DSGVO - BDSG - TTDSG

30

Der Verarbeitungsgrundsatz der Richtigkeit erfordert, dass personenbezogene Daten sachlich richtigund erforderlichenfalls auf dem neuesten Standsind, Art. 5 Abs. 1 lit. d Hs. 1 DSGVO. Überdies sind gem. Art. 5 Abs. 1 lit. d Hs. 2 DSGVO angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigtwerden.

31

Personenbezogene Daten sind sachlich richtig, wenn die gespeicherte Information mit der Realität übereinstimmt.72 Der Pflicht zur Ergreifung angemessener Maßnahmen zur unverzüglichen Löschung oder Berichtigung unrichtiger Daten nach Art. 5 Abs. 2 lit. d Hs. 2 DSGVO kann der Verantwortliche nur durch regelmäßige aktive Überprüfungen der Richtigkeit seiner Datenbestände effektiv nachkommen.73 Während der Grundsatz sachlicher Richtigkeit vorbehaltlos formuliert ist, müssen personenbezogene Daten nur „erforderlichenfalls“ auch auf dem neusten Stand sein, Art. 5 Abs. 1 lit. d Hs. 1 DSGVO. Dass Daten auf dem neusten Stand sind, ist insbesondere dann nicht erforderlich, wenn es sich um „ historische Daten“ handelt, also solche, die unmittelbar mit einem bestimmten Zeitpunkt verknüpft sind:74 Beispielsweise kann es der Zweck der Verarbeitung im Falle der Speicherung von Gesundheitsdaten im Rahmen einer Untersuchung gebieten, dass ebendiese Daten bei einer Änderung des Gesundheitszustands nicht berichtigt werden.75 Umgekehrt kann der Verarbeitungszweck die Aktualität der Daten aber auch wesensnotwendig voraussetzen, wie etwa bei der Speicherung von Zutrittsberechtigungen.76

32

Der Richtigkeitsgrundsatz wird insbesondere durch das Recht der betroffenen Person auf Berichtigung gem. Art. 16 DSGVOnäher ausgestaltet.77 Gemäß Art. 16 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Dass das Vorhandensein unrichtiger personenbezogener Daten die einzige „echte“ Tatbestandsvoraussetzung dieses Anspruchs ist, dürfte in der Praxis diverse Fragenaufwerfen. Gerade im Lichte des risikobasierten Ansatzes der DSGVO erscheint es bedenklich, dass in Art. 16 Abs. 1 DSGVO weder eine Erheblichkeitsschwelle vorgesehen ist, noch der Berichtigungsaufwand für den Verantwortlichen Berücksichtigung findet. So könnte beispielsweise ein Verantwortlicher, der ein digitales Medium (beispielsweise ein eBook) mit fehlerhaften Kontaktdaten des Urhebers veröffentlicht hat, im Zuge des Berichtigungsanspruchs dazu verpflichtet sein, das – eigentlich „fertige“ – Werk zu berichtigen und jedem Käufer die berichtigte Version zur Verfügung zu stellen. Zwar kann das Recht aus Art. 16 DSGVO gem. Art. 85 Abs. 1 sowie 89 Abs. 2 DSGVO zum Schutz des Rechts auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken bzw. zu wissenschaftlichen oder historischen Forschungszwecken durch mitgliedstaatliche Regelungen beschränkt werden; von dieser Öffnungsklauselist im deutschen Recht jedoch nur bedingt Gebrauch gemacht worden.78

33

Ferner müssen personenbezogene Daten in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, Art. 5 Abs. 1 lit. e DSGVO. Zur Verwirklichung dieses Grundsatzes der Speicherbegrenzung muss der Verantwortliche die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaßbeschränken79 sowie Fristen für Löschungen oder regelmäßige Überprüfungenvorsehen.80 Vor allem der Umgang mit Schattendatenbankenwird regelmäßig zu erheblichen Problemen führen (siehe hierzu bereits oben Rn. 28). Denn etwaige Löschpflichten beziehen sich nicht nur auf das Hauptsystem, sondern auf sämtliche Kopien des zu löschenden Datensatzes. Die Einbindung von Schattendatenbanken in ein einheitliches Löschkonzept dürfte daher praktisch kaum umsetzbar sein.

