Das Datenschutz-Dilemma

Kategorie: Datenschutz, Cybersecurity Branche: Automotive, Konsumgüter, Railway Autor: Jahr:

Zeitliche Speicherbegrenzung vs. Erfüllung der Rechenschaftspflicht nach der DSGVO

Die DSGVO bestimmt gegenüber dem Verantwortlichen eine Rechenschaftspflicht, jederzeit die Einhaltung der Grundsätze der Verarbeitung von personenbezogenen Daten nachweisen zu können. Was genau das allerdings in Hinblick auf den Umfang der notwendigen Dokumentation und den Zeitraum der notwendigen Nachweisbarkeit bedeutet, erwähnt die DSGVO nicht. Ein wesentliches Dokumentationsinstrument nennt die DSGVO mit dem Verarbeitungsverzeichnis, dessen erforderliche Inhalte in Art. 30 DSGVO auch klar definiert werden. Wie aber sind beispielsweise Anfragen von betroffenen Personen im Hinblick auf Auskunftsersuchen oder Löschbegehren zu dokumentieren? Auch die Einhaltung der Betroffenenrechte unterfällt der Rechenschaftspflicht des Verantwortlichen. 

Umgang mit Auskunftsersuchen

Bei Auskunftsersuchen stellt sich die Frage, welche Daten zum Nachweis der Einhaltung der rechtlichen Vorgaben notwendig sind. Genügt es, lediglich nachweisen zu können, dass ein Auskunftsersuchen erfüllt wurde? Muss die konkrete Beantwortung nebst der Kopie der gegenüber der betroffenen Person bereitgestellten Daten archiviert werden? Muss die konkrete Anfrage der betroffenen Person gespeichert werden? Wie verhält es sich bei „analogen“ Anfragen per Brief? Dürfen analoge Informationen im Hinblick auf die Archivierung der Dokumentation digitalisiert werden (was wiederum eine eigene Verarbeitung im Sinne der DSGVO darstellen würde)? 

Durchführung von Löschanfragen

In Bezug auf Löschanfragen könnte die Rechenschaftspflicht das Paradoxon mit sich bringen, dass für die Dokumentation einer berechtigten Löschanfrage unter Umständen mehr Daten gespeichert werden müssten, als vor der Löschanfrage vorhanden waren; nämlich dann, wenn man konsequent davon ausgeht, dass auch nachweisbar sein muss, welche Daten konkret gelöscht werden (sollten). Unter Beachtung der Grundsätze der Datenminimierung und Speicherbegrenzung kann sich für Verantwortliche ein nicht ohne weiteres lösbares Dilemma ergeben.

Fristen

Auch in Bezug auf eine zeitliche Befristung der Erfüllung der Rechenschaftspflicht macht die DSGVO keine Vorgaben, weshalb die Möglichkeit zum Nachweis der Einhaltung der Vorgaben grundsätzlich „immer“ gilt. Allerdings könnte auch der Verhältnismäßigkeitsgrundsatz nach Art. 51 Abs. 1 S. 2 Charta der Grundrechte der Europäischen Union für das Spannungsverhältnis zwischen dem Kontrollbedürfnis der Datenschutzaufsichtsbehörden und dem Interesse des Verantwortlichen an einer Begrenzung des Anforderungsniveaus auf das ihm Zumutbare zu berücksichtigen sein. Der Verantwortliche müsste demnach evtl. keine Nachweispflichten erfüllen, die für ihn unverhältnismäßig sind. Unter praktischen Gesichtspunkten lässt sich eine reale Frist dann aber womöglich doch erkennen und aus nationalen Regelungen ableiten.

Praxistipp

Die Verjährungsfristen für mögliche Bußgelder oder Schadensersatzforderungen von betroffenen Personen richten sich nach den nationalen Bestimmungen. In Deutschland betragen diese im Regelfall drei Jahre bzw. zehn oder sogar dreißig Jahre, weshalb nach Ablauf dieser Zeitspannen Verantwortliche zumindest keine Konsequenzen mehr befürchten müssten, da sie sich auf die Einrede der Verjährung berufen könnten. Gerichtlich entschieden ist die Zulässigkeit der Orientierung an diesen Fristen noch nicht. Jedoch können sie einem Unternehmen als valides Argument der Einhaltung (und gleichzeitig der zeitlichen Begrenzung) der Rechenschaftspflicht dienen.

[Februar 2019]