Anders als derzeit in § 35 Abs. 2 S. 2 Nr. 4 BDSG vorgeschrieben, wird es im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) zumindest dem Grunde nach keine starren Löschfristen mehr für personenbezogene Daten geben. Auch das neue, ab dem 25.5.2018 anwendbare, BDSG sieht keine fixen Löschfristen vor.
Nach § 35 Abs. 2 S. 2 Nr. 4 BDSG sind personenbezogene Daten zu löschen, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. Diese Vorgaben betreffen vor allem Auskunfteien.
Bereits im Juli dieses Jahres entschied das VG Karlsruhe (Urt. v. 6.7.2017 – 10 K 7698/16) in einem Verfahren zwischen der Aufsichtsbehörde in Baden-Württemberg und einer Auskunftei, dass sich die künftige Prüf- und Löschpraxis der Auskunfteien am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e DSGVO messen lassen muss, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet (hierzu mein Beitrag). Innerhalb des vorhandenen Spielraums sei eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig.
Auch das Bayerische Staatsministerium des Inneren geht in einer nun veröffentlichen Antwort auf eine schriftliche Anfrage im Landtag davon aus, dass unter der DSGVO die Frage der Löschung von Daten nicht mit starren Fristen, sondern vom Ergebnis einer Interessenabwägung und Erforderlichkeitsbewertung abhängt (LT Drs. 17/17777, pdf).
Das Staatsministerium geht davon aus, dass mit Geltung der DSGVO keine unmittelbar aus dem Gesetz bzw. der Verordnung ableitbare starre Frist mehr gilt.
Die zulässige Speicherdauer ist damit künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs.1 Buchst. f DSGVO zu bestimmen.
Diese Ansicht stützt die Regierung zudem auf eine Einschätzung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Das BayLDA teilte auf Nachfrage mit, dass es die geltende dreijährige Löschfrist auch unter Geltung der DSGVO für sachgerecht halte und allenfalls anstrebe, ihren Ablauf künftig taggenau berechnen zu lassen.
Hinzuweisen ist darauf, dass Löschfristen in Zukunft aber vor allem noch im öffentlichen Sektor eine Rolle spielen können; insbesondere wenn die Löschung in bereichsspezifischen Datenschutzregelungen und auf der Grundlage der Öffnungsklauseln der DSGVO vorgesehen ist. Solche Neuregelungen in spezifischen Bereichen hat der Bundestag bereits im Sommer 2017, relativ unbemerkt von der Öffentlichkeit, beschlossen (hierzu mein Blogbeitrag). So wird etwa in § 29c Abs. 1 AO vorgesehen, dass Daten nach Beendigung einer bestimmten Maßnahme innerhalb eines Jahres gelöscht werden müssen. Diese Änderung tritt am 25.5.2018 in Kraft.
Pingback: Recht auf Vergessenwerden – IT-Center.NRW
Pingback: Recht auf Vergessenwerden – IT-Center.Berlin