Aktuelle Rechtsfragen aus der Marktforschungspraxis Pflichten und Rechte zur Löschung und Aufbewahrung personenbezogener Daten

Dr. Ralf Tscherwinka (Dr. Hönig Rechtsanwälte)

Von Dr. Ralf Tscherwinka

Löschen und Aufbewahren personenbezogener Daten sind Datenverarbeitungsvorgänge, die nach der gesetzlichen Grundsatzentscheidung des Bundesdatenschutzgesetzes einer Rechtsgrundlage bedürfen. Gemäß § 4 Abs. 1 BDSG gilt der Grundsatz mit Erlaubnisvorbehalt. Dieser Grundsatz beruht auf dem vom Bundesverfassungsgericht entwickelten Recht auf informationelle Selbstbestimmung (Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 GG). Die Datenverarbeitung personenbezogener Daten ist somit nur rechtmäßig, wenn entweder eine wirksame Einwilligung vorliegt oder eine andere Rechtsvorschrift (Betriebsvereinbarung) oder eine gesetzliche Erlaubnisnorm die Datenverarbeitung ausdrücklich zulässt (§ 4 Abs. 1 BDSG).

1. Gemäß § 3 Abs. 4 BDSG zählt das Löschen personenbezogener Daten zum Begriff der automatisierten Datenverarbeitung:

"Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten" (§ 3 Abs. 4 Satz 1 BDSG).

Unter Löschen versteht das BDSG gemäß § 3 Abs. 4 Ziffer 5 "das Unkenntlichmachen gespeicherter personenbezogener Daten". Eine Unkenntlichmachung in diesem Sinne liegt erst vor, wenn jede Kenntnisnahme des Informationsgehalts irreversibel unmöglich gemacht wurde, egal auf welchem Wege, sei es durch Durchstreichen, Übermalen, Zerstörung des Datenträgers o. ä. Das "wie" der Löschung ist in § 3 Abs. 4 Satz 2 Nr. 5 BDSG gleichgültig, entscheidend ist der Erfolg. Der Erfolg ist noch nicht eingetreten, wenn sich Daten noch auf Back-Ups bzw. Sicherungskopien befinden.

2. Während § 35 Abs. 2 Satz 1 BDSG der Verantwortlichen Stelle die Löschung von Daten erlaubt, wird gemäß § 35 Abs. 2 Satz 2 BDSG die Verantwortliche Stelle zur Löschung von Daten verpflichtet. Das ist im Folgenden auseinanderzuhalten.

3. Betrachten wir zunächst § 35 Abs. 2 Satz 1 BDSG. (Wie immer empfehle ich die Lektüre des Gesetzestextes, auch wenn ich im Folgenden wieder die wesentlichen gesetzlichen Aussagen zitiere). Unter den dort genannten Voraus-setzungen darf die Verantwortliche Stelle personenbezogene Daten löschen. Hier handelt es sich somit um eine Erlaubnisnorm im Sinne von § 4 Abs. 1 Satz 1 BDSG.

Der Gesetzgeber hat sich grundsätzlich zu einer umfassenden Erlaubnis zur Datenlöschung entschieden, was in dieser Weite erstaunlich anmutet, weil es berechtigte Interessen für Speicherungen im Einzelfall gibt. Der Gesetzgeber hat sich darauf beschränkt, Ausnahmen zu formulieren. Personenbezogene Daten können "außer in den Fällen des Absatzes 3 Nr. 1 und 2" jederzeit gelöscht werden, § 35 Abs. 2 Satz 1 BDSG.

Diese Ausnahmen betreffen den Fall, dass einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (§ 35 Abs. 3 Ziffer 1 BDSG), worauf wir unten unter 6. zurückkommen.

Ferner scheidet eine Löschung aus, wenn Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden (§ 35 Abs. 3 Ziffer 2 BDSG) oder eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist (§ 35 Abs. 2 Satz 2 Nr. 3 BDSG).

Schutzwürdige Interessen können dann entgegenstehen, wenn der Betroffene die gespeicherten Daten z.B. für den Nachweis eigener rechtlicher Ansprüche benötigt oder die Löschung untersagt bzw. die Verantwortliche Stelle zur Speicherung aufgefordert hat. Eine Pauschalprüfung genügt, konkrete Rückfragen werden vom Gesetzgeber nicht verlangt. Der Begriff "schutzwürdige Interessen" ist allerdings weit zu verstehen. Unter Berücksichtigung der Umstände des Einzelfalles muss stets geprüft werden, ob dem Betroffenen durch die Löschung Nachteile entstehen können (Simitis, BDSG, 7. A., § 35, Rdnr. 49 mit weiteren Nachweisen).

