EuGH zum Löschanspruch: Betroffener Person obliegt der Nachweis, dass Informationen unrichtig sind

In seiner Entscheidung C-460/20 (vom 8.12.2022) befasst sich der Gerichtshof der Europäischen Union (EuGH) mit der Beweislast in Fällen, in denen eine betroffene Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt.

Die Entscheidung des Gerichtshofs

Von hoher Relevanz für die Praxis sind die Argumente des EuGH zur Beweislast in Fällen von Art. 17 DSGVO. Konkret ging es hier um die Frage, wer im Rahmen der Ausnahmevorschrift des Art. 17 Abs. 3 lit. a DSGVO die Beweislast dafür trägt nachzuweisen, dass auf einer Webseite aufgelistete Inhalte unrichtige Behauptungen enthalten.

Beantragt eine betroffene Person die Löschung bestimmter Daten mit der Begründung, diese seien unrichtig, so obliegt nach dem EuGH „dieser Person der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist“ (Rz. 68).

Dem EuGH zufolge darf jedoch keine übermäßige Belastung auferlegt werden, die geeignet wäre, die praktische Wirkung des Rechts auf Löschung zu beeinträchtigen. Daher muss die Person den Nachweis der Unrichtigkeit erbringen, kann aber nicht verpflichtet werden, eine gerichtliche Entscheidung gegen den Betreiber der betreffenden Website vorzulegen.

Was die andere Seite betrifft, so kann von dem für die Verarbeitung Verantwortlichen nicht verlangt werden, dass er den Sachverhalt ermittelt und eine kontradiktorische Debatte mit dem Anbieter der Inhalte führt. Der EuGH geht davon aus, dass der Verantwortliche nicht verpflichtet ist, „bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist“ (Rz. 70).

Eine ähnliche Argumentation für Art. 16 DSGVO?

In einer Entscheidung aus März 2022 (BVerwG 6 C 7.20) hatte sich das Bundesverwaltungsgericht (BVerwG) ebenfalls mit einem ähnlichen Fall zu befassen, allerdings verlangte die betroffene Person eine Datenberichtigung nach Art. 16 DSGVO. Das BVerwG hat darauf hingewiesen, dass der Maßstab für die Qualifizierung eines Datums als „richtig“ oder „unrichtig“ im Sinne des Art. 16 S. 1 DSGVO zunächst die objektive Wirklichkeit ist.

Was die Beweislast betrifft, so verwies das Gericht auf Art. 5 Abs. 2 DSGVO. Nach Auffassung des BVerwG enthält die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Bestimmung, wer die Beweislast für die Richtigkeit des nach dem Begehren der betroffenen Person neu einzutragenden Datums trägt. Die Vorschrift regelt auch die Beweislast, soweit die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.

Konkret bezogen auf einen Berichtigungsanspruch, bei dem die Richtigkeit eines Datums umstritten ist, ist damit auch die Frage verbunden, ob der für die Verarbeitung Verantwortliche mit der Verarbeitung des „alten“ oder aber des „neuen“ Datums seiner Pflicht zur Einhaltung des Grundsatzes der Datenrichtigkeit gerecht wird.

Das BVerwG führt aus, dass „die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht“. Der Verantwortlichen muss im Zweifel in Zukunft nachweisen, dass ein durch ihn verarbeitetes Datum richtig ist. Wenn ihm aber dieser Nachweis obliegt, so das BVerwG, kann von ihm nicht verlangt werden, „ein vom Antragsteller angegebenes Datum, dessen Richtigkeit sich nicht feststellen lässt, einzutragen und weiter zu verarbeiten“.

Fazit

Beide Entscheidungen enthalten relevante Klarstellungen hinsichtlich der Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit Anfragen von betroffenen Personen konfrontiert sind, die die Berichtigung oder Löschung von Daten beantragen, ohne etwa einen Beweis für die Unrichtigkeit der vorhandenen Daten vorzulegen, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen müssen, an den Gründen dieser Entscheidungen orientieren.

Aufbewahrungsfrist zur Erfüllung der DSGVO-Nachweispflichten – Datenschutzbehörde: 3 Jahre

Die DSGVO etabliert bekanntlich eine (je nach Auslegung sehr umfassende) Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO. Daneben kennt die DSGVO auch noch weitere Nachweispflichten, z. B. in Art. 7 Abs. 1 DSGVO für die Einwilligung oder in Art. 12 Abs. 5 DSGVO für offenkundig unbegründete oder exzessive Anträge von Betroffenen. 

