Der Anspruch auf Löschung von personenbezogenen Daten nach Art. 17 Datenschutz-Grundverordnung (DSGVO) im Rahmen der sog. Betroffenenrechte (Kapitel III der DSGVO) ist ein weitreichendes Instrument, das bereits seit Inkrafttreten der DSGVO insbesondere Unternehmen vor große Schwierigkeiten stellt.
In der Praxis sehen sich diese zunehmend mit Ansprüchen von Kundinnen und Kunden im weitesten Sinne (wie z. B. kaufinteressierte Personen oder aber auch Besucherinnen und Besucher) konfrontiert, die einerseits ihr Recht auf Auskunft (Art. 15 DSGVO), andererseits aber auch die besagte Löschung der sie betreffenden verarbeiteten personenbezogenen Daten (Art. 17 DSGVO) verlangen.
Der Verantwortliche – also das jeweilige Unternehmen – hat dann nach Geltendmachung dieses Betroffenenrechtes nur einen kurzen Zeitraum, um die Rechtmäßigkeit der konkreten Datenverarbeitung wie auch eine etwaige Löschung bzw. der Löschung entgegenstehende Gründe zu prüfen – und ggfs. folgerichtig umzusetzen. Die Norm spricht von der Pflicht, die personenbezogenen Daten „unverzüglich“ zu löschen (Art. 17 Abs. 1 S. 1 DSGVO), sobald ein Löschgrund aus Art. 17 Abs. 1 DSGVO gegeben ist.
Versagungsgründe könnten sich hingegen aus Art. 17 Abs. 3 DSGVO ergeben, wie beispielsweise einschlägigen gesetzlichen Aufbewahrungspflichten für Unternehmen (etwa nach dem Handels- und Steuerrecht), die eine weitere Verarbeitung (Speicherung) der personenbezogenen Daten erforderlich machen, so dass die Löschung zu diesem Zeitpunkt noch nicht umgesetzt werden darf (vgl. Art. 17 Abs. 3 lit. b DSGVO).
Dieses darf jedoch nicht dazu führen, dass nach einem weiten Verständnis dieser Rechtsauffassung ein Unternehmen praktisch jedes Schriftstück bzw. jede E-Mail für 6/10 Jahre (§§ 257 HGB, 147 AO) aufbewahrt und jedwede Löschbegehren von betroffenen Personen daher ablehnt.
Ein aktuelles Urteil
In einer aktuellen und in mehrfacher Hinsicht interessanten Entscheidung (OLG Dresden, Urteil vom14.12.2021, Az.: 4 U 1278/21) befasste sich das OLG Dresden mit genau dieser Problematik.
In dem vom Gericht zu entscheidenden Fall lag eine Namensgleichheit vor, die Auslöser des gesamten Rechtstreits war: Das Betroffenenrecht geltend gemacht bzw. die spätere Klage erhoben hatte ein Vater, der fälschlicherweise von einem Inkassounternehmen ausfindig gemacht worden war. Der eigentliche Schuldner einer einzutreibenden Forderung war jedoch sein gleichnamiger Sohn, der am selben Wohnsitz unter derselben Adresse lebte.
Um nicht selbst Nachteile im Geschäftsleben zu erfahren, wehrte sich der Vater gegen die Datenverarbeitungen des Inkassounternehmens. Als betroffene Person begehrte er daher unter anderem Auskunft über die Verarbeitungen sowie die Löschung der ihn betreffenden personenbezogenen Daten durch den Gläubiger sowie des Inkassounternehmens – und hatte damit in der Sache teilweise Erfolg.
Wie das Gericht feststellte, war bereits die Verarbeitung der personenbezogenen Daten des Vaters (Klägers) rechtswidrig, da sich diese auf keine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO gestützt werden konnte. Weder lag die Einwilligung der betroffenen Person vor (Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DSGVO), noch war die Datenverarbeitung zu Erfüllung eines Vertrages (gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO) erforderlich. Ein Vertrag bestand zu keinem Zeitpunkt mit dem Kläger.
