2. Festlegung der Rechtsgrundlage für die Speicherung und der Speicherdauer

16.

Art. 16 des Handelsgesetzbuchs verpflichtet die Händler, die in den Art. 11, 12, 14 und 15 genannten Unterlagen oder Informationen „zehn Jahre ab dem Ende des Geschäftsjahres, auf das sie sich beziehen“, aufzubewahren, jedoch nur zu Buchhaltungszwecken. Daher können alle im Rahmen der Buchhaltung verarbeiteten personenbezogenen Daten eines Kunden (Register, Bücher und Buchungsbelege), die erhaltenen Schreiben und die Kopien der versandten Schreiben vom für die Verarbeitung Verantwortlichen für einen Zeitraum von 10 Jahren ab dem Ende des Geschäftsjahres, auf das sie sich beziehen, aufbewahrt werden (was in der Regel mit dem Ende des Kalenderjahres zusammenfällt). Personenbezogene Daten, die auf der Grundlage dieser Bestimmung gespeichert werden, müssen daher in regelmäßigen Abständen gelöscht werden, es sei denn, sie werden auch zu einem anderen Zweck verarbeitet (z. B. zur Erfüllung einer anderen rechtlichen Verpflichtung, die eine längere Aufbewahrungsfrist vorsieht). Personenbezogene Daten, die im Rahmen des Geschäftsjahres 2024 erhoben wurden, müssen daher vom für die Verarbeitung Verantwortlichen am 1. Januar 2035 gelöscht oder anonymisiert werden, auch wenn das Konto der betroffenen Person noch nicht geschlossen wurde. 

17.

Im Übrigen verpflichtet Art. 27 („Archivierung“) des Gesetzes von 2009 die Zahlungsinstitute und die E-Geld-Institute, „gemäß den im Handelsgesetzbuch vorgesehenen Fristen alle geeigneten Aufzeichnungen aufzubewahren, damit die CSSF überprüfen kann, ob sie ihren Verpflichtungen aus diesem Gesetz nachkommen“.

18.

Darüber hinaus müssen die Kreditinstitute unter Bezugnahme auf das Gesetz vom 5. April 1993 über den Finanzsektor in seiner geänderten Fassung vorsehen, dass „jede von ihnen erbrachte Dienstleistung, jede von ihnen ausgeübte Tätigkeit und jede von ihnen selbst vorgenommene Transaktion“ gemäß den im Handelsgesetzbuch vorgesehenen Fristen registriert und aufbewahrt werden (Artikel 37-1 Absatz 6).  Daten, die auf der Grundlage der oben genannten nationalen Bestimmungen erhoben und gespeichert werden, können daher grundsätzlich für einen Zeitraum von höchstens 10 Jahren ab dem Ende des Geschäftsjahres, auf das sie sich beziehen, gespeichert und anschließend vom für die Verarbeitung Verantwortlichen gelöscht oder anonymisiert werden (sofern für diese Daten keine andere längere Speicherfrist gilt). 

19.

Gemäß Artikel 3.6 des Gesetzes von 2004, Artikel 1.5 der großherzoglichen Verordnung vom 1. Februar 2010 zur Präzisierung einiger Bestimmungen des geänderten Gesetzes vom 12. November 2004 zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung und Artikel 25 der CSSF-Verordnung Nr. 12-02 vom 14. Dezember 2012 zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung in der geänderten Fassung (im Folgenden "CSSF-Verordnung") sind die Gewerbetreibenden verpflichtet, die folgenden Dokumente, Daten und Informationen fünf Jahre nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach dem Datum der gelegentlich abgeschlossenen Transaktion aufzubewahren:

• eine Kopie der Dokumente, Daten und Informationen, die zur Erfüllung der Sorgfaltspflichten gegenüber Kunden gemäß den Artikeln 3 bis 3-3 des Gesetzes von 2004 erforderlich sind, die Geschäftsbücher, die Geschäftskorrespondenz sowie die Ergebnisse aller durchgeführten Analysen, 
• Belege und Transaktionsaufzeichnungen, die erforderlich sind, um einzelne Transaktionen zu identifizieren oder zu rekonstruieren, um erforderlichenfalls Beweise für strafrechtliche Ermittlungen oder Ermittlungen zu liefern.

20.

Die CNPD weist darauf hin, dass es sich bei den auf Vorrat gespeicherten personenbezogenen Daten z. B. um Daten handele, die in amtlichen Kundenidentifizierungsdokumenten wie Pässen, Personalausweisen, Führerscheinen oder ähnlichen Dokumenten oder Kopien dieser Dokumente enthalten seien; Untersuchungen zur Feststellung des Kontexts und des Gegenstands komplexer Transaktionen von ungewöhnlich hohem Wert; Angaben zum wirtschaftlichen Eigentümer (z. B. aus dem Register der wirtschaftlichen Eigentümer) usw.

21.

Die CNPD stellt ferner fest, dass die Speicherung bestimmter Daten auf der Grundlage der oben genannten Bestimmungen in selteneren Fällen auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art.[1]10 der DSGVO betreffen kann.

22.

Tatsächlich können politische Meinungen und religiöse Überzeugungen durch finanzielle Transaktionen aufgedeckt werden, zum Beispiel durch Spenden an politische Parteien oder Organisationen, Kirchen oder Pfarreien. Die Mitgliedschaft in einer Gewerkschaft kann durch die Erhebung eines Jahresbeitrags vom Bankkonto einer Person aufgedeckt werden. Personenbezogene Gesundheitsdaten können durch die Analyse von Arztrechnungen erlangt werden, die eine betroffene Person an einen Angehörigen der Gesundheitsberufe (z. B. einen Psychiater) bezahlt hat. Schließlich können Informationen über bestimmte Käufe Informationen über das Sexualleben oder die sexuelle Orientierung einer Person preisgeben.[2]

23.