4. Keine Erlaubnisnorm, sondern eine gesetzliche Verpflichtung zur Datenlöschung enthält dagegen § 35 Abs. 2 Satz 2 BDSG.

Grundsätzlich sind Daten zu löschen, wenn ihre Speicherung unzulässig ist (§ 35 Abs. 2 Satz 2 Nr. 1 BDSG), also wenn ihre Erhebung oder Verarbeitung ohne gesetzliche Erlaubnisnorm oder Einwilligung erfolgte.

Hierzu gehört – genauso wie andere Verstöße gegen datenschutzrechtliche Bestimmungen – die Verletzung des Grundsatzes der Direkterhebung gemäß
§ 4 Abs. 2 BDSG.

Umstritten ist allerdings, ob zu einer Unzulässigkeit im Sinne der Ziffer 1 auch Verstöße gegen andere Rechtsvorschriften außerhalb des Bundesdatenschutzgesetzes führen. So wird vertreten, dass ein Verstoß gegen Rechte des Betriebsrats (§§ 87, 94 BetrVG) zur Unzulässigkeit führen kann (vergleiche Däubler / Klebe / Wedde / Weichert, BDSG, § 35, Rdnr. 17; Wybitul, Handbuch Datenschutz im Unternehmen, S. 48, Rdnr. 94). Ich halte dies für unzutreffend. § 35 Abs. 2 Satz 2 Nr. 1 BDSG bezieht sich ausschließlich auf die datenschutzrechtliche Zulässigkeit und nicht darauf, ob auch andere gesetzliche Bestimmungen im Einzelfall verletzt wurden. Die Frage ist höchstrichterlich noch nicht entschieden. Ich gehe davon aus, dass diese Frage demnächst einer gerichtlichen Klärung zugeführt wird.

Besonders sensible Daten im Sinne von § 3 Abs. 9 BDSG sind im Übrigen immer dann zu löschen, wenn ihre Richtigkeit von der Verantwortlichen Stelle nicht bewiesen werden kann (§ 35 Abs. 2 Satz 2 Nr. 2 BDSG).

Werden personenbezogene Daten für eigene Zwecke verarbeitet, so sind sie zu löschen, "sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist", § 35 Abs. 2 Satz 2 Nr. 3 BDSG. Diese Vorschrift korreliert mit der Pflicht, die Daten nur entsprechend ihrer Zweckbestimmung verwenden zu dürfen. Endet der vorgesehene Zweck, ist eine weitere Verwendung zu unterlassen. Die Daten sind dann zu löschen.

Datenverarbeitung zu eigenen Zwecken findet insbesondere arbeitsrechtlich statt. Wenn Arbeitgeber Bewerbungsunterlagen und Daten von Arbeitnehmern speichern, ist dies unter den Voraussetzungen des § 32 Abs. 1 Satz 1 BDSG grundsätzlich zulässig. Demnach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist, § 32 Abs. 1 Satz 1 BDSG. Mit Blick auf die allgemeine Vorgabe zur Datenvermeidung in § 3 a BDSG müssen Arbeitgeber eine gesetzlich indizierte Löschung zeitnah durch geeignete Verfahren sicherstellen (Däubler, BDSG, § 32, Rdnr. 174). Andererseits hat der ausgeschiedene Arbeitnehmer sogar einen Anspruch auf den früheren Arbeitgeber im Hinblick auf etwaige benötigte Bescheinigungen etc. über sein damaliges Arbeitsverhältnis bzw. die benötigte Einsicht in ehemalige Personalakten (Gola / Schomerus, BDSG, 10. A., § 22, Rdnr. 23 mit weiteren Nachweisen). Die datenschutzrechtlichen Löschungspflichten und –fristen gehen anderen Aufbewahrungsregelungen keineswegs vor. Soweit die Aufbewahrung von Mitarbeiterdaten aus handelsrechtlichen und steuerrechtlichen Aufbewahrungspflichten geboten ist, sind diese Pflichten selbstverständlich auch weiterhin zu beachten (siehe unten 6.).

