Auskunft über Daten, die nur aufgrund von gesetzlichen Aufbewahrungsfristen vorgehalten werden
Der Ausschluss des Auskunftsrechts in Bezug auf solche personenbezogenen Daten, die einer Aufbewahrungspflicht unterliegen, gilt nicht absolut. Er steht vielmehr unter dem Vorbehalt, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand im konkreten Fall erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
Im Rahmen der Auskunftserteilung nach Art. 15 DSGVO kam es im Berichtszeitraum vor, dass Verantwortliche personenbezogene Daten, die aufgrund von §257 HGB vorgehalten wurden, nicht in das Auskunftsschreiben aufgenommen hatten. Begründet wurde dies damit, dass diesbezüglich gemäß §34 Abs. 1 BDSG eine Befreiung von der Auskunftspflicht bestehe.
Des Weiteren teilte ein Energieversorger im Rahmen der Auskunftserteilung nach Art. 15 DSGVO allen Auskunftsverlangenden pauschal mit, dass es sein könne, dass weitere personenbezogene Daten aufgrund von gesetzlichen Aufbewahrungsvorschriften gespeichert werden und ihre Auskunftserteilung aufgrund des unverhältnismäßigen Aufwandes verweigert wird.
§34 BDSG entbindet die Verantwortlichen von ihrer Auskunftspflicht nach Art. 15 DSGVO. Die für diesen Tätigkeitsbeitrag relevante Regelungsalternative des Absatzes 1 Nummer 2 a gibt der datenverarbeitenden Stelle die Möglichkeit, die Auskunftserteilung bezüglich der Daten zu verweigern, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Allein die Tatsache der Speicherung aufgrund einer Aufbewahrungspflicht führt aber nicht automatisch zur Einschränkung der Auskunftserteilung. Die Erteilung der Auskunft kann nur dann verweigert werden, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und auch technisch-organisatorische Maßnahmen getroffen wurden, die eine Verarbeitung zu anderen Zwecken ausschließen. Gerade diese im zweiten Halbsatz geregelten Anforderungen werden in der Praxis oft nicht beachtet, da irrtümlich davon ausgegangen wird, dass diese nur für die Regelungsalternative des Abs. 1 Nummer 2 b gelten.
Die Beachtung folgender Aspekte im Zusammenhang mit der Auskunftsverweigerung nach §34 BDSG wurde von mir gefordert:
- Eine gesetzliche oder satzungsmäßige Aufbewahrungsvorschrift verpflichtet den Verantwortlichen, personenbezogene Daten zu speichern. Die gängigsten gesetzlichen Aufbewahrungsvorschriften sind §257 HGB und §147 Abs. 3 AO.
Parallel dazu regelt Art. 17 Abs. 3 lit. b DSGVO (und §35 Abs. 3 BDSG für vertragliche und satzungsmäßige Aufbewahrungspflichten) im Falle des Vorliegens einer Aufbewahrungsvorschrift eine Ausnahme vom Recht auf Löschung des Betroffenen. - Die Speicherung von personenbezogenen Daten erfolgt nur auf der Grundlage dieser Aufbewahrungsvorschrift. Damit ist die Anwendung dieses Ausnahmetatbestands ausgeschlossen, wenn die Speicherung der Daten auch einem anderen Zweck dient oder die Aufbewahrungsfrist bereits abgelaufen ist.
- Der Verantwortliche stellt einen unverhältnismäßigen Aufwand für die Erteilung der Auskunft fest. Dabei muss der Aufwand der konkreten Auskunftserteilung das Informationsinteresse des Auskunftsberechtigten in unverhältnismäßiger Weise überwiegen. Diese Abwägung wird von dem Verantwortlichen grundsätzlich bei jedem Auskunftsverlangen vorgenommen. Bei gleichgelagerten Fällen kann sie einmal erfolgen und muss dann auch nur einmal dokumentiert werden.
Zugunsten der betroffenen Person sind bei der Ermittlung des Aufwands auch die bestehenden technischen Möglichkeiten zu berücksichtigen, gesperrte und archivierte Daten der betroffenen Person bei der Auskunftserteilung verfügbar zu machen (BT-Drs. 18/11325 S.104). Die Datenschutzaufsichtsbehörde kann das Vorliegen des unverhältnismäßigen Aufwandes vollumfänglich überprüfen. - Es müssen technisch-organisatorische Maßnahmen vorliegen, welche die Verarbeitung zu einem anderen Zweck ausschließen. Welche Maßnahmen im Einzelnen dafür zu ergreifen sind, bestimmt sich nach der Art der gespeicherten Daten und den Umständen der Speicherung. Beispiele für die Maßnahmen ist die Führung von getrennten Datenbeständen (produktiver Datenbestand und gesperrte Aufbewahrungsdaten) und eingeschränkte Zugriffsrechte.
- Die tatsächlichen und rechtlichen Gründe der Auskunftsverweigerung müssen in nachvollziehbarer Weise dokumentiert werden und im Bedarfsfall der Datenschutzaufsichtsbehörde zur Verfügung gestellt werden.
- Der Verantwortliche muss dem Betroffenen die maßgeblichen Gründe für die Auskunftsverweigerung mitteilen, es sei denn, durch die Mitteilung würde der mit der Auskunftsverweigerung verfolgte Zweck gefährdet.
Die auskunftspflichtigen Stellen wurden aufgefordert, die dargestellten Anforderungen zu beachten und ihre Praxis anzupassen.
Der Energieversorger im o.g. Fall wurde aufgefordert, seine Praxis zu ändern und nur denjenigen Auskunftsverlangenden gegenüber die Auskunftsverweigerung geltend zu machen, deren Daten tatsächlich aufgrund der Aufbewahrungspflichten vorgehalten werden und bei denen unverhältnismäßiger Aufwand nachweisbar festgestellt werden konnte. Auch wurde er auf seine Begründungspflicht hingewiesen.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks