Schlagwort: Löschpflicht

Aufbewahrungspflichten: Keine Beschwerdebefugnis bei Unterschreitung

27. September 2023

Im Datenschutzrecht sind die Aufbewahrung und Löschung personenbezogener Daten von entscheidender Bedeutung. Die DSGVO sieht vor, dass personenbezogene Daten gelöscht werden müssen, sobald sie für den ursprünglichen Zweck ihrer Erhebung nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Dies ist eine wichtige Ausprägung des Grundsatzes der Datensparsamkeit.

Häufig beschweren sich Betroffene darüber, dass ihre Daten zu lange gespeichert werden. Doch in einigen Fällen monieren Betroffene auch die vorzeitige Löschung ihrer Daten. Ein aktueller Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) beleuchtet diesen zweiten Aspekt und stellt klar, dass betroffene Personen in diesem Fall keine Beschwerdebefugnis haben.

Der Sachverhalt

Der Tätigkeitsbericht des LfDI BaWü beschreibt einen Fall, in dem ein Bankkunde über mehrere Jahre hinweg mit seiner Bank über Vorgänge in Bezug auf sein Bankkonto stritt. Die Bank behauptete, der Kunde habe einem Angehörigen eine Kontovollmacht erteilt, was der Kunde bestritt. Der Kunde forderte von der Bank einen Nachweis dieser Vollmacht in Form eines entsprechenden Dokuments. Die Bank konnte diesen Nachweis jedoch nicht erbringen, da die relevanten Unterlagen aufgrund abgelaufener gesetzlicher Aufbewahrungsfristen vernichtet worden waren.

Die datenschutzrechtliche Relevanz

Der LfDI BaWü betont in seinem Bericht, dass Informationen zu Kontovollmachten als personenbezogene Daten anzusehen sind, da sie einen Bezug zum jeweiligen Kontoinhaber haben. Sowohl die Speicherung als auch die Löschung solcher Daten stellen somit eine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO dar und erfordern eine rechtliche Grundlage gemäß der DSGVO.

Die Bank konnte sich nicht auf Art. 17 DSGVO berufen, da sie nicht zur Löschung der Daten verpflichtet war. Als mögliche Rechtsgrundlage für eine freiwillige Löschung käme allenfalls das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Die Aufsichtsbehörde argumentiert jedoch, dass ein berechtigtes Interesse an der Löschung seitens der Bank verneint werden könne, solange die gesetzlichen Aufbewahrungsfristen für die relevanten Dokumente nicht abgelaufen seien. Folglich könne sich die Bank aufgrund von Art. 17 Abs. 3 lit. b DSGVO nicht auf eine datenschutzrechtliche Löschpflicht berufen.

Die Rechte betroffener Personen

Der LfDI BaWü hebt hervor, dass betroffene Personen gemäß Art. 77 Abs. 1 DSGVO das Recht haben, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt. Allerdings gibt es eine wichtige Einschränkung, die aus Erwägungsgrund 141 S. 1 der DSGVO hervorgeht: Jede betroffene Person, die sich in ihren Rechten gemäß der DSGVO verletzt sieht, sollte die Möglichkeit haben, eine Beschwerde einzureichen.

Die Einschränkung: Gesetzliche Aufbewahrungspflichten

Der LfDI BaWü betont jedoch, dass die vorzeitige Löschung von Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, nicht als Verletzung der Rechte betroffener Personen gemäß der DSGVO betrachtet wird. Die gesetzlichen Aufbewahrungspflichten haben einen klaren Schutzzweck und dienen der ordnungsgemäßen Buchführung sowie der Sicherstellung einer ordnungsgemäßen Besteuerung. Daher wird eine vorzeitige Löschung solcher Daten nicht als datenschutzrechtliche Verletzung angesehen.

Fazit

Zusammenfassend bedeutet dies, dass betroffene Personen keine datenschutzrechtliche Beschwerdebefugnis gegen die Unterschreitung gesetzlicher Aufbewahrungspflichten haben. Dennoch ist es von entscheidender Bedeutung, sicherzustellen, dass gesetzliche Aufbewahrungspflichten eingehalten werden. Selbst wenn betroffene Personen keine Beschwerde einreichen können, ist die vorzeitige Löschung gesetzlich vorgeschriebener Daten unzulässig und kann von der zuständigen Aufsichtsbehörde gerügt werden. Die Einhaltung dieser Pflichten ist daher von großer Bedeutung, um rechtliche Konflikte zu vermeiden und den Datenschutz zu gewährleisten.