Ein ausgeschiedener Arbeitnehmer kann die Entfernung seiner persönlichen Daten aus dem Internetauftritt des bisherigen Arbeitgebers verlangen und zwar auch aus einem Newsblog. Dies gilt jedenfalls, wenn der Blog-Eintrag nicht nur über den Eintritt des Arbeitnehmers berichtet, sondern werbenden Charakter hat (LAG Frankfurt am Main, Urteil vom 24. Januar 2012 / 19 SAGA 1480/11, ZD 2012, S. 284 ff.). Dieser Anspruch gilt jedenfalls dann, wenn nach Ausscheiden des Mitarbeiters durch den Hinweis auf seine Fachkompetenz, Textteile im Internetauftritt mit werbendem Charakter und einem Foto des ausgeschiedenen Mitarbeiters die Fachkompetenz des Unternehmens herausgestellt wird und für das Unternehmen geworben werden soll. In diesem Fall werde durch die Nutzung des Bildes, Namens und Kompetenzprofils des ausgeschiedenen Mitarbeiters in der Veröffentlichung sein Persönlichkeitsrecht verletzt. Daher bestehe ein Unterlassungsanspruch gemäß §§ 1004, 823 Abs. 1 und Abs. 2 BGB.

Nach Ablehnung eines Bewerbers sind seine Daten nicht mehr zur Prüfung der Bewerbung erforderlich. Allerdings gewährt § 15 AGG abgelehnten Bewerbern Schadensersatzansprüche, wenn der Arbeitgeber bei der Auswahl der Bewerber gegen ein Benachteiligungsverbot verstoßen hat. Bei Verstößen gegen die im AGG geregelten Benachteiligungsverbote können abgelehnte Bewerber An-sprüche nach dem AGG innerhalb von zwei Monaten geltend machen. Gemäß § 15 Abs. 4 AGG beginnt die Frist mit dem Zugang der Ablehnung der Bewer-bung, also zu dem Zeitpunkt, in dem der Bewerber von der Ablehnung Kenntnis erlangt. Solange abgelehnte Bewerber noch Ansprüche nach § 15 AGG geltend machen können, solange muss dem Arbeitgeber die Speicherung seiner Daten erlaubt sein. Löschung kann erst verlangt werden, wenn feststeht, dass die Geltendmachung von Ansprüchen gemäß § 15 AGG nicht mehr möglich ist. Eine Verlängerung der Frist zur Geltendmachung von Ansprüchen von zwei Monaten um einen oder zwei Monate, um die Geltendmachung von Ansprüchen (und die oft zeitraubende Zustellung von Schriftsätzen vom Arbeitsgericht) abzuwarten, ist daher meines Erachtens zulässig. Erst danach müssen die Daten gelöscht werden.

5. Zivilrechtliche Verjährungsfristen allerdings berechtigen alleine noch nicht zur Nichtlöschung und weiteren Aufbewahrung (Gola / Schomerus, BDSG, 10. A., § 13, Rdnr. 13 a). Allerdings werden Ausnahmen anerkannt, wenn Haftungsansprüche oder andere rechtliche Auseinandersetzungen anstehen oder mit hinreichender Wahrscheinlichkeit zu erwarten sind (Gola / Schomerus, a. a. O.).

In meiner anwaltlichen Beratung vertrete ich die Auffassung, dass jedenfalls für die Dauer von Gewährleistungsfristen keine Löschungspflicht besteht, da ansonsten das Unternehmen mangels rekurrierbarer Daten in der rechtlichen Verteidigung benachteiligt und der Nachweis ordnungsgemäßer Auftragsdurchführung abgeschnitten ist.

In Marktforschungsaufträgen sowie in § 11 BDSG Aufträgen sollte vereinbart werden, dass Marktforschungsinstitute jedenfalls solange keiner Löschungspflicht unterliegen, solange die gesetzlichen oder vertragsrechtlich vereinbarten Gewährleistungspflichten andauern. Es wäre widersprüchlich und unbillig, wenn ein Auftraggeber einerseits einen Gewährleistungsanspruch geltend machen möchte, andererseits von seinem Auftragnehmer durch frühzeitige Löschung von Daten eine Dokumentations- und Rechtsbenachteiligung verlangen würde.

Mängelansprüche bei Werkverträgen (typischer Fall eines Marktforschungsauftrags) verjähren grundsätzlich in zwei Jahren (§ 634 a Abs. 1 Nr. 1 BGB). Es ist daher meines Erachtens rechtlich zulässig, Erhebungs- und Projektunterlagen für diese Dauer und angesichts Verzögerungen bei Auseinandersetzungen (Unterbrechung, gerichtliche Zustellung etc.) bis zu drei Jahren zu erstrecken. Dies umso mehr, weil hier ein begründeter Rekurs auf gesetzliche Gewährleistungspflichten zur Begründung herangezogen werden kann und weil diese Frist sogar im Rahmen der 3-Jahres-Frist der Nummer 4 in § 35 Abs. 2 Satz 2 BDSG liegt. Bei Adressdaten sollte man vorsorglich eine Unterscheidung machen und diese in der Regel nach Abschluss einer Studie löschen.

