Österreich
Secure Your Business
 

Umsetzung von Löschpflichten:
Jüngste Judikatur zur DSGVO


Die jüngsten Entscheidungen zu Facebook und Google zeigen die Brisanz von Löschpflichten auf – ein Beitrag von Rechtsanwalt und CIS-Datenschutzexperte Dr. Markus Frank.

 

 

(CIS-NEWS Mai 2019) - Facebook wurde Anfang 2019 durch das deutsche Bundeskartellamt eine marktbeherrschende Stellung konstatiert und geht damit gegen die Zusammenführung von gesammelten Daten vor. Andreas Mundt, Chef des Bundeskartellamts begründet: „Die Nutzer haben keine Wahl, ob sie der Date05_news_blue papersnsammlung zustimmen oder nicht." Etwa ein Drittel der mehr als 300-seitigen Entscheidung befasst sich mit Details des Datenschutzrechts. Ohne rechtskonforme Einwilligung darf Facebook nicht mehr Daten von dritter Seite erheben. Eine Einwilligung muss auch vorliegen, um Daten von anderen Facebook-Diensten wie WhatsApp und Instagram zusammenzuführen. Facebook erhielt vier Monate Zeit, um ein Konzept vorzulegen, in welcher Form künftig die Einwilligungen der Nutzer erhoben werden.Ebenso prominent ist der jüngste Google-Fall: In der Entscheidung vom 21.1.2019 hat die französische Datenschutzbehörde CNIL gegen Google ein Bußgeld über 50 Mio. € verhängt. Die Begründung: Fehlende Transparenz und unzureichende Information an Betroffene, weshalb deren Einwilligungen zur Anzeige personalisierter, also auf den Nutzer abgestimmter Werbeeinschaltungen nicht gültig sind. Was haben diese beiden Fälle einer fehlenden Rechtsgrundlage für die Verarbeitung personenbezogener Daten mit einer Löschpflicht nach DSGVO zu tun, die auch Ihr Unternehmen treffen könnte?

 

Löschen von Daten: zentrales Datenschutz-Thema?
Die österreichische Datenschutzbehörde hat sich in Entscheidungen seit Inkrafttreten der DSGVO im Mai 2018 u.a. schwerpunktmäßig mit dem (Nicht-)Löschen von Daten befasst. Die überprüften Verantwortlichen waren teils sehr kleine Unternehmen. Anlass für eine solche Überprüfung kann z.B. eine Beschwerde eines Betroffenen - z.B. eines (Ex-)Mitarbeiters oder eines abgewiesenen Bewerbers - sein; oder einfach die allgemeine Überwachungspflicht der Behörde. Eine stete Beobachtung der neuesten Judikatur zum Datenschutzrecht ist daher unbedingt erforderlich. Denn wo heute rechtliche Unklarheiten bestehen, aber der Verantwortliche eine datenschutzrechtlich vernünftige Lösung versucht hat, auch wenn diese nicht ganz korrekt war, wird die Datenschutzbehörde sich voraussichtlich nachsichtiger zeigen als im Fall eines Verstoßes gegen gesetzlich klar festgelegte oder bereits durch Judikatur interpretierte DS-Pflichten. Neben Bußgeld droht eine Schadenersatzpflicht gegenüber Betroffenen und etwa ein behördliches Verbot der Verarbeitung bis der rechtmäßige Zustand hergestellt ist. Letztere „Sanierung“ kann längere Zeit in Anspruch nehmen bis die Verarbeitung wieder aufgenommen werden darf. Rechtssicherheit wird erst durch die oberste Instanz geschaffen und natürlich kann auch die Daten-schutzbehörde unrichtige Rechtsmeinungen vertreten. Sogar Vertreter von Datenschutzbehörden haben in Deutschland haben daher öffentlich aufgefordert, ihre Bescheide in strittigen Rechtsfragen im Rechtsmittelweg prüfen zu lassen, um möglichst rasch Rechtssicherheit zu erlangen.

 

Die wichtigsten gesetzlichen Lösch-Regeln kurzgefasst:

