Auskunftsanspruch bei bestehenden Aufbewahrungspflichten

Fachbeitrag

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich in seinem 49. Tätigkeitsbericht für das Jahr 2020 mit einem Thema beschäftigt, das trotz hoher Praxisrelevanz ein Schattendasein führt: Die Auskunftserteilung über Daten, die nur noch zur Erfüllung gesetzlicher Aufbewahrungsfristen gespeichert werden. Was gilt es hier zu beachten?

Kein grenzenloses Auskunftsrecht

Das Auskunftsrecht aus Art. 15 DSGVO gilt nicht absolut. Nach Art. 23 Abs. 1 DSGVO können es Mitgliedstaaten durch Rechtsvorschriften beschränken. Von dieser Öffnungsklausel hat der deutsche Gesetzgeber unter anderem in § 34 BDSG Gebrauch gemacht.

Hiernach gilt gem. § 34 Abs. 1 Nr. 2 BDSG im Wesentlichen: Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht nicht, wenn

„die Daten

  1. nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder
  2. ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen

und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.“

Der Gesetzgeber wollte hier, ausweislich der Gesetzesbegründung zum neuen BDSG (BT-Drs. 18/11325, S. 104) im Wesentlichen die alte Regelung aus § 19 Absatz 2 und § 33 Absatz 2 Satz 1 Nummer 2 BDSG a. F. fortführen. Die genannten Normen aus der alten Fassung des BDSG hatten nahezu den gleichen Wortlaut wie der hier gegenständliche § 34 Abs. 1 Nr. 2 BDSG.

Auch soll der Ausnahmetatbestand aus § 34 Abs. 1 Nr. 2 BDSG Verantwortliche vor einem unverhältnismäßigen Aufwand durch Auskunftsanfragen bewahren. Und gerade dieser Punkt scheint von Verantwortlichen gerne übersehen zu werden. Um vor einem unverhältnismäßigen Aufwand bewahrt zu werden, muss ein solcher zunächst bestehen.

Irrtümliche Annahmen

Die Hessische Aufsichtsbehörde berichtet in ihrem 49. Tätigkeitsbericht (S. 41) von Verantwortlichen, die im Rahmen der Auskunftserteilung gegenüber Betroffenen die Angabe machten, personenbezogene Daten, die aufgrund von § 257 HGB vorgehalten wurden, nicht in das Auskunftsschreiben aufgenommen zu haben. Hinsichtlich solcher Daten bestünde gemäß § 34 Abs. 1 BDSG eine Befreiung von der Auskunftspflicht.

Hier stellt die Hessische Aufsichtsbehörde nun fest, dass allein die Tatsache der Speicherung aufgrund einer Aufbewahrungspflicht nicht automatisch zur Einschränkung der Auskunftserteilung führt.

Die Aufsichtsbehörde vermutet, dass manche Verantwortliche irrtümlich davon ausgehen, dass sich das zusätzliche Erfordernis des „unverhältnismäßigen Aufwands“ nur auf die Regelungsalternative des Abs. 1 Nummer 2 b (Speicherung ausschließlich für Zwecke der Datensicherung oder der Datenschutzkontrolle) beziehe. Tatsächlich gilt die zusätzliche Voraussetzung für eine Auskunftsverweigerung jedoch auch für Abs. 1 Nr. 2 a, daher auch für Daten, die aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen.

Unverhältnismäßiger Aufwand

Leider bleiben Ausführungen im Tätigkeitsbericht recht abstrakt. Die Aufsichtsbehörde beschäftigt sich etwa nicht mit der Frage, wie hoch (oder tief) die Latte für die Annahme eines „unverhältnismäßigen Aufwands“ liegen muss. Der Begriff des unverhältnismäßigen Aufwandes taucht regelmäßig im Zusammenhang mit Auskunftsansprüchen auf und ist viel diskutiert, wir haben dem Thema in der Vergangenheit einen Blogbeitrag gewidmet und dazu ein Urteil des LG Heidelberg besprochen.

Es bedarf keiner besonderen Phantasie, um sich auszumalen, wann die Auskunftserteilung über Daten, die nur noch aufgrund handels- und steuerrechtlichen Aufbewahrungspflichten aufbewahrt werden (müssen) und auch sonst zu keinen anderen Zwecken mehr verarbeitet werden, für den Verantwortlichen unverhältnismäßig werden kann.