In der Praxis kommt oft die Frage auf, wie lange Verantwortliche denn eine entsprechende Dokumentation, dass man sich in bestimmten Situationen an die DSGVO gehalten hat, aufbewahren dürfen bzw. müssen. Ein Beispiel: der Verantwortliche erteilt eine Auskunft nach Art. 15 DSGVO. Nach 1,5 Jahren beschwert sich der Betroffene darüber, dass er keine Auskunft erhalten habe. Wenn der Verantwortliche nun die Auskunftserteilung schon gelöscht hat, wird es für ihn schwer, die ordentliche Erfüllung seiner rechtlichen Pflichten nachzuweisen. Gleichzeitig enthält diese Dokumentation, z. B. die versendete E-Mail und Dokumente, natürlich personenbezogene Daten. Man benötigt für eine Speicherung also eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Einen praxisrelevanten Fall zu diesem Themenkomplex hatte die Datenschutzbehörde aus Thüringen zu entscheiden und berichtet hierüber in ihrem Tätigkeitsbericht 2021, ab S. 167 (pdf).

Es ging dort um den Versand von E-Mails an eine Betroffene. Diese gab an, nie in den Erhalt der E-Mails eingewilligt zu haben. Gleichzeitig verlangt die Betroffene dann auch Auskunft nach Art. 15 DSGVO und die Löschung ihrer Daten von dem Verantwortlichen. Nachdem sie hierauf keine Antwort erhielt, beschwerte sie sich bei dem TLfDI. 

Nach Ansicht der Aufsichtsbehörde war das Unternehmen als Verantwortliche verpflichtet, den entsprechenden Nachweis darüber zu führen, dass eine Einwilligung vorlag (vgl. Art. 7 Abs. 1 DSGVO). Die DSGVO enthalte insoweit eine ausdrückliche Beweislastregel für das Vorliegen einer wirksamen Einwilligung. Den Verantwortlichen treffe nicht nur die Verantwortung für die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze für die Verarbeitung personenbezogener Daten, er müsse ihre Einhaltung auch nachweisen können. Diese Nachweispflicht könne er durch entsprechende Dokumentation oder ein Daten-Management-System erfüllen.

Vorliegend gelang dies dem Verantwortlichen jedoch. Dieser antwortete der Aufsichtsbehörde sogar, dass er alle Daten zu der Betroffenen aufgrund ihrer Anfrage gelöscht habe und daher keinen Nachweis mehr erbringen könne. 

Diese Ansicht teilte der TLfDI nicht. Die Nachweispflicht sei gerade nicht durch das Löschungsverlangen der Betroffenen entfallen. Denn gemäß Art. 17 Abs. 3 lit. b) DSGVO ist die Löschung personenbezogener Daten ausgeschlossen, soweit diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedsstaaten erfordert, dem der Verantwortliche unterliegt. 

Der TLfDI weiter: „Diese Sonderregelung entspricht der Rechtsgrundlage für die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung aus Art. 6 Abs. 1 Satz 1 Buchstabe c) DS-GVO. Zu diesen Rechtspflichten zählen insbesondere Speicher-, Dokumentations- und Aufbewahrungspflichten, zu denen auch die in Art. 5 Abs. 2 und Art. 7 Abs. 1 DS-GVO geregelten Nachweispflichten zählen“.

Wichtig: die Behörde geht also davon aus, dass Verantwortliche solche Daten (und diese enthaltene Dokumente) nicht löschen dürfen, die für die Erfüllung des Nachweises der Einhaltung der DSGVO erforderlich sind. Ganz ausdrücklich allgemein nach Art. 5 Abs. 2 DSGVO. Auch dann nicht, wenn die Betroffene dies verlangt. Diese Ansicht ist meines Erachtens richtig, jedoch in dieser Deutlichkeit bisher eher nicht von Behörden vertreten worden. 

Zuletzt ging es dann noch um die Frage, welche konkrete Aufbewahrungsfrist für den Nachweis der Einwilligung gelte. Denn die DSGVO sehe hierzu keine ausdrückliche Regelung vor.

Der TLfDI stellt hier auf eine Frist von drei Jahren ab, da nach Ablauf dieses Zeitraums ein Buß- geldverfahren in der Regel als verjährt anzusehen ist.“

Wichtig: die Behörde setzt hier also die Verjährungsfristen für Verstöße gegen die DSGVO an (vgl. § 31 Abs. 2 Nr. 1 OWiG). Meines Erachtens ist diese Argumentation und Ansicht der Behörde auch auf andere Nachweispflichten und durchaus auch allgemein auf Dokumentation (mit personenbezogenen Daten) übertragbar, die Verantwortliche vorhalten, um die Einhaltung der DSGVO nachweisen zu können. 