  • Der Verantwortliche muss darauf achten, dass er alle personenbezogenen Daten von Betroffenen auch ohne deren Löschbegehren löscht, sofern kein rechtlich zulässiger Grund für die Verarbeitung zu dem festgelegten Zweck mehr besteht (Grundsatz der Speicherbegrenzung nach Art 5 Abs 1 lit e bzw. Art 17 Abs 1 DSGVO).
  • Stellt ein Betroffener Antrag auf Löschung seiner personenbezogenen Daten, so ist die Löschung grundsätzlich binnen eines Monats durchzuführen (Art 17 Abs 1 DSGVO).
  • Keine Regel ohne Ausnahmen: Löschen ist u.a. nicht erforderlich, soweit die Verarbeitung für den Verantwortlichen nach Beendigung eines berechtigten Zweckes aus bestimmten Gründen weiter-hin erforderlich ist; z.B. wegen gesetzlicher Aufbewahrungsfristen oder zur Abwehr von Schaden-ersatz-ansprüchen (Art 17 (3) DSGVO).
  • Eine wesentliche Erleichterung zu diesem strikten Grundsatz ermöglicht das Österreichische Datenschutzgesetz. Ist die Löschung aus wirtschaftlichen oder technischen Gründen nicht unverzüglich, sondern nur zu bestimmten Zeitpunkten (Lösch-Zyklen) möglich, so muss bis zur endgültigen Löschung zumindest sichergestellt werden, dass die Daten nur gespeichert, aber nicht anders verwendet werden (§ 4 Abs 2 Datenschutzgesetz). Der Verantwortliche muss jederzeit nachweisen können, wann/wie/warum die Löschungen der Daten erfolgt sind, welche Ausnahmen davon gemacht und wie die Betroffenen darüber informiert wurden bzw. wie all das künftig erfolgen soll (s. Art 5 (2) DSGVO).

 

Pflichtverletzungen: aktuelle Fälle
Die zeitlich unbegrenzte Speicherung von personenbezogenen Daten für eine eventuell zukünftige Kontaktaufnahme stellt eine Verletzung des Grundsatzes der Speicherbegrenzung dar (Art. 5 Abs. 1 lit. e Lupe blau Fotolia_Maksim KabakouDSGVO - 28.05.2018, GZ DSB-D216.580/0002-DSB/2018). Hat der Beschwerdeführer ausdrücklich eine bloß teilweise Löschung seiner personenbezogenen Daten verlangt, der Verantwortliche daraufhin aber alle Daten des Beschwerdeführers gelöscht, so stellt diese „überschießende“ Löschung eine Verletzung des Grundsatzes nach Treu und Glauben, des Rechts auf Löschen und des Rechts auf Integrität der Daten dar (Bescheid vom 5.12.2018, GZ DSB-D123.211/0004-DSB/2018). Der Verantwortliche hätte, wenn er der Ansicht war, dass einem partiellen Löschungsbegehren nicht entsprochen werden kann, dem Betroffenen die dafür maßgeblichen Gründe vor der gänzlichen Löschung mitteilen müssen. Und zwar so, dass die Gründe für den Betroffenen nachvollziehbar sind.

 

Löschen von verschiedenen Datenarten
Auch Protokoll-Daten stellen regelmäßig personenbezogene Daten dar, für welche angemessene Löschroutinen implementiert werden müssen. Die erforderliche Speicherfrist ist gemäß dem Protokollierungszweck zu bemessen (13.12.2017, DSB-D213.531/0009-DSB/2017). Für die Speicherung von Bewerber-Daten war eine Frist von 7 Monaten, die ausreichend begründet war, zulässig (27. 8. 2018, DSB-D123.085/0003-DSB/2018). Für die Löschung von Daten in Backup- oder Archivablagen schlägt ISPA – Internet Service Providers Austria - mangels gesicherter Judikatur vor, die Verarbeitung einzuschränken, bis der dokumentierte Backup- oder Archivzyklus zur endgültigen Löschung führt. Einschränken bedeutet, dass die Daten vorläufig nur gespeichert, aber nicht anders verarbeitet werden dürfen (Art 18 DSGVO).


Löschpflicht, obwohl Daten weiter benötigt werden?
Daten müssen grundsätzlich gelöscht werden, wenn ein Grund für die (weitere) Verarbeitung zu dem ursprünglich festgelegten Zweck nicht (mehr) besteht. Manchmal jedoch benötigt der Verantwortliche die Daten weiterhin, allerdings für einen anderen Zweck, etwa wegen einer steuerrechtlichen Aufbewahrungspflicht (7 Jahre nach § 132 Abs 1 BAO) oder auch um künftig mögliche Schadenersatz-Forderungen abwehren zu können. Damit die Verarbeitung wegen letzterem zulässig ist, muss der Verantwortliche darlegen, welche konkreten zukünftigen Gerichtsverfahren auf welcher Haftungsgrundlage ihm drohen und inwiefern deshalb die weitere Speicherung der personenbezogenen Daten tatsächlich notwendig ist.

 

In diesem Sinn hat die Datenschutzbehörde die 7-monatige Speicherung von Daten eines abgelehnten Bewerbers – auch entgegen dessen Löschungsantrag - als zulässig erachtet. Denn der Verantwortliche sollte sich mit Hilfe der streitgegenständlichen Daten in einem allfälligen Gerichtsverfahren wegen Nicht-Gleichbehandlung des Bewerbers zur Wehr setzen können. Die gegenständliche gesetzliche Frist zur Überreichung der Klage an das Gericht beträgt 6 Monate (§§15 und 29 Gleichberechtigungsgesetz). Diese 6 Monate wurden noch um 1 Monat für die Dauer der Zustellung der Klage an den Beklagten verlängert (27. 8. 2018, DSB-D123.085/0003-DSB/2018).


