Daten im Niemandsland und Zweckänderung während der Löschfrist

Personenbezogene Daten müssten gelöscht werden, als sich plötzlich ein neuer Verarbeitungszweck ergibt. Was ist zu tun? Der Datentipp verrät Hintergründe, Risiken und Rechtliches und gibt Tipps zur Zweckänderung.

Daten nach Ablauf der Aufbewahrungsfrist

Zu Beginn ein Fall aus der Praxis. Anfang Februar geht beim Datenschutzbeauftragten eine Nachricht der Aufsichtsbehörde ein. Es geht um Akten mit einem bestimmten Datensatz, dessen Aufbewahrungsfrist zum Jahreswechsel abgelaufen ist. Sollte die Löschung noch nicht vollzogen worden sein, möge der Verantwortliche die Akten bitte nicht vernichten. Der Aufsichtsbehörde liege ein richterlicher Beschluss vor, die Daten seien als Beweismittel in einem Strafprozess erforderlich.

Fakt war: Die Daten waren am Tag der Anfrage nicht gelöscht, die Vernichtung war binnen weniger Tage geplant. Nach eingehender Prüfung des Sachverhalts wurden die Daten gegen Quittung an die anfragende Aufsichtsbehörde übergeben. Daten aus dem Niemandsland waren einem anderen, übergeordneten Zweck zugewiesen worden.

Löschleitlinie und Löschregeln

Wer beim Löschen alles richtig machen möchte, hat eine (allgemeine) Löschleitlinie und Löschregeln (für die Fachbereiche) ausgearbeitet und diese zusammen mit den Fachbereichen mit Leben gefüllt. Für die Geschäftsprozesse hat er für die einzelnen Datenkategorien definiert, wie lange diese aufzubewahren sind, um die Geschäftsprozesse bestimmungsgemäß auszuführen. Gesetzliche Aufbewahrungsfristen sind festgeschrieben, deren Einhaltung wird überwacht. Für die Zeit nach Ablauf gesetzlicher Aufbewahrungsfristen sind Löschfristen definiert, also Zeiträume, die bis zur tatsächlichen Löschung vergehen dürfen. Und es ist klar, wie die Löschung zu dokumentieren ist und wie es begründet wird, sollten Daten zum vorgesehenen Zeitpunkt nicht gelöscht werden dürfen oder können.

Sozusagen im Niemandsland

Während der Löschfrist befinden sich Daten also "im Niemandsland". Eigentlich müssten sie gelöscht sein, aus technischen oder organisatorischen Gründen ist das aber noch nicht geschehen. Wenn zum Beispiel die Aufbewahrung von Akten zum 31. Dezember eines Jahres endet, ist davon auszugehen, dass deren Vernichtung nicht am nächsten Tag erfolgen wird, denn der 1. Januar ist bekanntermaßen ein Feiertag. Auch in den Folgetagen ist es eher unwahrscheinlich, dass die Daten fachgerecht vernichtet werden, denn um diese Jahreszeit möchten viele Verantwortliche Dokumente vernichten lassen, die Kapazitäten der Dienstleister sind jedoch begrenzt. Die Zeit bis zur tatsächlichen Vernichtung ist die Löschfrist. In dieser Zeit darf auf die Daten grundsätzlich nicht mehr zugegriffen werden. Doch was bedeutet „grundsätzlich“? Gibt es Ausnahmen?

Wenn neue Zwecke eintreten

Ergibt sich während der Löschfrist ein neuer, bis dahin unbekannter Zweck der Datenverarbeitung, gilt es, die Datenverarbeitung neu zu bewerten. Voraussetzung: Der neue Zweck ist gegenüber dem Betroffenenrecht auf Löschung übergeordnet. In der Praxis der Datenverarbeitung kommt das eher selten vor. Wenn aber ein neuer Zweck auftritt, müssen Sie schnell entscheiden. Sonst werden unter Umständen Fakten geschaffen, die nicht mehr rückgängig zu machen sind.