In allen Fällen gilt natürlich zu beachten, dass die vertraglichen Vereinbarungen keine anderen, hiermit kollidierenden Verpflichtungen enthalten. Daher sind Vertragsentwürfe mit Sorgfalt durchzusehen. Löschungspflichten sind im Idealfall zu konkretisieren und genau zu definieren. So können auch Kollisionen zu Aufbewahrungspflichten vermieden werden.

Wie angekündigt noch eine Betrachtung von § 35 Abs. 2 Nr. 4 BDSG: Handelt es sich um erledigte Sachverhalte, liegt kein Widerspruch vor und handelt es sich um geschäftsmäßige Daten, die zum Zwecke der Übermittlung gespeichert wurden, dann muss die Verantwortliche Stelle nach dem Ablauf von drei Jahren, d.h. konkret zum Ende des dritten Kalenderjahres die Erforderlichkeit einer weiteren Speicherung prüfen.

6. Aufbewahrungspflichten spielen, wie wir oben bereits gesehen haben, eine wesentliche Rolle für die Frage, ob eine Löschungspflicht besteht oder nicht. Wenn gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, tritt an die Stelle einer Löschung die Sperrung (§ 35 Abs. 3 Nr. 1 BDSG). Dies gilt allerdings nur für den Fall des § 35 Abs. 2 Satz 2 Nr. 3 BDSG, nämlich nur für den Fall, wenn die Daten "für eigene Zwecke verarbeitet werden".

Für Unternehmen gelten zahlreiche Aufbewahrungspflichten, insbesondere im Handels-, Steuer- und Arbeitsrecht, die bei datenschutzrechtlichen Angelegenheiten dem BDSG vorgehen (§ 1 Abs. 3 BDSG):

• Gemäß § 257 HGB sind unter anderem Handelsbücher, Inventare, Buchungsbelege 10 Jahre, empfangene und die Wiedergaben abgesandter Handelsbriefe 6 Jahre aufzubewahren. Zahlungen über Arbeitslohn sind 10 Jahre aufzubewahren. Die Aufbewahrung auf einem Bildträger oder anderen Datenträgern ist möglich.
• Lohnberechnungsunterlagen, die für die Besteuerung erforderlich sind, sind 10 Jahre aufzubewahren (§ 147 AO). Lohnkonten sind nach § 41 Abs. 1 Satz 10 EStG bis zum Ende des sechsten Jahres, das auf die zu-letzt eingetragene Lohnzahlung folgt, aufzubewahren. (Die Verletzung von Aufbewahrungspflichten kann im Übrigen steuerrechtlich, sogar strafrechtlich als nicht ordnungsgemäße Buchführung angesehen werden).
• Vielfältige Aufbewahrungspflichten ergeben sich aus arbeitsrechtlichen Bestimmungen. § 16 Abs. 2 Arbeitszeitgesetz verpflichtet Unternehmen Aufzeichnungen über Überstunden für 2 Jahre aufzubewahren. Die Löschungspflichten von Bewerberdaten im Zusammenhang mit § 15 AGG haben wir bereits oben erörtert (4.).
• Für die Aufbewahrung von allgemeinen Personalunterlagen bestehen keine handels- oder steuerrechtlichen Verwahrungs- oder Löschungstermin, worauf bereits hingewiesen wurde. Insoweit sind die datenschutzrechtlichen Grundsätze der Datenvermeidung und Datensparsamkeit zu beachten, auch wenn insoweit keine konkrete gesetzliche Vorgabe derzeit gilt. Auch ist zu beachten, dass Arbeitnehmer, wie oben bereits angesprochen, einen Anspruch auf den früheren Arbeitgeber im Hinblick auf etwaig benötigte Bescheinigungen etc. über ihr damaliges Arbeitsverhältnis bzw. die benötigte Einsicht in ehemalige Personalakten haben. Diese Rechte sind gegeneinander abzuwägen. Es ist daher unter allen rechtlichen Gesichtspunkten auch deshalb meines Erachtens sehr gut vertretbar und empfehlenswert, dass in der Regel eine Verjährungsfrist von drei Jahren als Zeitgrenze herangezogen werden kann. Gerade weil nach zutreffender Auffassung darauf abzustellen ist, wann die Daten aus objektiver Sicht nicht mehr benötigt werden (so auch Däubler, BDSG, § 32, Rdnr. 173), ist die gesetzliche Verjährungsfrist für etwaige Arbeitnehmeransprüche auch insoweit ein vertretbares Datum.
• Für alle Unternehmen, bei denen ein Betriebsrat gegründet wurde, ist im Zusammenhang mit der Aufbewahrung von Daten das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG zu beachten. Zu diesem Mitbestimmungsrecht zählt jegliche technische Einrichtung, die auch dazu benützt werden kann, das Leistungsverhalten der Mitarbeiter zu überwachen, wozu eine Archivierung unstreitig gehört. § 87 Abs. 1 BetrVG gibt dem Betriebsrat ein Initiativrecht und die Umsetzung derartiger Maßnahmen ohne seine Zustimmung kann vom Betriebsrat durch Unterlassungsklagen verhindert werden.

