Die Berliner Beauftragte für Datenschutz und Informationsfreiheit weist in ihrem Jahresbericht 2023 (vgl. S. 81 f.) darauf hin, dass Unternehmen häufig die Rechtmäßigkeit von Datenverarbeitungen nach einer Löschung der Daten (z. B. auf Löschersuchen) nicht mehr nachweisen können. Besonders betroffen ist dabei der Nachweis von Einwilligungen, etwa im Rahmen von Marketingmaßnahmen.
Wie geht man also in der Praxis mit diesem Gegensatz um?
Verantwortliche müssen bei Einwilligungen gemäß Art. 7 Abs 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Dies gilt ebenso für jegliche andere Rechtsgrundlage, auch hier muss der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO einen Nachweis darüber erbringen können, dass die Daten rechtmäßig verarbeitet wurden.
Der Tätigkeitsbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit betont, dass jede Datenverarbeitung einzeln zu betrachten ist. Zum einen ist die ursprüngliche Datenverarbeitung, z. B. im Rahmen von Marketingmaßnahmen, zu beleuchten. Geht ein Löschersuchen beim Verantwortlich ein, müssen diese Daten grundsätzlich gelöscht werden. Parallel dazu besteht jedoch eine zweite Datenverarbeitung, nämlich die Datenverarbeitung zu Nachweisezwecken, also dass der initialen Datenverarbeitung eine zulässige Rechtsgrundlage zugrunde lag und eine Löschung entsprechend den Anforderungen des Art. 17 DSGVO umzusetzen war.
Die Datenverarbeitung zu Nachweiszwecken dient der Umsetzung einer rechtlichen Verpflichtung. Gemäß Art. 17 Abs. 3 lit. b DSGVO unterliegen diese Daten nicht dem „Recht auf Löschung“ und dürfen trotz eines Löschersuchens weiter gespeichert werden.
Fazit:
Für die Praxis lässt sich somit abschließend festhalten, dass jede einzelne Datenverarbeitung im Rahmen eines Löschersuchens gesondert voneinander geprüft werden muss, um den Umfang der Löschung zu bestimmen. Daten, bei denen der Zweck entfallen ist, müssen gelöscht werden. Die Nachweise für die jeweilige Rechtsgrundlage der ursprünglichen Datenverarbeitung müssen durch den Verantwortlich jedoch vorgehalten werden.
Um letztlich den Grundsätzen aus Art. 5 Abs. 1 lit. a DSGVO, insbesondere dem Grundsatz der Transparenz, gerecht zu werden, sollten betroffenen Personen bereits bei Erhebung der Daten über die Speicherdauern im Rahmen von Nachweiszwecken informiert werden.
Anonym
2. Januar 2025 @ 17:05
Vielen Dank Herr Tönjes.
Ich hätte eine Nachfrage: Den letzten Teilsatz Ihres 3. Absatzes („[…]und eine Löschung entsprechend den Anforderungen des Art. 17 DSGVO umzusetzen war.“) lese ich so, dass Sie auch eine Speicherung des Löschersuchens selbst für Nachweiszwecke als abgedeckt betrachten. Dies kann ich so im Bericht der Berliner Aufsicht, insbesondere auf den Seiten 81/82 nicht wiederfinden. Könnten Sie einen Hinweis geben, wo Sie dies in den Ausführungen der Behörde gefunden haben, oder ob ich Sie einfach missverstehe?
Vielen Dank im Voraus!
Tom Tönjes
9. Januar 2025 @ 8:32
Grundsätzlich wird dies, wie von Ihnen bereits angemerkt, nicht explizit im Text der Behörde genannt. Meiner Einschätzung nach ist der Nachweis einer ordnungsgemäßen Umsetzung eines Löschersuchens (Löschersuchen selbst, sowie z.B. die Kommunikation diesbezüglich) aber erforderlich und somit m.E. über die Datenverarbeitung zu Nachweiszwecken mit abgedeckt.