Fehlversand: Wie umgehen mit aufgezwungenen Daten?

Artikel von Dr. Datenschutz·22. Januar 2024

Wie sich aus verschiedenen Beiträgen der Datenschutzaufsichtsbehörden ergibt, stellt der Fehlversand personenbezogener Daten eine der häufigsten Ursachen für Datenschutzverletzungen dar. Für den ungewollten Empfänger ein klarer Fall – die Daten werden gelöscht oder zurückgeschickt. In manchen Konstellationen kann eine kleine Unachtsamkeit jedoch unerwartete Folgen für die weitere Verarbeitung der betroffenen personenbezogenen Daten haben.

Der Inhalt im Überblick

Datenschutzverletzung durch Fehlversand
Wie umgehen mit aufgezwungenen Daten?
Aufbewahrungspflichtig oder nicht?
Probleme bei der nachträglichen Bearbeitung von Datensätzen
Webinar zum Thema

Datenschutzverletzung durch Fehlversand

Die wesentlichen Folgen der Datenschutzverletzung sind bekanntermaßen die Melde- und Benachrichtigungspflichten aus den Art. 33 und 34 DSGVO. Abhängig vom Risiko für die betroffene(n) Person(en) hat der Verantwortliche den Vorfall im Rahmen seiner Rechenschaftspflicht zu dokumentieren, binnen 72 Stunden an die Aufsichtsbehörde zu melden sowie die betroffene(n) Person(en) über den Vorfall zu informieren. Wie üblich ist das Ergebnis der Risikoabwägung von den konkreten Umständen des Einzelfalls abhängig.

Ungewollte Adressaten von Schreiben mit personenbezogenen Daten erhalten im Anschluss an den Fehlversand oftmals eine Mitteilung des Absenders mit der Bitte, das Schreiben – abhängig von der Art des Versandes – zu löschen, zu vernichten oder zurückzusenden. Außerdem soll bestätigt werden, dass keine Kopien angefertigt wurden. Schließlich ist auch der Verbleib des Schreibens für die Risikoabwägung im Rahmen von Art. 33 DSGVO relevant sein.

Wie umgehen mit aufgezwungenen Daten?

Der ungewollte Adressat wird die übermittelten personenbezogenen Daten löschen oder zurückschicken müssen, da es für eine weitere Verarbeitung in der Regel an der erforderlichen Rechtsgrundlage fehlen wird. Aus datenschutzrechtlicher Sicht spricht daher grundsätzlich nichts dagegen, dem Wunsch des Absenders nachzukommen.

Anders (wie auch in einem vom OLG Dresden entschiedenen Fall – Urteil vom 14.12.2021 – 4 U 1278/21) kann es sich verhalten, wenn versehentlich übermittelte personenbezogene Daten für eigene Geschäftszwecke des ungewollten Adressaten weiterverarbeitet wurden, bevor der Absender den Irrtum erkennt und darüber informiert. Werden beispielsweise durch einen Geschäftspartner personenbezogene Daten zu Abrechnungszwecken übermittelt und durch den Empfänger entsprechende Buchungsvorgänge veranlasst, unterfällt der bereits dokumentierte Buchungsvorgang möglicherweise gesetzlichen Aufbewahrungspflichten – z.B. gemäß § 147 AO oder § 257 HGB.

In dem Fall kann die zunächst unrechtmäßige Verarbeitung personenbezogener Daten zu einer weiteren Datenverarbeitung für die Dauer der gesetzlichen Aufbewahrungspflichten beim Datenempfänger führen. Für diejenigen personenbezogenen Daten, die einer zwingenden gesetzlichen Aufbewahrungspflicht unterfallen, wird sich die Rechtmäßigkeit der Datenverarbeitung zum Zwecke der Erfüllung gesetzlicher Pflichten in der Regel aus Art. 6 Abs. 1 lit. c DSGVO ergeben. Aufgrund der einschlägigen Aufbewahrungspflichten bestünde gemäß Art. 17 Abs. 3 lit. b DSGVO eine Verpflichtung zur Löschung der unbefugt offengelegten personenbezogenen Daten für die Dauer der gesetzlichen Aufbewahrungspflichten nicht.

Aufbewahrungspflichtig oder nicht?

