Die korrekte Aufbewahrung und Löschung personenbezogener Daten ist ein zentraler Aspekt des Datenschutzes. Oft herrscht die Annahme, dass die vorzeitige Löschung von Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht. Doch ein genauerer Blick zeigt, dass die Unterschreitung gesetzlicher Aufbewahrungsfristen ebenfalls Datenschutzverstöße mit sich bringen kann.
Das Spannungsfeld zwischen Aufbewahrungs- und Speicherpflichten
Eine häufig diskutierte Frage im Datenschutzrecht lautet: Was passiert, wenn personenbezogene Daten vor Ablauf einer gesetzlichen Aufbewahrungsfrist gelöscht werden? Während das Überschreiten von Aufbewahrungsfristen klar als Verstoß gegen die Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO gilt, ist die Rechtslage bei einer zu frühen Löschung komplexer.
Datenlöschung als Verarbeitung
Die DSGVO definiert in Art. 4 Nr. 2 die Löschung personenbezogener Daten ebenfalls als „Verarbeitung“. Diese bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. In der Regel stellt der Ablauf einer gesetzlichen Aufbewahrungsfrist eine solche Grundlage dar, gestützt auf Art. 6 Abs. 1 lit. c in Verbindung mit Art. 17 Abs. 1 DSGVO.
Wenn Daten jedoch vorzeitig gelöscht werden, fehlen oft die Voraussetzungen für eine rechtskonforme Verarbeitung. Zwar könnte theoretisch eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage dienen, doch ist dies in der Praxis selten der Fall. Ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO dürfte in der Regel nicht gegeben sein, wenn dem eine gesetzliche Aufbewahrungspflicht entgegensteht.
Unterschiedliche Szenarien und ihre rechtliche Bewertung
Betroffener Schutz der Person
Ein entscheidendes Kriterium für die Bewertung einer vorzeitigen Löschung ist, ob die gesetzliche Aufbewahrungspflicht auch dem Schutz der betroffenen Person dient. Beispiele hierfür sind:
- Patientenakten: Die Aufbewahrung dient der medizinischen Dokumentation und dem Schutz der Patientenrechte.
- Anwaltsakten: Diese gewährleisten die Nachvollziehbarkeit rechtlicher Vertretung.
In solchen Fällen besteht eine „Beschwerdebefugnis“ der betroffenen Person gemäß Art. 77 DSGVO.
Aufbewahrung ohne direkten Personenschutz
Anders gestaltet sich die Lage bei steuerrechtlichen Vorschriften wie § 147 Abgabenordnung, die primär der Kontrolle durch das Finanzamt dienen. Hier liegt keine Beschwerdebefugnis vor, da der Schutz der betroffenen Person nicht im Fokus steht. Verstöße gegen solche Aufbewahrungspflichten können dennoch von den Datenschutzbehörden von Amts wegen verfolgt werden.
Beschwerden und Konsequenzen
Gemäß Art. 77 DSGVO können Betroffene Beschwerden einreichen, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die DSGVO verstößt. Dabei ist zu prüfen:
- Ist ein Verstoß gegen die DSGVO gegeben?
- Dient die verletzte Aufbewahrungspflicht auch dem Schutz der betroffenen Person?
Nur wenn beide Punkte erfüllt sind, ist eine Beschwerde zulässig. In anderen Fällen bleibt den Aufsichtsbehörden die Möglichkeit, von Amts wegen zu handeln.
Fazit
Die Unterschreitung gesetzlicher Aufbewahrungsfristen kann ebenso wie deren Überschreitung einen Datenschutzverstoß darstellen. Für Unternehmen und Organisationen ist es daher essenziell, sich mit den rechtlichen Anforderungen an die Aufbewahrung und Löschung personenbezogener Daten vertraut zu machen. Verbraucher sollten ihre Rechte kennen und bei Bedarf von ihrem Beschwerderecht Gebrauch machen.