Persönliche Daten schützen

Wenn gelöschte Daten doch noch existieren

08.04.2020 von Sebastian Laoutoumai und Oliver Löffel  IDG ExpertenNetzwerk
Das Speichern und die Verarbeitung personenbezogener Daten regeln verschiedene Verordnungen und Gesetze wie die DSGVO. Leider greifen diese zum Beispiel bei einem Unterlassungsbegehren eines Betroffenen nicht Hand in Hand.

Die DSGVO enthält zahlreiche Rechte des von einer Datenverarbeitung Betroffenen. Diese Rechte bieten einer Person die Möglichkeit, den Umfang und den Zweck einer Verarbeitung konkret zu erfragen, oder unrichtige Daten berichtigen zu lassen. Auch kann diese Person für die Zukunft einer weiteren Datenverarbeitung widersprechen.

Aus diesen Steinen lässt sich das Haus nicht wieder herstellen. Im Gegensatz dazu lassen sich gelöschte persönliche Daten - je nach Art des Löschverfahrens - unter Umständen durchaus wieder herstellen.
Foto: Mr Twister - shutterstock.com

Aber kann man auch verlangen, dass eine rechtswidrige Datenverarbeitung, die nicht den Vorgaben des Art. 6 DSGVO entspricht, in Zukunft unterlassen wird?
Eine Datenverarbeitung ist insbesondere dann nicht mehr gerechtfertigt, wenn zum Beispiel

Ein solcher Unterlassungsanspruch ist in der DSGVO nicht ausdrücklich geregelt. Es stellt sich daher die Frage, ob sich dieserr Anspruch aus anderen Rechten des Betroffenen direkt aus der DSGVO ergeben kann oder sich aus dem allgemeinen zivilrechtlichen Unterlassungsanspruch nach §§ 823, 1004 BGB (analog) herleiten lässt.
Gegen eine Herleitung eines Anspruchs auf Unterlassung aux §§ 823, 1004 BGB (analog) spricht allerdings, dass die DSVO die Rechte des Betroffenen abschließend regeln wollte.

Beinhaltet das Recht auf Löschung einen Unterlassungsanspruch?

Wenn also ein Unterlassungsanspruch weder unmittelbar aus der DSGVO noch aus §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB folgt, stellt sich die Frage, ob sich ein Unterlassungsanspruch aus der DSGVO herleiten lässt. Ein Ansatzpunkt für eine Herleitung eines solchen Anspruchs ist Art. 17 DSGVO, welcher seinem Wortlaut nach jedoch nur ein Recht auf Löschung personenbezogener Daten vorsieht.

Nach einer Entscheidung des Landgericht Frankfurts am Main (Urt. v. 28.6.2019 - 2-03 O 315/17) folgt aus Art. 17 Abs. 1 DSGVO jedoch auch ein Anspruch auf Unterlassung einer weiteren Verarbeitung. Begründet wird dies unter anderem mit dem Wortlaut aus Erwägungsgrund 65, wonach die betroffene Person im Rahmen des Rechts auf Vergessenwerden einen Anspruch darauf hat, dass ihre personenbezogenen Daten unwiederherstellbar gelöscht und nicht mehr verarbeitet werden. Letzteres ist für den in die Zukunft gerichteten Unterlassungsanspruch relevant. Hiernach ist es dem Unternehmen untersagt, die betreffenden Daten künftig in der beanstandeten Form zu verarbeiten.
Auch wenn sich diese Ansicht nicht aus dem Wortlaut der Norm selbst ergibt, ließe sich mit ihr ein umfassender Schutz des Betroffenen herleiten.

Wenn man allerdings den Begriff des "Löschen" in Art. 17 Abs. 1 DSGVO streng auslegt und damit nur irreversible Handlungen meint, also eine Löschung, die nicht mehr rückgängig gemacht werden kann, dann kann der Betroffene sein Anliegen bereits direkt über ein Löschbegehren erreichen. Für eine analoge Anwendung von Art. 17 Abs. 1 DSGVO zur Herleitung eines Unterlassungsanspruches ist dann kein Raum. Bei einer irreversiblen Löschung wäre es dem Unternehmen nicht mehr möglich, die konkreten personenbezogenen Daten weiterhin zu nutzen, sodass es an der für einen Unterlassungsanspruch erforderlichen Wiederholungsgefahr fehlt. Selbst wenn man also aus Art. 17 Abs. 1 DSGVO einen Anspruch auf Unterlassung herleiten könnte, dürfte diese praktisch hinter dem Löschbegehren zurücktreten müssen.