In einem früheren Verfahren hatte die Datenschutzbehörde entschieden, dass die gesetzliche Verjährungsfrist von 10 Jahren für eine Festsetzung von Abgaben (§ 207 BAO) kein ausreichender Grund war, die Daten so lange aufzubewahren (DSB-D216.471/0001-DSB/2018 vom 28.5.2018). Allerdings gilt diese 10-jährige Verjährungs-Frist nur für den Fall vorsätzlicher Abgaben-Hinterziehung, während bloß fahrlässig vermiedene Abgaben nur 3 bzw. 5 Jahre lang vorgeschrieben werden können. Es ist nachvollziehbar, dass der Täter einer vorsätzlichen Straftat hier nicht begünstigt werden sollte.
Der kurze Verweis eines Verantwortlichen dass „sicher amtsbekannte Gründe“ gegen die Löschung der Daten vorliegen, war freilich keine ausreichende Begründung, um die weitere Verwendung der Daten zu rechtfertigen (28.05.2018, GZ DSB-D216.580/0002-DSB/2018).

 

Beispiel: Löschung alter Adressdaten in der Adress-Datenbank
Grundsätzlich müssen Adress-Daten vom Verantwortlichen gelöscht werden, sobald der ursprüngliche Zweck der Verarbeitung – etwa Betreuung eines Kunden – beendet ist. Oft wird die Weiterverwendung der Daten zum Zweck der Bewerbung der eigenen Waren und Dienstleistungen zulässig sein („berechtigtes Interesse“). Dies gilt freilich nur für eine angemessene Zeit - je nach Art der (vorläufig beendeten03_lupe_istockphoto shapecharge) Kundenbeziehung, der angebotenen Ware oder Dienstleistung und berechtigter Kundenerwartungen. Die weitere Speicherung der Adressdaten kann auch wegen Einwilligung oder vorsorglich zur Abwehr künftiger Haftungen zulässig sein – oder sie ist erforderlich wegen gesetzlicher oder vertragli-cher Aufbewahrungspflichten. Ist die grundsätzlich erforderliche Löschung aus wirtschaftlichen oder technischen Gründen nicht unverzüglich, sondern nur zu bestimmten Zeitpunkten möglich, so muss bis zur endgültigen Löschung zumindest sichergestellt werden, dass die Daten nur gespei-chert, aber nicht anders verwendet werden (§ 4 Abs 2 Datenschutzgesetz). Wann die endgültige Löschung dann spätestens zu erfolgen hat, ist im Einzelnen Auslegungssache. Werden Backup-Datenträger überschrieben, so erfolgt die Löschung durch das (mehrmalige) Überschreiben. Zur Sicherstellung DSGVO-konformer Löschung müssen geeignete Löschmaßnahmen überlegt und dokumentiert werden. Dazu muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen (Art 24 DSGVO).

 

Dabei sind:
• Art, Umfang, Umstände und Zwecke der konkreten Verarbeitung der gegenständlichen Adressdaten und
• sich daraus ergebende Eintrittswahrscheinlichkeit und Schwere von Risiken für die Be-troffenen zu berücksichtigen.

 

Diese Maßnahmen sind erforderlichenfalls zu überprüfen und zu aktualisieren. Gemäß Art 25 DSGVO sind dabei auch der Stand der Technik und Implementierungskosten zu berücksichtigen. Letzteres wird (sehr) einschränkend ausgelegt. Die jetzt zu treffenden Maßnahmen sollen auch sicherstellen, dass jedenfalls künftig gespeicherte Adressdaten DSGVO-konform gelöscht werden können. Bloße Adressdaten mögen oft kein größeres Risiko für Betroffene darstellen. Ein wesentlich erhöhtes Risiko kann sich aber etwa aus der rechtswidrigen Zusammenführung solcher Adressdaten mit anderen Daten ergeben! Auch dies muss bedacht und durch geeignete Maßnahmen der Datensicherheit (Art 32 DSGVO) verhindert werden.