Der Datenverarbeitung zum Zwecke der Erfüllung der gesetzlichen Aufbewahrungspflichten aus § 147 AO und § 257 HGB sind jedoch Grenzen gesetzt. Welche Prinzipien Verantwortliche bei der Führung ihrer Bücher und sonstigen Aufzeichnungen beachten müssen, regeln die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) des Bundesministeriums der Finanzen. Neben den Grundsätzen und Prinzipien der ordnungsgemäßen Buchführung finden sich in den GoBD auch Hinweise zum Umgang mit personenbezogenen Daten, die nicht aufbewahrungspflichtig sind.

Für den Fall, dass sich in aufzeichnungspflichtigen Unterlagen personenbezogene Daten finden, die nicht aufbewahrungspflichtig sind, ist in Ziffer 11.2 (Rn. 172) der GoBD folgendes Vorgehen vorgesehen:

„Enthalten elektronisch gespeicherte Datenbestände z. B. nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis (§ 102 AO) unterliegende Daten, so obliegt es dem Steuerpflichtigen oder dem von ihm beauftragten Dritten, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungs- und aufbewahrungspflichtigen Daten des Steuerpflichtigen zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Informationen erfolgen. Für versehentlich überlassene Daten besteht kein Verwertungsverbot.“

Der ungewollte Empfänger der personenbezogenen Daten sollte daher zunächst prüfen, ob der gesamte Datensatz inklusive der personenbezogenen Daten aufbewahrungspflichtig ist, oder nur bestimmte Teile.

Probleme bei der nachträglichen Bearbeitung von Datensätzen

Das nachträgliche Löschen, Anonymisieren oder Bearbeiten personenbezogener Daten kann sich als schwierig erweisen, wenn hinreichende Möglichkeiten in den eingesetzten datenverarbeitenden Systemen nicht vorgesehen sind. Auch die Verknüpfung verschiedener Datensätze kann zur Folge haben, dass sich einzelne Daten nur noch bedingt oder gar nicht mehr bearbeiten lassen, ohne den Bestand des ganzen Datensatzes zu gefährden. Bei der Auswahl datenverarbeitender Systeme ist daher stets darauf zu achten, dass die datenschutzrechtlichen Anforderungen umgesetzt werden können, wenn personenbezogene Daten im jeweiligen System verarbeitet werden sollen. Nachträgliche Umstellungen oder Anpassungen können mit hohen Aufwänden verbunden sein.

Webinar zum Thema

An die Frage, wie sich die datenschutzrechtliche Löschpflicht aus Art. 17 DSGVO bei einer verantwortlichen Stelle umsetzen lässt, tasten wir uns in unserem Webinar „DSGVO-konformes Löschen“ heran. Im Webinar zeigen wir auf, wie ein Löschkonzept zu erstellen ist und in die alltägliche Datenverarbeitung beim Verantwortlichen eingeführt werden kann. Zudem gehen wir auf verschiedene technische Fragestellungen ein, die sich bei der Umsetzung der Löschpflicht ergeben können.

Mittwoch, den 21.02.2024
von 09:30 Uhr bis 12:00 Uhr

Montag, den 04.06.2024
von 14:00 Uhr bis 16:30 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

- Aufbewahrungsfrist
  Datenschutzrechtliche Folgen durch zu frühes LöschenFachbeitrag·4. Mai 2023
- Personalakte: Ob Papier oder digital, den Datenschutz beachten!Fachbeitrag·7. April 2022
- Netzwerk Forensik: Bewegungen von Angreifern nachvollziehenFachbeitrag·25. September 2020
Mehr zum Thema
- Aufsichtsbehörde
  KI-Gesetz im Überblick: DSGVO-Vergleich und GesetzestextFachbeitrag·23. April 2024
- EuGH zu Löschungsanordnungen der DatenschutzaufsichtUrteil·28. März 2024
- Thüringer LfDI: Telefax ist kein sicheres TransportmittelNews·11. März 2024
Mehr zum Thema
- Datenschutzvorfall
  EuGH: TOMs und Schadensersatz bei CyberangriffenUrteil·13. März 2024
- Top 5 DSGVO-Bußgelder im Februar 2024News·4. März 2024
- Datenschutzvorfall beim Auftragsverarbeiter – Das erwartet der HBDIFachbeitrag·25. Oktober 2023
Mehr zum Thema
- Löschpflicht
  Datenschutzrechtliche Folgen durch zu frühes LöschenFachbeitrag·4. Mai 2023
- „Ich kenne meine Rechte“– Gelten Betroffenenrechte grenzenlos?Fachbeitrag·27. Januar 2023
- Top 5 DSGVO-Bußgelder im September 2022News·6. Oktober 2022
Mehr zum Thema
- Löschung
  EuGH zu Löschungsanordnungen der DatenschutzaufsichtUrteil·28. März 2024
- IT-Forensik und die Identifikation gelöschter DatenFachbeitrag·19. Januar 2024
- Das Recht auf Einschränkung der VerarbeitungFachbeitrag·12. Juli 2023
Mehr zum Thema
- personenbezogene Daten
  ChatGPT in der Wissenschaft – Pilotprojekt an der Uni HamburgFachbeitrag·17. April 2024
- EuGH zum Personenbezug von IdentifikationsnummernUrteil·4. April 2024
- Was ist eigentlich dieses "berechtigte Interesse"?Fachbeitrag·2. April 2024
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Aus ähnlichem Grund werden eine Hand voll Inkasso-Unternehmen die kommenden Jahre regelmäßig DSGVO Auskunftsanfragen von mir bekommen. Ein Betrüger ist mit meinen Daten auf Einkaufstour gegangen und ich habe davon erst erfahren als ich wegen nicht bezahlter Rechnungen Post vom Inkasso bekommen habe – und jetzt werden da überall ohne meine Zustimmung meine Daten verarbeitet. Aber löschen können/wollen die die Daten trotzdem nicht.