Werden aufbewahrungspflichtige Rechnungen etwa nach den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) elektronisch archiviert, gilt es nach Randnummer 122 folgendes zu beachten:

„Ein elektronisches Dokument ist mit einem nachvollziehbaren und eindeutigen Index zu versehen. Der Erhalt der Verknüpfung zwischen Index und elektronischem Dokument muss während der gesamten Aufbewahrungsfrist gewährleistet sein. Es ist sicherzustellen, dass das elektronische Dokument unter dem zugeteilten Index verwaltet werden kann. Stellt ein Steuerpflichtiger durch organisatorische Maßnahmen sicher, dass das elektronische Dokument auch ohne Index verwaltet werden kann, und ist dies in angemessener Zeit nachprüfbar, so ist aus diesem Grund die Buchführung nicht zu beanstanden.“

Maßgeblich im Zusammenhang mit der gesetzlichen Aufbewahrungsfrist ist, dass das Dokument eindeutig indexiert und auffindbar ist. Ob und in welcher Rechnung der Auskunftsbegehrende jedoch im Einzelfall möglicherweise auftaucht, wird der Verantwortliche nicht ohne Weiteres ermitteln können. Die Sichtung aller Unterlagen zur Erfüllung seiner Auskunftspflichten kann den Verantwortlichen, je nach eingesetzten System, vor kaum lösbare Probleme stellen.

Dokumentations- & Begründungspflicht

Die Verweigerung der Auskunft aufgrund unverhältnismäßigen Aufwands ist gem. § 34 Abs. 2 S. 2 BDSG dem Auskunftsbegehrenden mitzuteilen, soweit hierdurch nicht der durch die Auskunftsverweigerung verfolgte Zweck gefährdet würde. Von der Mitteilungspflicht ausgenommen ist indes die interne Dokumentation der Auskunftsverweigerung, die ebenfalls verpflichtend ist. Diese ist auf Verlangen der Aufsichtsbehörde mitzuteilen, worauf der Hessische Datenschutzbeauftragte in seinem Tätigkeitsbericht ausdrücklich hinweist. Der Datenschutzaufsicht stehe bezüglich des Vorliegens eines unverhältnismäßigen Aufwandes ein „vollumfängliches Überprüfungsrecht“ zu.

Auch störte sich die Aufsichtsbehörde in einem Praxisfall an der lediglich pauschalen Mitteilung eines Energieversorgers, dass es sein könne, dass weitere personenbezogene Daten aufgrund von gesetzlichen Aufbewahrungsvorschriften gespeichert werden und eine Auskunftserteilung aufgrund des unverhältnismäßigen Aufwandes verweigert wird.

Kurzer Handlungsleitfaden

Obwohl die Ausführungen der Aufsichtsbehörde bei der Thematik im Ungefähren bleiben, eignen sie sich dennoch für die Erstellung einer kurzen Checkliste. Bei einem Auskunftsbegehren, welches möglicherweise aufbewahrungspflichtige Datensätze tangiert, ist zu beachten:

  • Im Grundsatz ist immer davon auszugehen, dass das Auskunftsrecht besteht und vollumfänglich umzusetzen ist. Dies gilt insbesondere auch für Daten, die aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden (z.B. Rechnungen) oder zu Zwecken der Datensicherung oder der Datenschutzkontrolle (Backups, Logfiles) aufbewahrt werden.
  • Hat man Hinweise darauf, dass sich personenbezogene Daten des Betroffenen in diesen Datensätzen befinden, ist zu prüfen, ob die betroffenen Informationen mit einem verhältnismäßigen Aufwand aufgefunden und mit beauskunftet werden können.
  • Ist dies nicht der Fall, muss intern dokumentiert werden, weshalb dies nicht möglich war.
  • Im Rahmen der Auskunftserteilung ist dem Auskunftsbegehrenden konkret mitzuteilen, weshalb eine Beauskunftung der entsprechenden Daten nicht möglich war. Pauschale Ausführungen sind nach Möglichkeit zu vermeiden. Die Aufsichtsbehörden halten solche für einen Verstoß gegen die Mitteilungspflicht über die Gründe der Auskunftsverweigerung aus § 34 Abs. 2 S. 2 BSDG.
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.