DSGVO: Löschen und die Beweise sind weg?
Die DSGVO greift zwar viele Details des zuvor geltenden Bundesdatenschutzgesetzes auf, so dass viele Anforderungen aus der DSGVO nicht wirklich „neu“ sind. Dennoch stellt sich eine Vielzahl von Problemen, die einem im Alltag begegnen. In diesem Beitrag geht es um das „Recht auf Vergessenwerden“, was also passiert, wenn ein Betroffener die Löschung seiner Daten verlangt. Ein Beispiel: Ein ehemaliger Teilnehmer einer Veranstaltung (= das ist ein Betroffener) fordert den Veranstalter zur Löschung auf. Der Veranstalter muss nun unterscheiden: • Daten, die notwendiger Bestandteil von steuer- oder handelsrechtlichen Unterlagen sind, die er zwischen 6-10 Jahren aufbewahren muss, darf er auch so lange aufbewahren – selbst wenn zuvor ein Antrag auf Löschung bei ihm eingeht (Art. 17 Abs. 3 Buchstabe c DSGVO). • Daneben gibt es aber auch jede Menge Dokumente, in denen die Daten des Betroffenen enthalten sind, die nicht steuer- oder handelsrechtlich aufzubewahren sind. Dort müssen die Daten gelöscht werden. Hier stellt sich ein Alltagsproblem: • Der Veranstalter muss in der Lage sein, diese beiden Datenbestände zu unterscheiden, und im Nachhinein zu filtern. • Dabei ist es ja generell schon schwierig, zu erkennen, welche Dokumente nun aus steuer- bzw. handelsrechtlichen Gründen aufzubewahren sind und welche nicht. Vielfach wird daher aus Vereinfachungsgründen empfohlen, einfach alle Dokumente und Unterlagen aufzubewahren. Eine pragmatische Lösung könnte bisweilen sein, zwar alle Unterlagen/Daten aufzubewahren, aber diese für Mitarbeiter außerhalb der Geschäftsführung unzugänglich aufzubewahren, so dass im Falle bspw. einer Steuerprüfung zumindest noch der Geschäftsführer Zugriff auf die Daten hat. Hier wird die Zukunft zeigen müssen, wie sich die Gerichte dazu positionieren. Unterstellen wir einmal, der Veranstalter könnte die Unterscheidung vornehmen und hat nun Dokumente in der Hand, die Daten des Betroffenen enthalten, aber eben nicht aus gesetzlichen Gründen aufzubewahren sind – und der Betroffene fordert zur Löschung auf.
Stehen noch Ansprüche im Raum?
Der Veranstalter darf aber diese Daten aufbewahren, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig sind (Art. 17 Abs. 3 Buchstabe e DSGVO). Aber: Das bedeutet nicht, dass diese Ausnahme greifen würde, nur weil die theoretische Möglichkeit besteht, dass bspw. der Betroffene später noch Ansprüche geltend machen könnte. Das sieht derzeit (mangels Gerichtsurteile) jedenfalls die Rechtsliteratur so: Der Veranstalter soll nun eine Abwägungsprognose erstellen, wobei es dann auf die Wahrscheinlichkeit der Geltendmachung von Ansprüchen, auf das mögliche Gewicht dieser Ansprüche und auf das Ausmaß der Beeinträchtigung der Belange der betroffenen Person durch eine weitere Speicherung. Das Problem dabei liegt auf der Hand: Der Veranstalter kann nicht in die Zukunft schauen. Er kann nicht wissen, was der Betroffene ggf. für Ziele verfolgt. Ein Beispiel, das dieses Problem deutlicher macht: Der Betroffene möchte den Veranstalter ärgern, vielleicht weil er ein ehemaliger Mitarbeiter oder ein verärgerter Freelancer oder ein enttäuschter Besucher ist. Er erklärt seine Einwilligung bspw. in den Erhalt eines Werbenewsletters, widerruft diese kurze Zeit später und fordert die Löschung. Danach dann schickt er dem Veranstalter eine Abmahnung, weil der ihm unerlaubt eine Werbemail zugeschickt habe. Hat der Veranstalter nun im Glauben darauf, dass nichts passieren wird, die Daten und damit die Einwilligungserklärung gelöscht, kann er nicht nachweisen, dass jemals eine Einwilligung vorgelegen hatte. Klar, das setzt seitens des Betroffenen ein bisschen kriminelle Energie voraus. Aber abwegig ist diese Vorstellung leider nicht. Es gibt außerdem eine Vielzahl von Konstellationen, in denen der Betroffene mit gutem Gewissen die Löschung verlangt und erst später dann feststellt, dass er doch noch Ansprüche gegen den Veranstalter hat. Der kann sich dann aber womöglich nicht mehr gegen diese Ansprüche wehren, wenn er auch alle E-Mails, die die Daten (Name!) des Betroffenen enthalten, gelöscht hat.
Recht auf Vergessenwerden darf nicht ausgehöhlt werden
In der Theorie hört sich das gut an, dass der Löschungsanspruch durch vermeintliche Abwehrrechte des Betroffenen nicht ausgehöhlt werden dürften. Aber der Löschungsanspruch darf auch wiederum nicht dazu führen, den Datenverarbeiter schutzlos zu stellen. Daher finde ich es passender, dass der Datenverarbeiter nicht löschen muss, aber die Daten bspw. zumindest sperren muss, so dass im Falle des Falles nur noch der Geschäftsführer an die Daten herankommen würde – solange, bis ausgeschlossen ist, dass keine Ansprüche mehr bestehen. Man muss bedenken: Die DSGVO zielt (auch) auf die großen Datenverarbeiter wie Facebook und Google ab, die jahrelang die Daten immer noch nutzen und verarbeiten., nur um Werbung besser platzieren zu können. Es wäre unangemessen, einen „normalen“ Datenverarbeiter, der entsprechende geeignete Schutzmaßnahmen (technische und organisatorische) trifft, um die Weiterverarbeitung der Daten einzustellen, aber für den Fall eines Rechtsstreits noch darauf zugreifen können möchte. Eine Alternative könnte sein, dass der Betroffene schriftlich bestätigt, dass er keinerlei Ansprüche mehr gegen den Veranstalter hat. Und der verwahrt dann nur noch dieses Bestätigungsschreiben, aber nicht mehr ggf. alle weiteren Daten. Aber: Ich sehe dann schon einen Richter, der meint, auch dann noch den Betroffenen in Schutz nehmen zu müssen, indem er entscheidet, dass die Ansprüche doch noch geltend gemacht werden können. Denn: Verwendet der Veranstalter diesen Bestätigungstext öfter, dann handelt es sich um AGB, deren Wirksamkeit sich am strengen AGB-Recht messen lassen muss. Aber auch hier gilt: Nun müssen die Gerichte entscheiden. Der Beitrag ist auch bei EVENTFAQ erschienen. Mehr zum Thema finden Sie auf der Seite von Schutt, Waetke Rechtsanwälte.