Müssen personenbezogene Daten vom Verantwortlichen weiterhin gespeichert werden, wenn er den Zweck der Verarbeitung für erreicht hält? Das ist eine Fragestellung, die sich durch den Beschluss des Interdiözesanen Datenschutzgerichtes IDSG 26/2022 vom 26. Mai 2025 ergibt.
Hier wurde das Urteil bereits positiv besprochen. Der Diözesandatenschutzbeauftragte für die ostdeutschen Bistüme Matthias Ullrich vertritt die Gegenposition: Die Löschung durch den Verantwortlichen war gerechtfertigt.
Zum Fall
Ein Verantwortlicher, eine Einrichtung der Erziehungsberatung, hatte mit den Betroffenen, den Eltern eines Kindes, eine Vereinbarung zum »begleiteten Umgang« geschlossen. Auf dieser Grundlage begleitete der Verantwortliche im Jahr 2014 den Umgang der Eltern mit ihren außerhalb des Elternhauses untergebrachten Kindern. Der Verantwortliche hat die über den begleiteten Umgang durch die Eltern erhobenen und in Akten gespeicherten Daten, darunter die Protokolle der Umgangstreffen, im Jahr 2017 gelöscht.
Das Datenschutzgericht stellte dazu fest: »Vorschriften des KDG für sich oder in Verbindung mit anderen Vorschriften rechtfertigen nicht die streitbefangene Aktenvernichtung im Jahr 2017.«
Bewertung
Löschen ist eine Verarbeitung
Zunächst ist dem Datenschutzgericht zuzustimmen, wenn es das Löschen personenbezogener Daten unter den Begriff der Verarbeitung i. S. v. § 4 Nr. 3 KDG (Art. 4 Nr. 2 DS-GVO) subsumiert. In der genannten Regelung werden Löschung und Vernichtung explizit benannt.
Liegt eine Verarbeitung vor, ist eine solche nur zulässig, wenn eine der Bedingungen des § 6 Abs. 1 KDG (Art. 6 Abs. 1 DS-GVO) vorliegt. Da eine Einwilligung der Betroffenen in eine diesbezügliche Verarbeitung hier nicht vorlag, kommt aus dem Kanon der in § 6 Abs. 1 KDG genannten Bedingungen nur noch § 6 Abs. 1 lit. a) KDG (Art. 6 Abs. 1 lit c) DS-GVO) in Betracht. Nach dieser Vorschrift ist eine Verarbeitung rechtmäßig, wenn eine Rechtsvorschrift dies erlaubt oder anordnet (KDG), bzw. die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist (DS-GVO).
Keine zweckfreie Speicherung auf Vorrat und Verdacht
In keinem Datenschutzgesetz (DSGVO, BDSG, KDG) sind Aufbewahrungsfristen für personenbezogene Daten ausdrücklich festgeschrieben. Gesetzlich festgelegt ist nur, wann personenbezogene Daten zu löschen sind. Das ergibt sich aus den Grundsätzen für die Verarbeitung personenbezogener Daten. Dort ist normiert, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden dürfen. Darüber hinaus müssen sie dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. (§ 7 Abs. 1 lit b) und c) KDG; Art. 5 lit b) und c) DS-GVO.)
Bei den Grundsätzen der Datenverarbeitung handelt es sich nicht um reine Programmsätze. Vielmehr sind diese als allgemeine Prinzipien zulässiger Datenverarbeitung unmittelbar verbindlich.
Daraus ergibt sich, dass die Verarbeitung personenbezogener Daten nur zulässig ist, wenn damit ein legitimer Zweck verfolgt wird und die Verarbeitung zur Erreichung dieses Zwecks erforderlich ist. Der Verantwortliche muss mit dem Mittel der Datenverarbeitung immer irgendetwas erreichen wollen. Der Zweck wird ausschließlich vom Verantwortlichen festgelegt, § 4 Nr. 9 KDG (Art. 4 Nr. 7 DS-GVO). Wenn der Verantwortliche, wie im entschiedenen Fall behauptet, der von ihm mit der Verarbeitung personenbezogener Daten verfolgte Zweck sei erfüllt worden, gibt es keinen Grund für ihn, erhobene personenbezogene Daten weiterhin zu verarbeiten, denn auch die Speicherung ist eine Verarbeitung, für die eine der Bedingungen des § 6 Abs. 1 KDG (Art 6 Abs. 1 DS-GVO) erfüllt sein müsste. Es gibt daher keine rechtlich zulässige zweckfreie Datenverarbeitung.
Dies scheint auch das IDSG so zu sehen. Deshalb unterstellt es eigenmächtig und äußerst vage selber Zwecke für den Verantwortlichen.
Der Verantwortliche legt die Zwecke fest – nicht das Gericht
Das IDSG urteilt: »Der einmal tätig gewordene private Träger kann (Hervorhebung durch den Autor) erneut vom Jugendamt mit der Begleitung des Umgangs beauftragt werden.«
Die Datenverarbeitung muss aber erforderlich sein. Erforderlich heißt, die Speicherung muss zwingend geboten sein. Reine Nützlichkeit reicht ebenso wenig aus wie eine mögliche (theoretische) Datennutzung in der Zukunft.