 

Löschpflicht NUR wegen fehlender Datenschutz-Information an Betroffenen
Ein Verantwortlicher hatte „berechtigte Interessen“ (Art 6 Abs 1 lit f DSGVO) an einer Eintragung über ein Insolvenzverfahren in seiner Konsumenten- und Warenkreditevidenz. Diese Verarbeitung wäre daher grundsätzlich zulässig gewesen. Sie war dennoch unzulässig, weil der Verantwortliche den Grundsatz von „Treu und Glauben“ (Art 5 Abs 1 lit a DSGVO) verletzt hat, indem er den Betroffenen über diese Verarbeitung seiner Daten nicht informiert hat. Das Löschungsbegehren des Betroffenen war deshalb berechtigt (Bescheid vom 30.11.2018, GZ DSB-D122.954/0010-DSB/2018). Unrechtmäßig verarbeitete persone01_racks_marrakeshh_Fotolia_NLnbezogene Daten sind also zu löschen (Art 17 Abs 1 lit d DSGVO). Das hat große praktische Bedeutung für Unternehmen, welche Ihre umfassenden Datenschutz-Mitteilungspflichten gegenüber Betroffenen (Art 12 bis 14 DSGVO) nicht ausreichend erfüllen. Die Verarbeitungen sind unzulässig und die Daten zu löschen. Auch nicht freiwillig erteilte Einwilligungen sind ungültig (Art. 7 DSGVO). Beispielsweise geht die Datenschutzbehörde im Regelfall davon aus, dass Einwilligungen von einzelnen Mitarbeitern nicht freiwillig erteilt wurden und daher ungültig sind. Besteht kein anderer Rechtgrund für die Verarbeitung - etwa das vertragliche Erfordernis oder die gesetzliche Pflicht zur Verarbeitung oder das berechtigte Interesse (Art 6 DSGVO) - so ist die Verarbeitung rechtswidrig und die Daten müssen gelöscht werden.

 

Unzulässig war auch die Verarbeitung in den beiden ganz zu Anfang angeführten Entscheidungen. Die Kartellbehörde hat Facebook noch eine Frist eingeräumt, um gültige Einwilligungen nachzuholen; andernfalls die weitere Verarbeitung kartellrechtlich untersagt werden könnte. Ein datenschutzrechtliches Bußgeldverfahren könnte zusätzlich folgen. Gegen Google hat die französische Datenschutzbehörde wegen fehlender Transparenz und unzureichender Information an Betroffene sogleich ein beachtliches Bußgeld verhängt. Die Österreichische Datenschutzbehörde hat in dem oben angeführten Bescheid vom 30.11.2018, GZ DSB-D122.954/0010-DSB/2018, die Berechtigung des Löschungsantrages wegen unzureichender Information erkannt. Ob diese Entscheidung rechtskräftig wird und ein Bußgeldverfahren angeschlossen wird, bleibt abzuwarten. Die rechtlichen Möglichkeiten für die Behörden sind jedenfalls vielfältig.


Aus Haftungssicht gilt:

  • Der Verantwortliche muss jederzeit nachweisen können, wann/wie/warum die Löschungen oder Einschränkungen erfolgt sind und künftig regelmäßig erfolgen sollen, welche Ausnahmen vom Löschen geltend gemacht werden und wie die Betroffenen über all das in-formiert werden (s. Art 5 Abs 2 DSGVO).
  • Achten Sie besondersauf die richtige und ausreichende Rechtsgrundlage für Ihre Verarbeitungen (Art 6 ff DSGVO)

~ bei Einwilligungen auf deren Gültigkeit (Art 7 DSGVO),

~ dass die Betroffenen über die Rechtsgrundlage informiert werden und,

~ wenn die Verarbeitung auf berechtigte Interessen gestützt wird, dass die Betroffenen auch konkret über diese verfolgten Interessen informiert werden (Art 13 Abs 1 lit d und Art 14 Abs 2 lit b DSGVO).

  • Ein umfassendes Lösch-Konzept kommt vor allem für größere Datenverarbeitungen in Betracht.
  • Empfehlung für kleinere Datenverarbeitungen mit geringeren Risiken für Betroffene: Besser ein paar einfache „Lösch-Regeln“, die umgesetzt und kontinuierlich verbessert werden - dazu wird die Behörde im Fall einer Überprüfung in den nächsten Monaten vielleicht nur Verbesserung auftragen - statt gar keine Regeln zum Löschen - in welchem Fall auch ein Bußgeld nicht unwahrscheinlich ist (siehe Art 83 (2) lit d DSGVO und § 11 DSG)!
  • Für kleinere Datenverarbeitungen können einfache Lösch-Regeln für einzelne Branchen ausgearbeitet und gemeinsam verwendet werden (siehe dazu auch https://www.frank-law.at/datdok/ ).

 

Ihre Kommentare und Wünsche für weitere Themen im Rahmen des CIS-Newsletters richten Sie gern an RA Dr Markus Frank, office@frank-law.at. Dieser Artikel ersetzt nicht rechtliche Beratung. Trotz Bemühen um Vollständigkeit und Richtigkeit wird jede Haftung für Schäden aus oder in Zusammenhang mit diesem Artikel ausgeschlossen. www.frank-law.at

 

___________________________

Herausgeber des CIS-Newsletters:

CIS - Certification & Information Security Services GmbH, www.cis-cert.com, office@cis-cert.com

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB