Datenschutzverletzung durch „zu frühes Löschen“ ?

Beschäftigt man sich mit Datenschutzverletzungen im Sinne der DS-GVO unter dem Aspekt des Löschens, verengt sich der Fokus in der Regel auf die Frage, ob das Nicht-Löschen eines personenbezogenen Datums als ein datenschutzrelevantes Verhalten zu bewerten ist.

Das Recht auf Löschung gemäß Art. 17 Abs. 1 DS-GVO ist ein starkes Betroffenenrecht; es ermöglicht der betroffenen Person, über die (Weiter-)Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen zu bestimmen. Ebenso wie ein subjektives Recht der betroffenen Person auf Löschung enthält Art. 17 Abs. 1 DS-GVO auch eine objektive Löschungspflicht des Verantwortlichen, wenn ein Löschungsgrund vorliegt und keine Ausnahme gemäß Art. 17 Abs. 3 DS-GVO einschlägig ist (BayLfD: Das Recht auf Löschung nach der DatenschutzGrundverordnung – Orientierungshilfe.)

Nicht so viel Beachtung erhält die Frage, ob auch das zu frühe Löschen nicht ebenso eine Datenschutzverletzung darstellen kann.

Das Verletzungsverhalten ist in Art. 4 Nr. 12 DS-GVO nach der „Angriffsart“ (etwa: Nutzen ausspionierter Passwörter, Einschleusen von Schadsoftware) nicht näher spezifiziert (vgl. OH – Datenpanne des BayLfD).
Die Verfügbarkeit der personenbezogenen Daten ist in den Fällen der Vernichtung und des Verlustes betroffen:
Nach einer Vernichtung kann niemand mehr auf die Daten zugreifen, weil sie nicht mehr vorhanden sind. Ein typisches Verletzungsverhalten, das zu diesem Verletzungserfolg führt, ist das nicht revidierbare Löschen oder Überschreiben eines Datenträgers sowie dessen endgültige physische Zerstörung.

Im Rahmen einer Beratungsanfrage hatte sich der HmbBfDI mit der konkreten Frage zu befassen, ob die Löschung personenbezogener Daten vor Ablauf einer gesetzlichen Aufbewahrungsfrist einen Verstoß gegen die DS-GVO darstellen und ob ein solcher Verstoß im Wege einer Beschwerde gemäß Art. 77 DS-GVO verfolgt werden kann (Seite 46).

Die Aufsichtsbehörde kommt zu folgendem Ergebnis:
In der Regel stellt die Unterschreitung einer gesetzlichen Aufbewahrungsfrist einen Datenschutzverstoß dar. Der HmbBfDI befasst sich jedoch im Rahmen von Beschwerden gemäß Art. 77 DS-GVO nur dann damit, wenn die verletzte Aufbewahrungspflicht auch dem Schutz der betroffenen Person dient.

Überschreiten von gesetzlichen Aufbewahrungsfristen
Bei einer Überschreitung von gesetzlichen Aufbewahrungsfristen liege regelmäßig eine Verarbeitung ohne Rechtsgrundlage (Art. 6 Abs. 1 DS-GVO) und ein Verstoß gegen die Pflicht zur Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO sowie Art. 17 Abs. 1 DS-GVO) vor, welche selbstverständlich mit einer Beschwerde bei einer Aufsichtsbehörde verfolgt werden könne.

Unterschreiten der Verarbeitungsdauer
Eine kürzere Verarbeitungsdauer von personenbezogenen Daten im Sinne des Datenschutzrechts könne ebefalls einen Datenschutzverstoß darstellen:
Gemäß Art. 6 Abs. 1 DS-GVO bedürfe jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage. Neben dem Erheben, der Speicherung oder der Offenlegung stelle auch das Löschen personenbezogener Daten gemäß Art. 4 Nr. 2 DS-GVO eine Verarbeitung dar.

Rechtsgrundlage für die Löschung zum Zeitpunkt des Ablaufs einer gesetzlichen Aufbewahrungsfrist sei regelmäßig Art. 6 Abs. 1 lit. c) DS-GVO in Verbindung mit Art. 17 Abs. 1 DS-GVO. Im Falle der Unterschreitung einer gesetzlichen Aufbewahrungsfrist würden die Voraussetzungen dieser Vorschriften nicht vorliegen.

Mögliche Rechtsgrundlagen für „zu frühes Löschen“:
Es könne allenfalls eine Einwilligung gemäß Art. 6 Abs. 1 lit. a) DS-GVO in Betracht kommen. Dass Löschung auch auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f) DS-GVO gestützt werden kann, erscheine zweifelhaft, da bei einer gesetzlichen Aufbewahrungspflicht regelmäßig kein dieser gegenläufiges berechtigtes Interesse bestehe. Im Ergebnis könne damit in den meisten Fällen durch die Unter- oder Überschreitung einer gesetzlichen Aufbewahrungsfrist ein Verstoß gegen die DS-GVO angenommen werden.

(Foto: vectorfusionart – stock.adobe.com)