EuGH zu den Nachweispflichten bei der Löschung von Daten

In einem kürzlich ergangenen Urteil (Urt. v. 20.10.2022, C-77/21) befasste sich der EuGH mit der praxisrelevanten (wenn durchaus auch ungeliebten) Frage, welche Anforderungen bei der Löschung von Daten und insbesondere dem Nachweis der Erfüllung der Löschpflicht zu beachten sind.

Ausgangsverfahren

Ein ungarisches Unternehmen richtete nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, unter der Bezeichnung „test“ eine Testdatenbank ein. In diese kopierte das Unternehmen personenbezogene Daten von ungefähr einem Drittel der Kunden, die in einer anderen Datenbank gespeichert waren, die mit einer Website verlinkt werden konnte und die aktualisierten Daten der Newsletter-Abonnenten für Zwecke der Direktwerbung sowie die Zugangsdaten der Systemadministratoren zur Schnittstelle der Website enthielt. Die ungarische Datenschutzbehörde entschied, dass das Unternehmen gegen Art. 5 Abs. 1 lit. b und e DSGVO verstoßen habe, da es die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht sofort gelöscht habe. Hierdurch seien in der Testdatenbank eine große Menge Kundendaten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert worden seien, die die Identifizierung der betroffenen Personen ermöglicht habe.

Entscheidung des EuGH

In seinem Urteil befasst sich der EuGH ab Rz. 46 ff. mit dem Grundsatz der Speicherbegrenzung und damit auch der Frage der Lösch- und einer erforderlichen Nachweispflicht.

Zunächst stellt der EuGH (wie schon öfter in der Vergangenheit) klar, dass die Grundsätze des Art. 5 Abs. 1 DSGVO kumulativ einzuhalten sind. „Daher muss die Speicherung personenbezogener Daten nicht nur dem Grundsatz der „Zweckbindung“, sondern auch dem Grundsatz der „Speicherbegrenzung“ genügen“.

Bezogen auf den konkreten Fall bewertet der EuGH danach die Frage, ob Art. 5 Abs. 1 lit. e DSGVO dahin auszulegen ist, dass der in dieser Vorschrift vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Nachweis über Erforderlichkeit der Speicherung

Nach Ansicht des EuGH muss der Verantwortliche in der Lage sein, gemäß dem Grundsatz der Rechenschaftspflicht, „nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist“.

Praktisch dürfte dies für ein Löschkonzept bedeuten, dass für personenbezogene Daten die jeweilige festgelegte Aufbewahrungsdauer genau geprüft und gut begründbar sein muss. Im Grunde sieht der EuGH hier zwei Ziele der Nachweispflicht:

  • Dass die personenbezogenen Daten rein faktisch nur für den Zeitraum der Erforderlichkeit verarbeitet werden und danach nicht mehr (personenbeziehbar) vorhanden sind.
  • Dass die Erforderlichkeit der Verarbeitung zur Erreichung der definierten Zwecke dargelegt werden kann.

Der erste Aspekt ist aus meiner Sicht eher ein technisches bzw. organisatorisches Thema. Der zweite Aspekt betrifft eher die juristische Begründung der Verarbeitung.

Ein Datum kann mehreren Zwecken dienen – aber irgendwann ist Schluss

Der EuGH stellt im Hinblick auf die Erforderlichkeit zudem klar, dass es nicht zwingend nur einen Verarbeitungszweck geben muss, für den ein Datum verwendet wird. Vielmehr kann ein Datum im Laufe der Zeit mehreren Zwecken dienen. Jedoch ist die Verarbeitung eines Datums dann nicht mehr zulässig, wenn das Datum für die Erreichung der Zwecke nicht mehr erforderlich ist. In diesem Fall muss das Datum gelöscht werden, wenn diese Zwecke erreicht sind. Für den konkreten Fall geht der EuGH daher davon aus, dass der Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, „in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist“. Für die Praxis der Datenlöschung, etwa in Form eines Löschkonzepts, kommt dem Merkmal der „Erforderlichkeit“ und damit der Begründung, warum Daten noch verwendet werden müssen, entscheidende Bedeutung zu.