Nachweispflicht des Verantwortlichen bei der Datenverarbeitung nach Löschersuchen
In der Praxis stehen Unternehmen und Organisationen vor der Herausforderung, die Rechtmäßigkeit ihrer Datenverarbeitung nachzuweisen. Insbesondere im Kontext der Datenschutz-Grundverordnung (DSGVO) ist es von entscheidender Bedeutung, dass Verantwortliche in der Lage sind, die Einwilligung betroffener Personen oder andere rechtliche Grundlagen für die Verarbeitung ihrer personenbezogenen Daten zu belegen.
Ein häufiges Problem tritt auf, wenn betroffene Personen die Löschung ihrer Daten, nach Art. 15 Abs. 1 DSGVO, verlangen. In solchen Fällen kann es vorkommen, dass auch die Nachweise für die Rechtmäßigkeit der Datenverarbeitung „voreilig“ gelöscht werden. Dies stellt ein erhebliches Risiko für die Verantwortlichen dar, da sie stets die Beweislast tragen. Gemäß Art. 6 Abs. 1 DSGVO müssen sie nachweisen können, dass eine Einwilligung vorliegt oder dass eine andere rechtliche Grundlage für die Verarbeitung gegeben ist.
Daher ist es ist wichtig zu wissen, dass Verantwortliche, unabhängig von einem Löschverlangen gesetzlich verpflichtet sind, die rechtmäßige Datenverarbeitung nachzuweisen, insbesondere wenn die Aufsichtsbehörde dies prüfen möchte. Das bedeutet, dass sie in der Lage sein müssen, die entsprechenden Nachweise zu speichern, solange die Nachweispflicht besteht. Die Löschung dieser Nachweise während der Dauer der Nachweispflicht ist daher unzulässig. Die erforderlichen Daten sind von der Löschpflicht ausgenommen, sofern die Zwecke der Verarbeitung ordnungsgemäß festgelegt wurden. In diesem Zusammenhang liegt kein Fall des Art. 17 Abs. 1 lit. a DSGVO vor, der eine Löschung der Daten verlangen würde.
Um dem Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO gerecht zu werden, sollten betroffene Personen bereits zum Zeitpunkt der Datenerhebung darüber informiert werden, dass personenbezogenen Daten zu Nachweiszwecken gespeichert werden. In der Praxis würde man darüber informieren, welche Daten gespeichert bleiben und wie lange. Auch nach einem Löschungsersuchen sind Verantwortliche nicht verpflichtet, Nachweise für eine erteilte Einwilligung oder das Vorliegen einer anderen Rechtsgrundlage zu löschen. Die Speicherung dieser Nachweise stellt einen eigenständigen Verarbeitungszweck dar und sollte in der Regel für 3 Jahre gespeichert bleiben.
Die DSGVO legt klar fest, dass Verantwortliche die Rechtmäßigkeit ihrer Datenverarbeitung nachweisen müssen. Für den Fall, dass sie diesen Nachweis nicht erbringen können, müssen sie mit möglichen datenschutzrechtlichen Konsequenzen rechnen. Dies hat die Berliner Beauftragte für Datenschutz und Informationssicherheit in ihrem Jahresbericht 2023 nochmals hervorgehoben. Daher ist es ratsam, klare Prozesse zur Dokumentation und Speicherung von Einwilligungen sowie anderen Nachweisen zu etablieren. Dies hilft nicht nur, rechtlichen Anforderungen gerecht zu werden, sondern auch, mögliche Verstöße zu vermeiden und das Vertrauen der betroffenen Personen zu stärken.
Insgesamt ist die Nachweispflicht ein zentraler Aspekt des Datenschutzes, der sowohl für die Verantwortlichen als auch für die betroffenen Personen von großer Bedeutung ist. Ein proaktiver Umgang mit dieser Thematik kann dazu beitragen, rechtliche Risiken zu minimieren und die Rechte der betroffenen Personen zu wahren.
Quelle: Jahresbericht 2023 Berliner Beauftragte für Datenschutz und Informationsfreiheit
