Grundsätzlich sind personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten der Löschung entgegenstehen. Dies ergibt sich aus Art. 17 DSGVO als gesetzliche Konkretisierung des Datensparsamkeitsgrundsatzes.
Häufig beschweren sich Betroffene über die zu lange Speicherung ihrer personenbezogenen Daten. Im Tätigkeitsbericht 2022 legt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) jedoch dar, dass betroffene Personen gelegentlich auch die vorzeitige Löschung ihrer Daten monieren (vgl. Pkt. 9.3.2). Beide Sachverhalte haben hier datenschutzrechtliche Relevanz.
In seinem aktuellen Tätigkeitsbericht schildert der LfDI BaWü einen Fall, in dem sich ein Bankkunde über mehrere Jahre mit seiner Bank über Vorgänge zu seinem Bankkonto stritt. Die Bank behauptete, der Kunde habe einem seiner Angehörigen eine Kontovollmacht erteilt, was der Kunde jedoch bestritt und im Gegenzug von der Bank die Vorlage eines entsprechenden Vollmachtnachweises forderte. Den Nachweis konnte die Bank allerdings nicht erbringen, da die entsprechenden Unterlagen inzwischen wegen Ablaufs der Aufbewahrungsfristen vernichtet wurden. Daraufhin rügte der Bankkunde gegenüber der Aufsichtsbehörde die Verletzung der handels- und steuerrechtlichen Aufbewahrungspflichten seitens der Bank.
Im Bericht stellt der LfDI BaWü klar, dass Informationen zu Kontovollmachten auch einen Bezug zum jeweiligen Kontoinhaber enthalten und daher als personenbezogen anzusehen seien. Sowohl bei der Speicherung als auch bei der Löschung dieser Daten liege dementsprechend eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO vor, wofür es einer rechtlichen Grundlage gemäß der DSGVO bedürfe.
Des Weiteren führt der LfDI BaWü aus, dass wenn die Bank nicht nach Art. 17 DSGVO zur Löschung der Daten verpflichtet sei, könne als Rechtsgrundlage für eine (freiwillige) Löschung allenfalls das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen. Nach Auffassung der Aufsichtsbehörde dürfte ein berechtigtes Interesse an der Löschung für die Bank jedoch zu verneinen sein, wenn die gesetzliche Aufbewahrungsfristen für die Dokumente, welche die relevanten personenbezogenen Daten enthalten, noch nicht abgelaufen sind. Daher könne sich die Bank aufgrund von Art. 17 Abs. 3 lit. b DSGVO in diesem Zusammenhang erst recht nicht auf eine datenschutzrechtliche Löschpflicht berufen, so der LfDI BaWü.
Folglich ist nach Auffassung der Aufsichtsbehörde also weder die Über-, noch die Unterschreitung gesetzlicher Aufbewahrungsfristen mit der DSGVO vereinbar.
Was bedeutet dies für die betroffene Person?
Der LfDI BaWü weißt in diesem Fall nochmal explizit darauf hin, dass die betroffene Person gemäß Art. 77 Abs. 1 DSGVO das Recht hat, sich bei einer Aufsichtsbehörde zu beschweren, wenn die Verarbeitung der sie betreffenden personenbezogenen Daten ihrer Ansicht nach gegen die DSGVO verstößt. Gleichzeitig erfährt der weite Anwendungsbereich des Art. 77 Abs. 1 DSGVO jedoch eine erhebliche Einschränkung durch Erwägungsgrund 141 S. 1 Variante 1 zur DSGVO, wonach jede betroffene Person, die sich in ihren Rechten gemäß der DSGVO verletzt sieht, die Möglichkeit haben sollte, eine Beschwerde einzureichen. Ob die vorzeitige Löschung die betroffene Person in ihren Rechten verletzen könne, dafür sei der Schutzzweck der gesetzlichen Aufbewahrungspflichten maßgeblich. Dabei sei jedoch zu beachten, dass die entsprechenden handels- und steuerrechtlichen Bestimmungen regelmäßig nicht den Beweisführungsinteressen der Kontoinhaberin oder des Kontoinhabers entsprächen, sondern dem Schutz der ordnungsgemäßen Buchführung als Grundvoraussetzung jeder ordnungsgemäßen Wirtschaftsführung. Die Bank sei nach § 238 Abs. 1 S. 1 HGB als Kaufmann im handelsrechtlichen Sinne verpflichtet, Bücher zu führen und in diesen ihre Handelsgeschäfte nach den Grundsätzen ordnungsmäßiger Buchführung nachvollziehbar zu machen. Dies diene dem Schutz des Wirtschaftsverkehrs. Zudem solle nach Auffassung des LfDI BaWü die Aufbewahrung von Dokumenten nach der Abgabenordnung eine ordnungsgemäße Besteuerung sicherstellen. Eine datenschutzrechtliche Rechtsverletzung der betroffenen Person sei daher nach Ansicht der Aufsichtsbehörde bei einer vorzeitigen Datenlöschung nicht gegeben.
Fazit
Im Ergebnis steht einer betroffenen Person somit zwar eine datenschutzrechtliche Beschwerdebefugnis gegen eine Überschreitung der Speicherdauer zu, nicht jedoch gegen eine Unterschreitung gesetzlicher Aufbewahrungspflichten.
Dennoch ist strikt darauf zu achten, dass gesetzliche Aufbewahrungspflichten eingehalten werden. Denn auch wenn Betroffenen keine Beschwerdebefugnis zusteht, so ist die vorzeitige Löschung unzulässig und kann von der zuständigen Behörde gerügt werden. Zudem können so etwaige Konflikte mit Betroffenen bereits vorab verhindert werden.
19. September 2023 @ 15:58
Mir stellt sich in diesem Zusammenhang eher die Frage, warum hier überhaupt gelöscht wurde seitens der Bank. Im Artikel wird darauf verwiesen, dass die Bank behauptet, dass eine solche Vollmacht vorliegt und gültig ist. Folglich scheint diese Vollmacht ja nach Aussage der Bank aktiv zu sein. Damit fällt sie genau nicht unter irgendwelche Verjährungs-/Aufbewahrungsfristen, sondern ist im Rahmen der Vertragsdurchführung erforderlich, ggf. sogar über die Regelfrist von 10 Jahren.
21. September 2023 @ 9:23
Sehr geehrte/r MS,
in dem geschilderten Fall geht es um Vorgänge aus der Vergangenheit, für die nach Aussage der Bank zum damaligen Zeitpunkt eine Vollmacht bestanden haben soll. Die Frage, ob zum Zeitpunkt des Streits noch eine gültige Vollmacht vorlag, war hierbei nicht relevant.
Beste Grüße
Kevin Maulbetsch