Meinung des Wissenschaftlichen Dienstes

Der Wissenschaftliche Dienst des Deutschen Bundestages hat in seiner Ausarbeitung WD 7 - 3000 - 116/18 ausgeführt, dass sich aus Art. 79 Abs. 1 DSGVO eine Rechtsschutzgarantie zugunsten der Betroffenen ergebe:

"...Art. 79 DS-GVO statuiert insoweit eine Rechtsschutzgarantie. Dem Betroffenen muss daher bei rechtswidriger Verarbeitung seiner auf seine Person bezogenen Daten gerichtlicher Rechtsschutz unmittelbar gegen den Verantwortlichen oder Auftragsverarbeiter zustehen . . ."

Dieser Rechtsschutz könne nur über eine parallele Anwendung der nationalen Vorschriften aus § 1004 Abs. 1 S. 2 BGB in Verbindung mit § 823 Abs. 1 BGB gelingen, da die DSGVO selber keinen Unterlassungsanspruch kenne. Hergeleitet wird ein solcher Anspruch aus einer Verletzung des Allgemeinen Persönlichkeitsrechts.

Eine besondere Ausprägung des Allgemeinen Persönlichkeitsrechts ist das informationelle Selbstbestimmungsrecht, wonach jeder Einzelne das Recht hat, die eigenen Daten zu nutzen oder Dritte von einer unbefugten Nutzung dieser Daten auszuschließen. Hieraus folgert der Wissenschaftliche Dienst, dass immer dann, wenn es bei der Verarbeitung von personenbezogenen Daten zu einem Verstoß gegen das Datenschutzrecht kommt, auch das Allgemeine Persönlichkeitsrecht betroffen ist. Ein Anspruch auf Unterlassung ergäbe sich danach ebenfalls aus den oben genannten Paragrafen aus dem BGB.

