DSGVO: So gestalten Sie die Löschung neu

Die DSGVO ist eine EU-Verordnung. Das bedeutet neben ihrer unmittelbaren Geltung in allen EU-Mitgliedstaaten v.a. auch, dass sie unionsweit autonom und einheitlich ausgelegt werden muss.

Die DSGVO lässt sich also nicht aus dem BDSG heraus auslegen.

Kurzer Blick ins BDSG

Zum Verständnis der Abweichungen in der Datenschutz-Grundverordnung müssen dennoch kurz die Regelungen im BDSG angesprochen werden. § 35 BDSG sieht als einzige und zentrale Regelung der Löschung drei Varianten vor:

• die Berechtigung der verantwortlichen Stelle zur Löschung (§ 35 Abs. 2 Satz 1 BDSG), was mit Blick auf das Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) erforderlich ist
• die Pflicht zur Löschung personenbezogener Daten (§ 35 Abs. 2 Satz 2 Nr. 1 bis 4, Satz 3 BDSG)
• die Pflicht der verantwortlichen Stelle zur Sperrung anstatt einer Löschung, wenn eigentlich die Pflicht zur Löschung besteht, aber vorrangige Interessen entgegenstehen

Dass der Betroffene eine Löschung verlangt, spielt nach § 35 BDSG – mit Ausnahme des Sonderfalls in § 35 Abs. 2 Satz 3 BDSG – keine Rolle.

Recht auf Löschung in Art. 17 DSGVO: andere Systematik

Art. 17 DSGVO ist zwar der Überschrift nach scheinbar die zentrale Regelung der Löschung. Er sieht aber als Auslöser für die Löschpflicht das Verlangen der betroffenen Person nach Löschung vor. Entsprechend heißt es „Recht auf Löschung“ und nicht „Pflicht zur Löschung“.

Hieraus ergibt sich auf den ersten Blick ein Spannungsverhältnis:

• Verlangt der Betroffene nicht die Löschung im Einzelfall, was in der Praxis selten vorkommt, dann greift Art. 17 nicht ohne Weiteres als Rechtsgrundlage für eine Löschung.
• Ist aber die Verarbeitung der personenbezogenen Daten für ihren Zweck nicht mehr erforderlich, dann entfällt ipso iure – also „rechtlich automatisch“ – die Rechtsgrundlage für eine Speicherung (vgl. Art. 6 Abs. 1 Buchst. a–f, insbesondere Buchst. f DSGVO). Eine Löschung braucht jedoch eine Zulässigkeitsregelung. Denn es ist eine Verarbeitung (Art. 4 Nr. 2 DSGVO), die unter das Verbot mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DSGVO) fällt. Diese ist aber nicht in Art. 17 DSGVO zu finden.

Aus Art. 6 Abs. 1 Buchst. b–f DSGVO ergibt sich, dass die Verarbeitung unzulässig wird, wenn der verfolgte Zweck erreicht ist. Der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 Buchst. e DSGVO fordert die Löschung oder jedenfalls die Anonymisierung, wenn das personenbezogene Datum für den verfolgten Zweck nicht mehr erforderlich ist.

Hieraus lässt sich ableiten, dass auch die DSGVO von einer – vom Willen des Betroffenen unabhängigen – Pflicht zur Löschung ausgeht. Die hierfür erforderliche Rechtsgrundlage lässt sich zwar nicht in Art. 17 DSGVO finden, aber jedenfalls in Art. 6 Abs. 1 Buchst. f DSGVO (Verarbeitung – also Löschung – auf der Grundlage einer Interessenabwägung).

Löschkonzept erforderlich!

Die in der Praxis bisher eher stiefmütterlich behandelte Lösch-Thematik bekommt durch die DSGVO einen neuen Stellenwert. Ohne ein Löschkonzept wird es schwer werden, diesem Stellenwert gerecht zu werden.

Die signifikante Erhöhung der Bußgelder durch Art. 83 DSGVO ist ein Faktor. Im Vergleich zum BDSG viel entscheidender sind aber die folgenden Faktoren:

• Die Löschung ist als einer der Grundsätze der DSGVO in Art. 5 Abs. 1 Buchst. e (Speicherbegrenzung) verankert. Das ist im Vergleich zum BDSG noch nichts Neues. Allerdings zwingt die neue Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO, die Einhaltung dieser Pflicht nachzuweisen. Das erleichtert die Sanktionierbarkeit von Verstößen.
• Die Löschfristen oder -regeln sind nach Art. 13 Abs. 2 Buchst. a, 14 Abs. 2 Buchst. a DSGVO Gegenstand der proaktiven Informationspflichten gegenüber der betroffenen Person. Insoweit geht die DSGVO weit über §§ 4 Abs. 3, 33 BDSG hinaus. Verstöße gegen die Transparenzpflicht sind ebenfalls bußgeldbewehrt (Art. 83 Abs. 5 DSGVO).

