits oben gesagt: Eine klare und vor allem einheitliche gesetzliche Regelung innerhalb der DSGVO wäre schön und würde auch innerhalb der EU für gleiche Bedingungen sorgen. Aktuell fahren Verantwortliche in einigen Ländern gefahrloser als andere. Es macht schließlich einen deutlichen Unterschied, ob Bußgelder schon in einem halben Jahr nicht mehr verhängt werden können oder erst nach deutlich längerer Zeit.
Fazit: Es wartet möglicherweise viel Arbeit in Sachen Löschkonzepte
Hier schlummert gegebenenfalls ein ganz gehöriger Berg an Arbeit. Noch nicht allzu viele Verantwortliche oder Berater haben sich neben den regelmäßig diskutierten Bereichen (Daten von Bewerbern und Mitarbeitern, Fristen in der Buchhaltung und steuerrechtliche Aufbewahrungsfristen) mit Aufbewahrungsfristen auseinandergesetzt. Wo nicht eine der üblicherweise betrachteten längeren Fristen gilt, gibt es daher wohl etwas zu tun.
Angesichts der Vielzahl an Informationen, die im hier relevanten Zusammenhang aufbewahrt und dann zumindest in den Fällen, in denen es um personenbezogene Daten geht, relativ punktgenau gelöscht werden müssen, steht vermutlich bei vielen Verantwortlichen noch eine umfangreiche Überarbeitung der eigenen Löschkonzepte und der dahinterstehenden Löschpläne an.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!