Computerwoche Roundtable Data Management 2019
Daniel Eiduzzis, DXC Technology
„Hinter der derzeitigen Entwicklung von Data Governance Offices steckt ein spannender Prozess, der mehrere Übungen vereint: Betriebswirtschaftliche und technische Kompetenzen schaffen gemeinsam einen Ordnungsrahmen für ein nachhaltiges Informationsmanagement. Ein solches Competence Center stellt geeignete Werkzeuge zur Überwachung und Steuerung zuvor definierter Compliance-Anforderungen bereit. Data Owner zeichnen für die Harmonisierung und Konsolidierung der unternehmensweit genutzten Key-Performance-Indikatoren (KPI) verantwortlich. Data Scientists helfen bei der technisch anspruchsvollen Aufbereitung und Analyse der betrachtungsrelevanten Data Sets.“
Marcus Flohr, Delphix
„Ein wichtiger Punkt, der in dem Multi-Cloud-Konzept berücksichtigt werden muss, ist, wie man die Daten in die Cloud bekommt, und das so intelligent, dass man für eine 10-TB-Produktivdatenbank nicht auch noch eine weitere 10-TB-Datenbank in der Cloud für ein Testsystem vorhalten muss. Die Bereitstellung von Rechenkapazitäten in der Cloud ist sofort gegeben. Das ist automatisiert, man kann CPUs, Memories et cetera dazu buchen. Doch wie baut man die verschiedenen Datenkonstrukte intelligent und ohne großen Zeitverlust zusammen?“
Edmund Heider, IDG
„Wenn wir heute über Datenstrategie reden, denken wir noch nicht daran, was vielleicht in fünf oder zehn Jahren an Möglichkeiten existieren mag. Es ist deshalb nicht nur extrem schwierig, eine Datenstrategie zu entwickeln, sondern auch, die zahlreichen Daten zu verwenden, die erhoben wurden, als es noch keine Strategie gab. Selbst wir als Endnutzer werden mit Daten überschüttet. Wer schaut denn noch auf das Thermometer, wenn man die Temperatur auch auf dem Smartphone ablesen kann? Oder man fährt im Zug und bekommt automatisch die Meldung ,Verspätung‘ oder bei Flugreisen die Nachricht ,Gate geändert‘. Wollen wir, dass so viele Daten auf uns einströmen? Irgendwann wird der Overflow dazu führen, dass es die Leute nicht mehr interessiert, ob ihr Paket im Logistikzentrum Leipzig gerade verarbeitet wird oder nicht.“
Karsten Stöhr, DataStax
„Bei der Datenstrategie gibt es langfristige Trends, die sich auch nicht mehr umkehren werden. Dazu gehört, dass Daten immer verfügbar sein müssen. Auch, dass man eine Lösung sofort skalieren kann, um den Kunden einen Service schnell bieten zu können. Eine Datenstrategie berücksichtigt auch, dass sich die Kunden auf der ganzen Welt bewegen und den Service jederzeit und überall konsumieren wollen. Von daher darf man den Blick nicht nur nach innen richten, sondern muss bei der Skalierung auch den Kunden die ganze Zeit im Blick haben. Und das ist eine Herausforderung des heutigen Datenmanagements.“
Günter Wassner, Teradata
„Künftig wird bei einer Lieferverzögerung nicht mehr der Logistikleiter die Entscheidung treffen, ob der Kunde durch Mehrkosten seine Lieferung doch noch erhält, sondern ein Kunden-Scoring, basierend auf einem Algorithmus. Eine Datenstrategie ist da absolut notwendig. Denn wenn diese Entscheidung auf falschen Daten getroffen wird, hat das einen enormen Effekt. Dieses Szenario, in dem hinter einer Entscheidung eine Maschine steht, ist schon heute durchaus Realität – ein Szenario, das die Menschen, die diese Maschinen programmieren, verantwortungsvoll gestalten müssen.“
Georg Wesinger, Celonis
„Transparenz der Daten zu schaffen, um zu erkennen, wie Prozesse tatsächlich ablaufen, ist der erste wichtige Schritt zur Steigerung der Effizienz in allen Unternehmensbereichen. Die größte Herausforderung besteht allerdings in der Umsetzung, die erst durch eine automatisierte Operationalisierung erreicht wird. Idealerweise haben alle Mitarbeiter kontinuierlich die „next best action“ im Blick und können diese konsequent umsetzen. Nachhaltige Optimierung wird angetrieben durch die Frage: ‚Was muss ich als Nächstes tun, um meinem Ziel, zum Beispiel einer Reduzierung der Durchlaufzeit, näherzukommen?‘ In der Theorie klingt das ganz einfach, aber in der Praxis scheitern die meisten Unternehmen daran, dass sie keine guten Einsichten und Handlungsempfehlungen aus den Daten bekommen, die durch einen Roboter analysiert und bereitgestellt werden.“

Materiell-rechtlicher Anspruch ist kein Rechtsbehelf

Während man der Herleitung über das Allgemeine Persönlichkeitsrecht noch folgen kann, hat die Argumentation des Wissenschaftlichen Dienstes allerdings einen Mangel, nämlich die Überleitung vom allgemeinen Zivilrecht zur DSGVO. Der Wortlaut des von dem Wissenschaftlichen Dienst zitierte Art. 79 Abs. 1 DSGVO die Argumentation des Wissenschaftlichen Diensts jedenfalls nicht.

Artikel 79 DSGVO spricht von einem "wirksamen Rechtsbehelf" und meint damit im Ergebnis effektiven Rechtsschutz vergleichbar mit Art. 19 Abs. 4 des Grundgesetzes. Jedem Betroffenen soll danach mit seinem Anliegen wirksamer Zugang zu einem Gericht ermöglicht werden. Art. 79 DSGVO sagt nichts darüber aus, mit welchem Anspruch sich ein Betroffener an ein Gericht wenden darf. Er soll "lediglich" garantieren, dass ein Betroffener einen Anspruch durchsetzen kann, wenn dieser besteht.

Soweit es um die Unterlassung allein der rechtswidrigen Verarbeitung von personenbezogenen Daten geht, erscheint es schwierig, einen solchen Anspruch über §§ 1004 Abs. 1 S. 2, 823 Abs. 1 BGB herzuleiten. Ist mit der Verarbeitung eine weitere Rechtsverletzung verbunden (z.B. Verbreitung unwahrer Tatsachen, Beleidigung, Verleumdung, Veröffentlichung von Fotos etc.), für die unzweifelhaft das Allgemeine Persönlichkeitsrecht als verletztes Rechtsgut ins Feld geführt werden kann, ist freilich ein Unterlassungsanspruch nach den allgemeinen zivilrechtlichen Vorschriften weiterhin möglich.