Nach Art. 15 Abs. 1 Buchst. d DSGVO sind die Löschfristen oder -regeln zudem Gegenstand des Auskunftsanspruchs. Auch insoweit geht die DSGVO über das BDSG (vgl. § 34 BDSG) hinaus. Verstöße sind wiederum bußgeldbewehrt (Art. 83 Abs. 5 DSGVO).

Aufbau eines Löschkonzepts

Es bietet sich an, den strukturellen Aufbau eines Löschkonzepts an Art. 17 DSGVO auszurichten. Die Struktur der Abs. 1 und Abs. 2 Art. 17 DSGVO zeigt, dass sie die Zulässigkeitsregelungen in Artt. 6 ff. DSGVO aufgreifen und diese insoweit in Art. 17 „hineingelesen“ und berücksichtigt werden müssen.

„Alles oder nichts“?

Für das Löschkonzept entscheidend ist auch der Anknüpfungspunkt der Löschpflicht. In Art. 17 Abs. 1 DSGVO heißt es, dass „sie [Anmerk.: die betroffene Person] betreffende personenbezogene Daten unverzüglich gelöscht werden“.

Auf den ersten Blick spricht das für einen „Alles-oder-nichts“-Ansatz. Danach wären ausnahmslos alle personenbezogenen Daten in Bezug auf eine betroffene Person zu löschen.

Das spiegelt jedoch kaum die Lebenswirklichkeit wieder, in der nicht immer alle personenbezogenen Daten gelöscht werden können bzw. dürfen. Hier müsste der Verantwortliche für jedes einzelne personenbezogene Datum über die Löschung entscheiden.

Das mag für den Fall eines individuellen Löschungsverlangens nach Art. 17 DSGVO praktisch umsetzbar sein. Für ein Löschkonzept in einem Unternehmen dürfte das jedoch zu einer kaum handhabbaren Kleinteiligkeit des Löschkonzepts führen.

Zwar bestimmt nicht die Lebenswirklichkeit den Inhalt einer gesetzlichen Regelung, sodass allein die Kleinteiligkeit kein Argument ist. Aber auch gesetzliche Argumente sprechen dafür, dass Verantwortliche personenbezogene Daten zu Kategorien zusammenfassen dürfen.

Zweck als Kategorie denkbar

Die Zulässigkeit der Verarbeitung von personenbezogenen Daten bestimmt sich nach dem Zweck (vgl. Art. 6 Abs. 1 Buchst. b bis f. und Abs. 4 DSGVO). Auch der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 Buchst. e DSGVO stellt auf den Zweck ab. Der Zweck kann daher als Kategorie einer gemeinsamen Löschregel dienen.

Art. 13 Abs. 2 Buchst. a, 14 Abs. 2 Buchst. a DSGVO nehmen ebenfalls die Löschfristen und -regeln in Bezug. Die Informationspflicht ist am Zweck (Artt. 13 Abs. 1 Buchst. c, 14 Abs. 1 Buchst. c DSGVO) ausgerichtet. Für die nachträgliche Informationspflicht stellt Art. 14 Abs. 1 Buchst. d DSGVO auf die „Kategorie personenbezogener Daten, die verarbeitet werden“ ab.

Im Verzeichnis über Verarbeitungstätigkeiten sind nach Art. 30 Abs. 1 DSGVO die Verarbeitungstätigkeiten darzustellen. Wenngleich der Artikel nicht an den Begriff des Verfahrens in Art. 18 der Datenschutzrichtlinie 95/46/EG anknüpft, so legen doch der Sinn und Zweck, der Zusammenhang mit vorstehend angesprochenen Regelungen sowie der Begriff „Verarbeitungstätigkeit“ anstatt Verarbeitung (vgl. Art. 4 Nr. 2 DSGVO) nahe, dass eine zweckmäßige Bündelung von Verarbeitungen erfolgt.

Der Verantwortliche muss im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Buchst. f DSGVO „wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien“ angeben.

Auch wenn sich aufgrund der Entstehung der DSGVO im Wege des Trilogverfahrens nur eingeschränkt von einer Gesamtsystematik der DSGVO ausgehen lässt, so sprechen vorstehende Aspekte gleichwohl dafür, dass ein Löschkonzept eine übergeordnete Zusammenfassung von personenbezogenen Daten enthalten darf, um Löschfristen und -regeln festzulegen.

Fazit: übergeordnete Gruppen sinnvoll

Das Löschkonzept lässt sich an Art. 17 DSGVO ausrichten, wenn Verantwortliche Art. 6 Abs. 1, Abs. 4 und Art. 5 DSGVO einbeziehen.

Mit Blick auf die weiteren Regelungen zur Löschung in der DSGVO spricht vieles dafür, dass das Löschkonzept personenbezogene Daten zu übergeordneten Gruppen zusammenfassen darf.

Dr. Jens Eckhardt