34

Zur effektiven Umsetzung der Speicherbegrenzung in Unternehmensstrukturen bietet sich das Aufstellen von sog. Data Retention Policiesbzw. Löschkonzeptenan.81 Die Notwendigkeit der Erstellung und Umsetzung strukturierter Löschkonzepte wurde in der Unternehmenspraxis jedoch bisher nahezu vollständig ignoriert.82 Daher wird die Einhaltung des Grundsatzes der Speicherbegrenzung für Verantwortliche sowohl in rechtlicher als auch technischer Hinsicht eine schwer zu bewältigende Aufgabe darstellen.83

35

Zur Bewältigung derartiger Probleme84 müssen technische und organisatorische Lösungen gefunden werden, die es ermöglichen, einem Datensatz konkrete Löschmodalitäten unter Berücksichtigung etwaiger Löschpflichten und -bedürfnisse zuzuordnen. Im Zuge dessen bietet etwa die DIN 66398(„Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“) eine praktische Hilfestellung für die Erstellung eines individuellen Löschkonzepts.85

36

Im Regelfall dürfte sich ein mehrstufiges Verfahren unter Einbeziehung aller Fachbereiche eines Unternehmens anbieten:

– Identifizierung der für das Unternehmen geltenden gesetzlichen Aufbewahrungspflichten,86

– Identifizierung der für das Unternehmen relevanten und sich aus dem Geschäft des Unternehmens ergebenden „Aufbewahrungsbedürfnisse“,

– Identifizierung der im Unternehmen verarbeiteten Datenarten,

– Zuweisung von konkreten Aufbewahrungs- und Löschfristen zu den konkreten Datenarten,

– Identifizierung von Ausnahmen von den Löschfristen (beispielsweise kürzere Aufbewahrung im Falle des Widerrufs von Einwilligungen oder Ausübung von Löschrechten bzw. längere Aufbewahrung, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Löschansprüchen erforderlich sind),

– organisatorische und technische Sicherstellung der (vollständigen) Löschung,

– Dokumentation der Löschprozesse/ggf. konkreter Löschungen.

37

Der Grundsatz der Speicherbegrenzung wird durch das Recht der betroffenen Person, unter bestimmten Voraussetzungen die Löschung ihrer personenbezogenen Daten zu verlangen, konkretisiert, Art. 17 Abs. 1 DSGVO.87 Der Verantwortliche ist jedoch auch ohne ein solches Begehren des Betroffenen zur unverzüglichen Löschung der – beispielsweise aufgrund einer Zweckerreichung88 – obsolet gewordenen Daten verpflichtet.89 Dies ergibt sich entweder direkt aus der Formulierung des Art. 17 Abs. 1 DSGVO („der Verantwortliche ist verpflichtet“, siehe Art. 17 Rn. 22),90 jedenfalls aber aus dem Speicherbegrenzungsgrundsatz des Art. 5 Abs. 1 lit. e DSGVO.91 Ähnlich wie beim Zweckbindungsgrundsatz (vgl. oben Rn. 26) gelten auch im Rahmen des Grundsatzes der Speicherbegrenzung Ausnahmenim Hinblick auf im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke sowie statistische Zwecke, Art. 5 Abs. 1 lit. e Hs. 2 DSGVO.

38

Schließlich müssen personenbezogene Daten gemäß dem Grundsatz der Integrität und Vertraulichkeit in einer Weise verarbeitet werden, die durch geeignete technische und organisatorische Maßnahmeneine angemessene Sicherheitder personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, Art. 5 Abs. 1 lit. f DSGVO. Der Begriff der Integritätbezieht sich auf die Unversehrtheit der Daten und zielt auf die Verhinderung ihrer unbeabsichtigten Unbrauchbarmachung ab, wohingegen der Grundsatz der Vertraulichkeitden Schutz vor unbefugter Kenntnisnahme und Verarbeitung umfasst.92