Zum Inhalt springen Zur Navigation springen
Datenschutzrechtliche Folgen durch zu frühes Löschen

Datenschutzrechtliche Folgen durch zu frühes Löschen

Artikel von Dr. Datenschutz·4. Mai 2023

Beschäftigt man sich mit dem Thema Datenschutz wird man früher oder später über die Frage stolpern, ob und wann bestimmte Daten eigentlich gelöscht werden müssen. Dass eine zu lange Aufbewahrung personenbezogener Daten Folgen haben kann, kann man sich auch als Laie sicherlich vorstellen. Doch kann auch das vorzeitige Löschen die betroffene Person in ihren Rechten verletzen?

Sachverhalt: Alte Unterlagen bei Nachfrage schon gelöscht

Mit dieser Frage beschäftigte sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg und berichtet in seinem Tätigkeitsbericht aus dem Jahr 2022 (S. 95) über die Betroffenenbeschwerde eines Bankkunden. Dieser bestritt, einem Angehörigen in der Vergangenheit eine vorübergehende Kontovollmacht erteilt zu haben und forderte von der Bank einen Nachweis über die Vollmachtserteilung. Die Bank konnte dem nicht nachkommen, da die entsprechenden Unterlagen „wegen Zeitablaufs der Aufbewahrung entzogen und vernichtet worden waren“. Mit diesem Sachverhalt wandte sich der Betroffene an die Aufsichtsbehörde und beanstandete, dass die Bank durch die Löschung des Vollmachtsnachweises ihre handels- und steuerrechtlichen Aufbewahrungspflichten verletzt habe.

Mögliche Rechtsgrundlage für zu frühes Löschen

Zunächst ist festzuhalten, dass Angaben zu einer Kontovollmacht auch einen Bezug zum jeweiligen Kontoinhaber aufweisen und demzufolge personenbezogene Daten sind. So ist der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) eröffnet. Sowohl das Speichern als auch das Löschen dieser Daten stellt eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar und erfordert eine Rechtsgrundlage.

Das Recht auf Löschung nach Art. 17 DSGVO

Grundsätzlich kann sich auch für eine Bank eine Verpflichtung zum Löschen personenbezogener Daten aus Art. 17 DSGVO ergeben, wenn die betroffene Person dies verlangt:

„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden […]“

Hierbei muss immer auch Art. 17 Abs. 3 DSGVO berücksichtigt werden, wonach das Recht auf Löschung dann nicht besteht, wenn die Datenverarbeitung aus anderen, wichtigeren Gründen erforderlich ist, z.B.

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer rechtlichen Verpflichtung
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  • für im öffentlichen Interesse liegende Archivzwecke
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Für Banken besteht insbesondere eine rechtliche Verpflichtung zur Aufbewahrung nach § 257 des Handelsgesetzbuchs und § 147 der Abgabenordnung. Solange diese Fristen noch laufen, darf die Bank die Daten nicht (freiwillig) löschen.

Berechtigtes Interesse des Verantwortlichen nach Art. 6 Abs. 1 lit. f) DSGVO

Wenn die Bank nicht nach Artikel 17 DSGVO zur Löschung der Daten verpflichtet ist, kommt für eine (freiwillige) Löschung Art. 6 Abs. 1 lit. f) DSGVO in Betracht. Danach ist die Verarbeitung – also auch das Löschen – personenbezogener Daten nur rechtmäßig, wenn sie

„zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]“

Folglich müsste die Bank ein berechtigtes Interesse an einer frühzeitigen Löschung der Daten gehabt haben. Ein solches scheidet jedoch auch dann aus, wenn die Unterlagen aufbewahrungspflichtig sind und diese Fristen noch nicht abgelaufen sind.

Der Landesbeauftragte kam im zugrundeliegenden Fall zu dem Ergebnis, dass sowohl die Über- als auch die Unterschreitung gesetzlicher Aufbewahrungsfristen gegen die DSGVO verstoßen. Anschließend stellte er sich die Frage, ob dieser Verstoß im Rahmen einer Betroffenenbeschwerde nach Art. 77 Absatz 1 DSGVO angegriffen werden kann. Denn dessen weiten Anwendungsbereich sieht der Landesdatenschutzbeauftragte durch den EG 141 Satz 1 Variante 1 insofern eingeschränkt, als dass der Betroffene in seinen Rechten aus der DSGVO verletzt sein muss.

Kann die vorzeitige Löschung eine Rechtsverletzung darstellen?

Um die Frage beurteilen zu können, ob eine vorzeitige Löschung eine Rechtsverletzung für den Betroffenen darstellen kann, muss man sich zunächst den Schutzzweck der gesetzlichen Aufbewahrungsfristen ansehen. Die o.g. handels- und steuerrechtlichen Bestimmungen dienen dem Schutz der ordnungsgemäßen Buchführung als Grundvoraussetzung jeder ordnungsgemäßen Wirtschaftsführung.

Schutzzweck der Aufbewahrungspflichten

  • Buchführungspflicht: Als Kaufmann im handelsrechtlichen Sinn ist die Bank nach 238 Abs. 1 S. 1 HGB dazu verpflichtet, Bücher zu führen und in diesen ihre Handelsgeschäfte und die Lage ihres Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich zu machen. Dies dient dem Schutz des Wirtschaftsverkehrs.
  • Besteuerung: Zudem soll die Aufbewahrung vom Unterlagen nach der Abgabenordnung eine ordnungsgemäße Besteuerung sicherstellen.

Die Aufbewahrungspflichten dienen dagegen nicht möglichen Beweisführungsinteressen der Bankkunden. Eine datenschutzrechtliche Rechtsverletzung der betroffenen Person ist daher bei einer vorzeitigen Datenlöschung zu verneinen.

Ablauf von Aufbewahrungsfristen – und dann?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg kommt zu dem Ergebnis, dass einer betroffenen Person eine datenschutzrechtliche Beschwerdebefugnis nur gegen eine Überschreitung handels- und steuerrechtlicher Aufbewahrungspflichten zusteht, nicht aber gegen deren Unterschreitung.

Dies ist aus Sicht der betroffenen Person sicherlich ein unbefriedigendes Ergebnis. Doch zeigt dieser Fall, dass sich insbesondere auch Verantwortliche einer Datenverarbeitung über den Sinn und Zweck von auf sie anwendbare (Aufbewahrungs-) Pflichten und -fristen Gedanken machen sollten.

Daran schließt sich die Frage an, wie im Unternehmen zu verfahren ist, wenn Aufbewahrungsfristen abgelaufen sind oder eine betroffene Person die Löschung sie betreffender Unterlagen verlangt. Zu klären sind u.a. die Fragen

  • Wie soll der Löschprozess erfolgen (manuell, automatisiert oder teilautomatisiert)?
  • Wie soll die Löschung der Daten(-träger) erfolgen (Vernichtung oder Anonymisierung)?
  • Wer überwacht die Einhaltung und trägt die Verantwortung?

Die Beantwortung dieser und weiterer Fragen wird bestenfalls in einem sog. Löschkonzept dokumentiert, welches dann als Grundlage zur Umsetzung im jeweiligen Unternehmen dient.

Webinar zum Thema

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „DSGVO-konformes Löschen – Datenschutzrechtliche und technische Herausforderungen meistern“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!

Mittwoch, den 24.05.2023
von 14:30 bis 17:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.