Die Berliner Beauftragte für Datenschutz und Informationsfreiheit weist in ihrem  Jahresbericht 2023 (vgl. S. 81 f.) darauf hin, dass Unternehmen häufig die Rechtmäßigkeit von Datenverarbeitungen nach einer Löschung der Daten (z. B. auf Löschersuchen) nicht mehr nachweisen können. Besonders betroffen ist dabei der Nachweis von Einwilligungen, etwa im Rahmen von Marketingmaßnahmen.

Wie geht man also in der Praxis mit diesem Gegensatz um?

Verantwortliche müssen bei Einwilligungen gemäß Art. 7 Abs 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Dies gilt ebenso für jegliche andere Rechtsgrundlage, auch hier muss der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO einen Nachweis darüber erbringen können, dass die Daten rechtmäßig verarbeitet wurden.

Der Tätigkeitsbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit betont, dass jede Datenverarbeitung einzeln zu betrachten ist. Zum einen ist die ursprüngliche Datenverarbeitung, z. B. im Rahmen von Marketingmaßnahmen, zu beleuchten. Geht ein Löschersuchen beim Verantwortlich ein, müssen diese Daten grundsätzlich gelöscht werden. Parallel dazu besteht jedoch eine zweite Datenverarbeitung, nämlich die Datenverarbeitung zu Nachweisezwecken, also dass der initialen Datenverarbeitung eine zulässige Rechtsgrundlage zugrunde lag und eine Löschung entsprechend den Anforderungen des Art. 17 DSGVO umzusetzen war.

Die Datenverarbeitung zu Nachweiszwecken dient der Umsetzung einer rechtlichen Verpflichtung. Gemäß Art. 17 Abs. 3 lit. b DSGVO unterliegen diese Daten nicht dem „Recht auf Löschung“ und dürfen trotz eines Löschersuchens weiter gespeichert werden.

Fazit:

Für die Praxis lässt sich somit abschließend festhalten, dass jede einzelne Datenverarbeitung im Rahmen eines Löschersuchens gesondert voneinander geprüft werden muss, um den Umfang der Löschung zu bestimmen. Daten, bei denen der Zweck entfallen ist, müssen gelöscht werden. Die Nachweise für die jeweilige Rechtsgrundlage der ursprünglichen Datenverarbeitung müssen durch den Verantwortlich jedoch vorgehalten werden.

Um letztlich den Grundsätzen aus Art. 5 Abs. 1 lit. a DSGVO, insbesondere dem Grundsatz der Transparenz, gerecht zu werden, sollten betroffenen Personen bereits bei Erhebung der Daten über die Speicherdauern im Rahmen von Nachweiszwecken informiert werden.