Weiter schreibt das IDSG: »Zur pflichtgemäßen Vorbereitung der neuerlichen Leistung ist die Auswertung der Umgangsakte unerlässlich.« Es ist nicht die Aufgabe eines Datenschutzgerichtes, einem Träger der Jugendhilfe Nachhilfeunterricht über dessen Pflichten zu geben. Es ist nicht ersichtlich, woraus sich die Kompetenz der Richter ergibt, gegen den Träger zu entscheiden, wie dieser seine Aufgaben zu erfüllen hat. Ob die Verarbeitung personenbezogener Daten für einen bestimmten Zweck erforderlich ist, legt ausschließlich der Verantwortliche fest. Er bestimmt den Zweck und er weiß, ob er die personenbezogenen Daten für diesen Zweck benötigt.
Auch der Hinweis auf Verjährungsfristen in anderen Gesetzen geht fehl. Hier scheint das Gericht einem grundlegenden Irrtum aufgesessen zu sein. Datenschutz schützt nicht Daten, sondern Persönlichkeitsrechte bzw. Menschen. Zivilrechtliche Verjährungsfristen dienen dem Schutz von Ansprüchen. Aufbewahrungsfristen, die im Steuer- oder Handelsrecht oder in Förderungsrichtlinien festgeschrieben sind, dienen primär staatlichen Interessen, wie der Sicherung von Staatseinnahmen oder des Wirtschaftsverkehrs oder der Einhaltung von Subventionsrichtlinienschützen. Ein Schutz personenbezogener Daten ist damit nicht beabsichtigt.
Wenn das IDSG feststellt, »ein genaues Fristende … muss vorliegend nicht bestimmt werden …« ist dem zuzustimmen, denn eine solche Bestimmung wird bereits durch das Gesetz getroffen: Wenn der durch den Verantwortlichen festgelegte Zweck erreicht ist, verpflichtet § 7 Abs. 1 lit c) KDG (Art 5 Abs. 1 lit c) DS-GVO) den Verantwortlichen, personenbezogene Daten zu löschen!
Fazit
Der Verantwortliche bestimmt den Zweck der Datenverarbeitung. Hält er den Zweck für erreicht, besteht für eine weitere Verarbeitung (Speicherung) keine Rechtsgrundlage mehr. Die Daten müssen gelöscht werden.
Das Urteil des IDSG 26/2022 ist falsch, da das Gericht das Recht des Verantwortlichen den Zweck der Verarbeitung personenbezogener Daten zu bestimmen missachtet und durch eigene Mutmaßungen ersetzt.
Wie verhält es sich bei folgendem Sachverhalt, wenn der für die Datenverarbeitung Verantwortliche die obliegenden Pflichten und Rechte der betroffenen Person, die Betroffenenrechte aus Kapitel 3 KDG nicht erfüllt und einen Schaden verursacht.
Fehlende gesetzliche Rechtsgrundlage, fehlende Anhörung Beteiligter, fehlende Transparenz, fehlende Einwilligung der betroffenen Person, fehlende ausdrückliche Zustimmung und fehlende Widerrufsbelehrung. Datenverarbeitung zu unbestimmten Zwecken. Ist die Verarbeitung zulässig?
Wenn schon klar ist, dass die Rechtsgrundlage fehlt, dann ist die Verarbeitung auch nicht zulässig.
Wenn die vom Gesetzgeber obliegenden Pflichten und die Rechte der betroffenen Person (Betroffenenrechte) nach § 28 Abs. 1 VwVfG, dem GG, dem KDG (Betroffenenrechte, Kapitel 3 KDG) und aus dem BGB nicht erfüllt worden sind, dann sind die Persönlichkeitsrechte verletzt.
Der durch das im Evangelium geprägte Auftrag der Kirche verlangt den konsequenten Schutz der Opfer im Zusammenhang mit einem internationalen oder nichtinternationalen bewaffneten Konflikt.
Oder, das Zusatzprotokoll I der Genfer Abkommen und ihre Zusatzprotokolle vom 12. August 1949 verlangt den Schutz der Opfer im Zusammenhang mit einem internationalen bewaffneten Konflikt.
Fehlende § 26 KDG, 33 KDG, 34 KDG.
„Der beste Datenschutz ist es“, zwingende Rechtsvorschriften oder gerichtliche oder behördliche Entscheidungen oder Verfügungen oder obliegende Pflichten und Rechte der betroffenen Person (Betroffenenrechte) nicht zu erfüllen.
Stimme voll und ganz zu. Wenn keine ausdrückliche Zustimmung und keine Widerrufsbelehrung vorliegt, dann ist die Verarbeitung unzulässig. Datenverarbeitung zu unbestimmten Zwecken ist rechtswidrig?
Aufbewahrungsfristen für Buchhaltungsunterlagen nach § 147 AO (z.B. 10 Jahre für Spendenbescheinigungen und Steuerunterlagen).
Wenn die Unterlagen – Datenverarbeitung zu unbestimmten Zwecken – vernichtet sind haben die Finanzbehörden keine Möglichkeit zu prüfen, ob die gesetzlichen Vorschriften des Eingehalten wurden. Die Finanzbehörden stellen fest: die Akten sind unvollständig.
In dem Fall liegen ja Zweck und Rechtsgrundlage (Erfüllung einer rechtlichen Verpflichtung) innerhalb der Frist vor. Da wäre die Löschung klar eine unzulässige Verarbeitung, anders als in dem hier diskutierten Fall.