andranik123 - stock.adobe.com

DSGVO: Welche Ausnahmen von der Löschpflicht sind erlaubt?

Die Entscheidung, ob Daten aufzubewahren oder zu löschen sind, fällt Unternehmen nicht immer leicht. Es gibt aber nur wenige Ausnahmen von der Löschpflicht nach DSGVO.

Das Recht auf Löschung ist eines der zentralen Werkzeuge zur Durchsetzung der datenschutzrechtlichen Selbstbestimmung, so der Bundesdatenschutzbeauftragte. Mit diesem Recht können Betroffene die restlose Entfernung ihrer personenbezogenen Daten bei einem für deren Verarbeitung Verantwortlichen verlangen.

Das geht aber nicht in jedem Fall: Da es sich dabei um ein sehr starkes Recht handelt, dürfen Betroffene es nur unter bestimmten Voraussetzungen geltend machen, wie der Bundesdatenschutzbeauftragte erklärt.

Eine Löschverpflichtung tritt insbesondere dann ein, wenn die Daten für den Verantwortlichen nicht mehr notwendig sind, wenn die Verarbeitung der Daten unrechtmäßig ist, oder die Verarbeitung der Daten nur auf Grundlage einer Einwilligung rechtmäßig war, die der oder die Betroffene zwischenzeitlich widerrufen hat.

Die Löschpflichten kennen auch Ausnahmen

Der Forderung nach Löschung muss aber nicht in jedem Fall entsprochen werden, denn es gibt Ausnahmen nach Datenschutz-Grundverordnung (DSGVO).

So besagt die DSGVO, dass eine Löschverpflichtung nicht gilt, wenn die Daten erforderlich sind zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Nicht zuletzt kann auch eine vertragliche oder gesetzliche Aufbewahrungspflicht der Löschung entgegenstehen.

Grundsätzlich muss ein Verantwortlicher Daten aber auch ohne ausdrückliches Verlangen der Betroffenen löschen, wenn die Daten nicht mehr erforderlich sind.

Nicht immer muss auch gelöscht werden

Die Aufsichtsbehörden für den Datenschutz berichten nicht nur von Fällen, in denen die Löschpflicht nicht der DSGVO entsprechend umgesetzt wurde. Die Datenschützer nennen auch Beispiele, bei denen keine Löschung durchgeführt werden musste.

So berichtet das Bayerische Landesamt für Datenschutzaufsicht zum Beispiel: Stellt ein Nutzer oder eine Nutzerin einer Internetplattform Daten über von ihm beziehungsweise von ihr durchgeführte Sportflüge zur Verfügung und ist in den Nutzungsbedingungen die Veröffentlichung dieser Daten auf der Internetplattform vorgesehen, kann diese Person grundsätzlich nicht nachträglich deren Entfernung verlangen.

Der Grund: Datenschutzrechtlich ist die Veröffentlichung als „für die Erfüllung eines Vertrags erforderlich“ anzusehen und nach DSGVO zulässig. Auf die Erteilung einer Einwilligung kam es daher nicht an, wie die Aufsichtsbehörde erklärte.

Aufbewahrungspflicht versus Löschpflicht

Im Unternehmensalltag spielt zudem die Abwägung zwischen der Löschpflicht und der Aufbewahrungspflicht eine zentrale Rolle. Unternehmen fragen sich dann, ob sie die Daten noch aufbewahren müssen oder ob schon die Löschung ansteht, weil die Daten nicht mehr erforderlich sind. Das ist jedenfalls der Wunschzustand.

Es gibt aber auch Unternehmen, die trotz begrenzter Speicherkapazität die immer größer werdenden Datenmengen speichern wollen, ungeachtet der Aufbewahrungspflichten und ohne Rücksicht auf die Löschpflichten.

Daten als das oftmals so genannte „neue Öl“ werden dann auf Verdacht vorgehalten, da man diese ja einmal für eine der vielversprechenden Big-Data-Analysen gebrauchen könnte. Das kann zu einer Verletzung des Datenschutzes nach DSGVO führen, wenn die Voraussetzung für die Löschpflicht erfüllt ist.

Es gibt aber auch andere falsche Vorstellungen von der Aufbewahrung von Daten, die die Löschverpflichtung aufschieben kann.

Gerichtsurteil betont Löschverpflichtung

Das Oberlandesgericht Dresden (OLG Dresden) hat kürzlich nochmals klargestellt: Gesetzliche Aufbewahrungspflichten stellen keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen; es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.

Wie das OLG ausgeführt, steht die rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen (nach § 147 AO) dem Löschungsanspruch nach DSGVO nicht entgegen. Das Gericht erklärt dies so: Die gesetzlichen Aufbewahrungspflichten (gemäß § 147 AO) werden von der Löschungspflicht nicht berührt. Das Unternehmen, um das es in der Verhandlung ging, ist nicht verpflichtet, die geschäftliche Korrespondenz zu löschen.

Die Löschungspflicht beschränkt sich vielmehr auf den Namen, die Anschrift und das Geburtsdatum des Betroffenen (und damit des Klägers), und damit auf die Daten, mit denen er eindeutig identifiziert werden kann.

Wie dies praktisch zu erreichen ist, erklärt das Gericht auch: Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Unternehmen, die Datenbestände so zu organisieren, dass ein berechtigter Dritter nur auf die aufzeichnungspflichtigen und aufbewahrungspflichtigen Daten zugreifen kann.

Dies kann zum Beispiel durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen. Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung einer Person erlauben, geschwärzt werden.

Es zeigt sich: Es gibt mehrere Ausnahmen von der Löschpflicht. Diese finden sich in der DSGVO. Unternehmen sollten aber nicht davon ausgehen, aus der Aufbewahrungspflicht eigene Ausnahmegründe für das Unterlassen einer Löschung ableiten zu können, wenn die Daten unrechtmäßig gespeichert wurden.

Erfahren Sie mehr über Datenschutz und Compliance