Mithin war diese Datenverarbeitung auch nicht zur Erfüllung einer rechtlichen Verpflichtung erforderlich (Art. 6 Abs.1 S. 1 lit. c DSGVO), wie es von den Unternehmen vorgetragen wurde.
Differenzierte Betrachtung der gesetzlichen Aufbewahrung
Wie das Gericht ausführte, unterlagen die Dokumente und Vorgänge, die den Kläger mit gleichem Namen wie dem Sohn als eigentlichen Schuldner betrafen, auch nicht den gesetzlichen Aufbewahrungspflichten, so dass sich hieraus keine rechtliche Verpflichtung der Speicherung dieser vollständigen Daten ergebe, die der Löschung entgegenstehen könnte.
Vielmehr zeigte das Gericht eindrucksvoll auf, dass eine differenzierte Betrachtung jedes einzelnen Datums, also jeder einzelnen Information innerhalb dieser Dokumente und Vorgänge, zu fordern ist, um ggfs. einzelne Informationen aus diesen Inhalten zu entfernen bzw. andernfalls zu „schwärzen“ . Im Übrigen bleiben die weiteren Informationen, die derartigen Aufbewahrungsfristen unterliegen, davon unberührt.
So heißt es im Urteil:
„Die Beklagten sind nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen (vgl. Bundesministerium der Finanzen: Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 28.11.2019, Rn 172 – juris). Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.“
Ferner standen der Löschung der Daten des Klägers auch keine weiteren, erdenklichen Rechtsgrundlagen der Datenverarbeitung entgegen: Denn auch die Datenverarbeitung auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 S. 1 lit. f DSGVO war in diesem speziellen Fall nichteinschlägig, da nach Ansicht des Gerichts das schutzwürdige Interesse der betroffenen Person – auch nach Art. 8 EU-Grundrechtecharta (GRCh) und damit dem Recht auf informationelle Selbstbestimmung – dem Interesse des Inkassounternehmens auf ein „einfaches Beitreiben von Schulden ohne Fehlermittlung von Anschriften“ überwiegt.
Bedeutung für die Praxis
Diese Theorie der differenzierten Betrachtung von personenbezogenen Daten dürfte in der Praxis weitreichende Konsequenzen haben. Insbesondere wird hierbei vorausgesetzt, dass steuer- und handelsrechtlich relevante Unterlagen, wie z. B. Verträge, Rechnungen, Aufträge, Lieferscheine oder nur die geschäftliche Korrespondenz per E-Mail, soweit diese sich auf ein Handelsgeschäft beziehen, auf jedes einzelne personenbezogene Datum (u. a. Name, E-Mail-Adresse, Geburtstag, Wohnadresse usw.) hin dahingehend zu prüfen ist, ob personenbezogene Angaben überhaupt einzeln verarbeitet und ggfs. nicht aufbewahrungspflichtige Informationen gelöscht oder unkenntlich gemacht werden können. Das würde bedeuten, dass ein Name in einem Schriftsatz oder einem steuerrechtlich relevanten Dokument entfernt werden können muss, ohne das gesamte Dokument jedoch zu löschen bzw. zu vernichten. Denn ebenso ist dieses unabhängig der Form der Korrespondenz und gilt daher auch für „Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten“, wie zumindest das Gericht urteilte.
Diese ideellen Vorgaben könnten zwar innerhalb eines modernen Löschkonzepts umgesetzt werden, das in komplexen elektronischen Systemen mit einzelnen Tabellen/Datumsfeldern und Suchfunktionen integriert ist, wäre aber technisch wie auch organisatorisch äußerst aufwendig. Mithin besteht das Risiko, dass durch derartige Eingriffe die Datenbanken oder Unterlagen beschädigt werden könnten.
Zuletzt betont das Gericht, dass die Löschung der hier in Rede stehenden Datensätze auch der betroffenen Person nachgewiesen werden muss. Fraglich ist auch, wie dieses in der Praxis in angemessener Weise umgesetzt werden könnte.