Auswirkungen für die Praxis

Zahlreiche Gerichte haben in der jüngeren Vergangenheit im Wege des Eilrechtsschutz entschieden, dass dem Betroffenen beim einem Datenschutzverstoß kein Anspruch auf Unterlassung nach §§ 1004, 823 Abs. 1 BGB (analog) zusteht. Soweit ersichtlich befassen sich diese Entscheidungen nicht mit der Frage, ob sich ein solcher Anspruch nicht zumindest aus Art. 17 DSGVO herleiten lässt. Es wird also noch einige gerichtliche Entscheidungen brauchen, bis hinsichtlich dieser Frage eine Linie zu erkennen ist. Dabei werden die Gerichte nicht nur entscheiden müssen, ob dem Grunde nach Art. 17 Abs. 1 DSGVO als Anspruchsgrundlage für einen Unterlassungsanspruch in Frage kommt.

Die Gerichte müssen sich auch mit der Frage auseinandersetzen, wie der Begriff des "Löschens" auszulegen ist. Bei einer engen Auslegung wird man allerdings dann davon ausgehen müssen, dass aus Art. 17 DSGVO kein Unterlassungsanspruch folgt.

Lesetipp: 14,5 Millionen Euro DSGVO-Strafe - Rekordbußgeld für Deutsche Wohnen

Die Herleitung eines Unterlassungsanspruches über §§ 1004, 823 BGB ist mit dem beschriebenen Katalog innerhalb der DSGVO letztlich auch nicht vereinbar, soweit es ausschließlich um eine rechtswidrige Verarbeitung personenbezogener Daten geht. Gegen eine Herleitung eines solchen Unterlassungsanspruches aus Art. 17 DSGVO spricht zwar der klare Wortlaut der Vorschrift. Zieht man Erwägungsgrund 65 zur Auslegung hinzu, lässt sich ein Unterlassungsanspruch dennoch herleiten. Materiell-rechtlich besteht somit ein Unterlassungsanspruch, wenn die Voraussetzungen für einen Löschanspruch nach Art. 17 DSGVO gegeben sind.

Tipp für datenverarbeitende Unternehmen

Der Löschanspruch besteht auch nicht nur theoretisch, da die derzeit herrschende Ansicht von einer weiten Auslegung des Begriffs des "Löschens" ausgeht, also nicht nur irreversible Handlungen ein "Löschen" im Sinne von Art. 17 DSGVO darstellen. Das Unternehmen, das einem Unterlassungsbegehren ausgesetzt ist, kann die Wiederholungsgefahr allerdings dadurch faktisch ausräumen, wenn es nachweist, dass die betroffenen personenbezogenen Daten irreversibel gelöscht wurden.

Tipp für Betroffene

Der Betroffene hingegen muss im Rahmen seines Begehrens klar konkretisieren, ob er die Löschung seiner Daten begehrt und/oder auch die Unterlassung der weiteren Verwendung für die Zukunft. Die Löschung ist auf eine konkrete Handlung gerichtet und kann zum Beispiel nicht im Wege des einstweiligen Rechtsschutz gerichtlich erzwungen werden.
Die Beantragung der künftigen Unterlassung der weiteren Verarbeitung kann zwar im Eilverfahren geltend gemacht werden, führt aber nicht auch zur Löschung der personenbezogenen Daten.

Bei der Durchsetzung von Verstößen gegen das Datenschutzrecht und speziell gegen die DSGVO sind zahlreichen Fragen noch nicht abschließend geklärt. Hierzu gehört auch die Frage, ob Datenschutzverstöße über das Wettbewerbsrecht abgemahnt werden können oder wie sich ein Anspruch auf Geldentschädigung bei immateriellen Schäden konkret beziffern lässt. Während im Jahr 2019 zahlreiche Unternehmen noch mit der Umsetzung ihrer Datenschutz-Compliance beschäftigt waren, wird es für Unternehmen in 2020 zunehmend darum gehen, sich gegen die Inanspruchnahme wegen tatsächlicher oder nur vermeintlicher Datenschutzverstöße zur Wehr zu setzen. Diese Verfahren können dazu beitragen, offene Auslegungsfragen der DSGVO zu beantworten. (bw)