Kategorien: Online-Datenschutz
Schlagwörter: , , ,

Europol kommt Löschpflicht nicht nach

10. Februar 2022

Die Europäische Strafverfolgungsbehörde Europol muss personenbezogene Daten von Verdächtigen, welchen eine Verbindung zu Straftaten nicht nachgewiesen werden kann, nach sechs Monaten löschen. Laut einer Pressemitteilung des Europäischen Datenschutzbeauftragten (EDPS) kam Europol dieser Verpflichtung nicht nach.

Der europäische Datenschutzbeauftragte Wiewiórowski hat Europol aufgefordert Daten von Verdächtigen in großem Umfang zu löschen. Konkret betroffen seien Datensätze, welche Europol von den Ermittlungsbehörden der EU-Staaten übermittelt wurden. Aufgrund der Masse an übermittelten Daten dauere der Prozess der Analyse bei Europol jedoch meist Jahre. Hinsichtlich der Speicherfristen entspräche die Behörde jedoch nicht ihren eigenen Regelungen. Diese bestimmen die Löschung personenbezogener Daten von Verdächtigen nach spätestens sechs Monaten, sofern den Betroffenen keine Verbindung zu einer kriminellen Aktivität nachgewiesen werden kann.

Auf die Strafverfolgungsbehörde warten arbeitsintensive zwölf Monate. Zunächst soll die Behörde innerhalb von sechs Monaten eine Voranalyse und Filterung der gespeicherten Datensätze vornehmen. Mit diesem Vorgehen werden zugleich “die Risiken für die Rechte und Freiheiten von Personen auf ein Minimum reduziert”. In den nachfolgenden sechs Monaten soll dann die Umsetzung der Löschpflicht zu einer Vereinbarkeit mit den datenschutzrechtlichen Regularien folgen.

Europol kritisierte die Anordnung des EDPS in einer Pressemitteilung, da die Behörde durch den Beschluss des EDPS in der Fähigkeit beeinträchtigt werde, große und komplexe Datensätze auszuwerten. Gerade in Fällen mit komplexen und umfangreichen Datensätzen nehme dies oftmals mehr als sechs Monate in Anspruch.

Die Entscheidung des EDPS war für Europol jedoch bereits absehbar. Bereits im September 2020 verwarnte der Datenschutzbeauftragte die Behörde aufgrund ihres Umgangs mit der Speicherung personenbezogener Daten.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen · DSGVO · Internationaler Datenschutz
Schlagwörter: , , , , ,

Löschpflicht von Suchmaschinenergebnissen

10. Januar 2019

In seinem Schlussantrag hat der Generalanwalt Maciej Szpunar eine Löschpflicht von Suchmaschinenbetreibern von Links, die zu Internetseiten mit den sensiblen Daten der Betroffenen führen, bestätigt. Es müsse jedoch das Recht auf Zugang zu Informationen und das Recht auf Freiheit der Meinungsäußerung gewahrt werden.

Mehrere Privatpersonen sind gegen Beschlüsse der französischen Datenschutzbehörde (Commission nationale de l’informatique et des libertés, CNIL) vor den EuGH (Rechtssache C-136/17) gezogen. Die Behörde hat ihre Anträge einen Suchmaschinenbetreiber aufzufordern Suchergebnisse zu ihrem Namen zu löschen, abgelehnt. Die Suchergebnisse führten zu Internetseiten Dritter, die Informationen über die religiöse Zugehörigkeit, die politische Einstellung und eine strafrechtliche Verurteilung der Betroffenen veröffentlichten.

Im Zusammenhang mit Ergebnislisten einer Suchmaschine muss berücksichtigt werden, dass diese nur auf Webseiten Dritter zugreift und selbst keine personenbezogenen Daten veröffentlicht. Der Suchmaschinenbetreiber verarbeitet aber diese sensiblen Daten von den Internetseiten und kann deshalb zur Löschung verpflichtet werden. In dem Schlussantrag kam der Generalanwalt zu dem Ergebnis, dass ein Suchmaschinenbetreiber systematisch Anträgen auf Löschung von Suchergebnissen mit sensiblen Daten stattgeben muss. Hierbei muss aber das Recht auf Zugang zu Informationen anderer Nutzer und das Recht auf Freiheit der Meinungsäußerung berücksichtigt werden.

Der Schlussantrag beurteilt den Fall auf Grundlage der alten Datenschutz-Richtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) und nicht nach der DSGVO. Der EuGH ist grundsätzlich nicht an das Ergebnis in den Schlussanträgen gebunden, folgt ihnen allerdings häufig.

Kategorien: Allgemein
Schlagwörter: , , , ,