Was Sie bei Zweckänderungen beachten müssen

Eine mögliche Zweckänderung birgt mitunter einige Risiken. Mit ihr sind Pflichten verbunden, die zunächst widersprüchlich scheinen. Da gibt es die rechtliche Verpflichtung zur Datenlöschung nach Artikel 17 DSGVO. Die Rechte und Freiheiten betroffener Personen sind als europäisches Grundrecht auf Datenschutz (siehe Artikel 8 der europäischen Grundrechtecharta) sehr umfassend geschützt. Um zu rechtfertigen, dass eine Löschung trotz Wegfallen der Aufbewahrungsgründe nicht vorgenommen wurde, muss also ein anderes Grundrecht massiv gefährdet sein.

Im Praxisbeispiel ist hier allerdings eine neue Zweckbestimmung eingetreten: Die Daten dienen als Beweismittel in einem Strafprozess, der Zweck ist also die Sicherung der Rechtspflege. Der erlaubt es nach Abwägung der Umstände, das Aussetzen der Löschung zu rechtfertigen.

Risiken rund ums Löschen und Aufbewahren

Und wenn sich das Unternehmen im Praxisfall weigern würde, die Daten herauszugeben? Dann würde es gegen die Strafprozessordnung verstoßen (die im Übrigen nicht der DSGVO unterliegt) – ein beträchtliches Risiko. Ebenso gewagt ist es, wenn im Unternehmen keinerlei strukturiertes Löschen vorgesehen ist, wenn es also weder eine Löschleitlinie noch Löschregeln gibt und Daten Jahre nach der Aufbewahrungsfrist noch vorhanden sind. Ebenfalls erheblich ist das Risiko, wenn die Daten nicht aufzufinden sind, da sie unstrukturiert aufbewahrt werden.

" Die Zeit bis zur tatsächlichen Vernichtung ist die Löschfrist. In dieser Zeit darf auf die Daten grundsätzlich nicht mehr zugegriffen werden."

Datenverfügbarkeit versus Recht auf Löschung

Bei den zahlreichen anzuwendenden Datenschutz-Vorschriften zu Aufbewahrung und Löschung personenbezogener Daten gibt es zwei Vorgaben, die sich scheinbar widersprechen. Da gibt es zum einen die Datenverfügbarkeit als wichtiges Ziel technischer und organisatorischer Maßnahmen: Daten müssen, solange sie verarbeitet werden dürfen, auch vorhanden sein. Und da gibt es zum anderen die Löschpflicht, wenn der Zeitraum geforderter Verfügbarkeit abgelaufen ist.

Mögliche neue Zwecke der Verarbeitung beachten

Wenn Daten verarbeitet werden dürfen, ergibt sich mitunter ein neuer Zweck. Man denke an Montageprotokolle. Die wären eigentlich nicht lange aufzubewahren, können aber nach vielen Jahren plötzlich wichtig werden – etwa, da ein lange verdeckter Mangel auftritt, zu dessen Aufklärung sie einen wichtigen Beitrag leisten können.

Datenschutz und die Pflicht zur Risikobewertung

Dazu kommt ein weiterer wichtiger Aspekt. Datenschutz ist gemäß Artikel 24 DSGVO als Managementsystem aufzubauen. Damit ist eine Risikoermittlung und -beurteilung vorzunehmen, denn es kommt konkret darauf an, wie groß das Risiko ist, dass ein bestimmter Datensatz für einen anderen als die bisherigen Zwecke benötigt wird. Dass durch einen richterlichen Beschluss ein bestimmter Datensatz auch nach Ende der Aufbewahrungsfrist gebraucht wird wie im hier beschriebenen Fall, hat eine eher geringe Eintrittswahrscheinlichkeit. Die neue Zweckbestimmung ist also eher nicht zu erwarten. Wenn eine neue Zweckbestimmung wegen sehr geringer Eintrittswahrscheinlichkeit nicht zu erwarten ist, liegt kein Grund vor, Daten länger als üblich aufzubewahren. Anders verhält es sich womöglich beim Beispiel mit den verdeckten Mängeln. Haben sich etwa entsprechende Protokolle mehrmals als hilfreich erwiesen, kann es geboten sein, sie länger als bisher aufzubewahren.

Tipps rund um Löschregeln und Löschleitlinien

Und die Kernfrage: Ist gewährleistet, dass personenbezogene Daten nicht länger als unbedingt nötig im „Niemandsland“ liegen, bei Eintritt eines übergeordneten Zweckes aber auch unter dem neuen Zweck verarbeitet werden können?

Wir wünschen viel Erfolg beim Managen von Zweckänderungen!