Dominik am 31. Januar 2024, 16:37 Uhr

Antworten
- Die grundsätzlichen datenschutzrechtlichen Regeln für Inkassounternehmen hatten wir im Beitrag Datenschutz und Inkasso – Wenn Moskau zweimal klingelt beschrieben. Wenn Sie der Auffassung sind, dass ein Inkassounternehmen Daten von Ihnen rechtswidrig verarbeitet oder Ihnen Betroffenrechte wie Berichtigung, Widerspruch oder Löschung zu Unrecht verwehrt, können Sie sich bei Ihrer Datenschutzaufsichtsbehörde beschweren. Daneben steht Ihnen aber auch immer die Möglichkeit offen, sich einen Anwalt zu nehmen und mögliche, bestehende Ansprüche zivilrechtlich durchzusetzen. Wir berichten hier immer wieder mal über solche Gerichtsfälle. Sie finden dazu mehr über die Suchfunktion mit Schlagwörtern wie Schufa, Auskunftei oder Inkasso, z.B. Inkasso: Schmerzensgeld wegen Schufa-Falschmeldung.
  
  Dr. Datenschutz am 1. Februar 2024, 19:05 Uhr
  
  Antworten
Hallo,
ich habe hier einmal eine grundsätzliche Frage, da Mails nach der AO eigentlich rechtssicher, heißt vor der Zustellung gespeichert werden müssen, ist es ja sehr schwierig, hier nach der Zustellung an den Empfänger in der Firma, wenn dieser feststellt, dass die Mail nicht unserer Firma gehört, diese aus dem rechtssicheren Datenspeicher zu löschen.
Unser Problem unser alter Markenname, der fast gleich laut wie der Markenname eines bekannten deutschen Produkts, dass früher fast in jedem Haushalt stand. Unsere Firma ist aber älter.
Bis jetzt speichern wir diese Eingangsmails mit, der Anfrager bekommt eine Standardantwort mit den richtigen Kontaktdaten, aber wir löschen die Eingangsmails standardmäßig mit allen anderen nach 10 Jahren.
Haben wir hier ein Problem in unserem Vorgehen? Es entsteht ja keine Geschäftsbeziehung.

Gruß,

Gerhard Schury

Gerhard Schury am 3. Februar 2024, 09:58 Uhr

Antworten
- Vielen Dank für Ihren Kommentar. Bei E-Mails (und entsprechende Kommunikation) kann es sich um Handels- oder Geschäftsbriefe oder andere aufbewahrungspflichtige Unterlagen im Sinne der AO oder des HGB handeln, was im Einzelfall zu prüfen wäre. Handelt es sich um Handels- oder Geschäftsbriefe, beträgt die Aufbewahrungspflicht in der Regel 6 Jahre. Besteht eine gesetzliche Aufbewahrungspflicht nicht und greift auch keine der anderen Ausnahmen aus Art. 17 Abs. 3 DSGVO, bemisst sich die zulässige Aufbewahrungsdauer grundsätzlich nach den Bestimmungen von Art. 17 Abs. 1 DSGVO. Im beschriebenen Fall müsste daher zunächst geklärt werden, ob die betroffenen E-Mails aufbewahrungspflichtig sind – was, wie Sie anmerken, durchaus fraglich sein kann.
  
  Dr. Datenschutz am 7. Februar 2024, 13:43 Uhr
  
  Antworten