7. Eine Verschärfung zur Speicherung von Bewerberdaten könnte der aktuell im Gesetzgebungsprozess steckengebliebene Entwurf eines Beschäftigtendatenschutzgesetzes bringen. Ob der Entwurf des Beschäftigtendatenschutzgesetzes noch in dieser Legislaturperiode oder irgendwann in Kraft tritt, ist alles andere als gewiss. § 32 b BDSG-E enthält in Absatz 3 eine (geplante Neu-) Regelung, wonach als einzige Rechtfertigung für eine langfristige Speicherung die Einwilligung der betroffenen Person genannt wird. Mit dieser Neuregelung wären alle Daten des Bewerbers, also auch Stammdaten, nach Ablauf der vom AGG gemäß § 15 Abs. 4 AGG gesetzten Frist von zwei Monaten zu löschen. Dass dies mit prozessualen und Nachweisnotwendigkeiten eines Arbeitgebers kollidiert, ist offenkundig. Warten wir also einmal ab, wie sich der Gesetzgebungsprozess entwickelt.

8. Eine Verschärfung von Löschungspflichten wird auch der Entwurf der Europäischen Kommission zur EU-Datenschutz-Grundverordnung bringen. Wie wir bereits in der Oktoberkolumne zum Recht auf Vergessenwerden festgestellt haben, handelt es sich beim geplanten Artikel 17 EU-GV im Kern nicht um ein Recht auf Vergessenwerden, sondern um ein Recht auf Löschung.

Das Recht auf Löschung gemäß Artikel 17 EU-GV (die Verordnung wird wohl frühestens 2016 in Kraft treten) soll dabei nach einem neuen Absatz 2 so weit gehen, "dass ein für die Verarbeitung Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, die Pflicht hat, Dritten, die diese Daten verarbeiten, mitzuteilen, dass eine betroffene Person die Löschung von Links zu diesen Daten oder von Kopien oder Reproduktionen dieser Daten verlangt" (Erwägungsgrund 54). Der für die Veröffentlichung Verantwortliche soll dabei alle vertretbaren Schritte, auch technischer Art, unternehmen, damit diese Information die betroffenen Daten auch tatsächlich erreicht".

Ob eine derart weitgehende Löschung und Löschungsverantwortung bei massenhafter Verbreitung im Internet technisch, organisatorisch und rechtlich durchsetzbar sein wird, bleibt abzuwarten.

Jedenfalls ist in § 11 BDSG Verträgen darauf zu achten, dass zukünftig diese Rechtsentwicklung in den Vertragsgestaltungen aufgenommen wird.

9. Meine Empfehlung ist, dass die unternehmensinternen Prozesse zur Löschung und zur Aufbewahrung personenbezogener Daten mit dem Datenschutzbeauftragten detailliert abgestimmt werden. Dabei ist zu beachten, dass Löschung und Aufbewahrung Datenverarbeitungsvorgänge sind, die der datenschutzrechtlichen Systematik des Grundsatzes mit Erlaubnisvorbehalt unterliegen. Ferner ist zu differenzieren zwischen Rechten zur Löschung und Aufbewahrung einerseits und zur Verpflichtung hierzu andererseits. Dazu gehört auch ein sorgfältiger Umgang mit Rechten der Betroffenen, insbesondere bei Auskunftsersuchen nach § 34 BDSG, deren Nichterfüllung oder auch nicht ordnungsgemäße Erfüllung eine Ordnungswidrigkeit gemäß § 43 Abs. 1 Nr. 8 a BDSG darstellt. Die Erstellung einer internen Richtlinie und die Einführung unternehmensinterner Prozesse zum Umgang mit Löschungs- und Aufbewahrungspflichten ist erforderlich.