Im Übrigen könnten die sich aus dem Gesetz von 2004 ergebenden Sorgfaltspflichten die für die Verarbeitung Verantwortlichen dazu veranlassen, Daten über ein Gerichtsverfahren gegen eine natürliche Person zu erheben und aufzubewahren, wie die über ihre Anklageerhebung oder das Gerichtsverfahren und gegebenenfalls die sich daraus ergebende Verurteilung, die Daten über „Straftaten“ und „strafrechtliche Verurteilungen“ im Sinne von Art. 10 der DSGVO darstellen, und zwar unabhängig davon, ob in diesem Gerichtsverfahren die Begehung der Straftat, derentwegen die Person verfolgt wurde, tatsächlich festgestellt wurde oder nicht.[3]

24.

Da der Kontext, in dem diese Art von Daten verarbeitet werden, erhebliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen mit sich bringen könnte,[4] setzen die von den Art. 9 und 10 der DSGVO erfassten Datenverarbeitungen für den Verantwortlichen eine Reihe zusätzlicher Garantien voraus, wie z. B. eine spezifische Information darüber, dass diese Datenkategorien für die Zwecke der Einhaltung des Gesetzes von 2004 verarbeitet werden können, oder einen Mechanismus, der es dem Verantwortlichen ermöglicht, sich zu vergewissern, dass die Daten aus zuverlässigen Quellen stammen, korrekt und aktuell sind.[5]

25.

Unternehmen, die dem Gesetz von 2004 unterliegen, können die personenbezogenen Daten ihrer Kunden für einen zusätzlichen Zeitraum von fünf Jahren aufbewahren, „wenn dies für die wirksame Umsetzung interner Maßnahmen zur Verhinderung oder Aufdeckung von Geldwäsche oder Terrorismusfinanzierung erforderlich ist“. (Artikel 3.6 Absatz 6) oder wenn die Aufsichtsbehörden eine zusätzliche Aufbewahrungsfrist verlangen (Artikel 3.6 Absatz 5). Nach dieser Bestimmung weist die CNPD darauf hin, dass eine Dauer von zehn Jahren nicht die „Standard“-Speicherfrist für alle Kunden eines Zahlungsdienstleisters sein sollte. Es obliegt dem für die Verarbeitung Verantwortlichen, im Einklang mit dem Grundsatz der Verantwortlichkeit zu dokumentieren, warum ein zusätzlicher Zeitraum von fünf Jahren erforderlich ist.

26.

Ferner ist darauf hinzuweisen, dass das Gesetz von 2004 vorsieht, dass „[u]nbeschadet längerer Aufbewahrungsfristen, die in anderen Gesetzen vorgeschrieben sind, ... Gewerbetreibende verpflichtet [sind], personenbezogene Daten nach Ablauf der in Absatz 1 genannten Aufbewahrungsfristenzu löschen“ (Artikel 3.6 Absatz 4). Die Verpflichtung, die Daten der betroffenen Personen nach 5 oder 10 Jahren (nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach dem Zeitpunkt der gelegentlichen Transaktion) zu löschen, ergibt sich daher auch aus dem Gesetz von 2004. Daraus ergibt sich, dass die für die Verarbeitung Verantwortlichen die Daten nicht über diese Fristen hinaus für Zwecke der Bekämpfung von Geldwäsche und Terrorismusfinanzierung aufbewahren sollten.

27.

Die CNPD nimmt auch Art. 11.2 der CSSF-Verordnung in der geänderten Fassung zur Kenntnis, in dem es heißt: „Die Kundenakzeptanzpolitik muss auch die Verfahren vorsehen, die bei einem Verdacht auf Geldwäsche, damit zusammenhängende Vortaten oder Terrorismusfinanzierung oder bei einem begründeten Verdacht auf Geldwäsche oder Terrorismusfinanzierung zu befolgen sind, wenn der Kontakt zu einem potenziellen Kunden erfolglos bleibt. Die Gründe für die Weigerung des Kunden oder des Unternehmers, eine Geschäftsbeziehung einzugehen oder eine Transaktion abzuschließen, sind nach Maßgabe des Artikels 25 dieser Verordnung zu dokumentieren und aufzubewahren, auch wenn die Weigerung des Unternehmers nicht auf die Feststellung eines Hinweises auf Geldwäsche oder Terrorismusfinanzierung zurückzuführen ist.“ Folglich können die Daten einer betroffenen Person, der die Eröffnung eines Kontos verweigert wird oder die selbst auf die Eröffnung eines Kontos verzichtet, gemäß den Bestimmungen des Gesetzes von 2004 gespeichert werden.

28.

Vor diesem Hintergrund unterscheidet die CNPD im Wesentlichen drei mögliche Ausgangspunkte für die Berechnung der in Art. 3.6 des Gesetzes von 2004 vorgeschriebenen Aufbewahrungsfristen:

(i)               Beendigung der Geschäftsbeziehung mit dem Kunden (z. B. Schließung des Bankkontos oder Online-Kontos einer betroffenen Person);

(ii)              das Datum eines gelegentlichen Geschäfts;

(iii)            das Datum, an dem der Kunde oder Unternehmer die Aufnahme einer Geschäftsbeziehung verweigert hat.

29.

Die CNPD stellt fest, dass es vorkommen kann, dass ein Konto vom für die Verarbeitung Verantwortlichen aus Gründen der Anwendung des Gesetzes von 2004 gesperrt wird (z. B. gemäß Artikel 3.4 des Gesetzes von 2004 bis zur Überprüfung der Identität) und dass das Konto, wenn der Kunde nicht reagiert, auf unbestimmte Zeit gesperrt bleibt und keine Speicherfrist auslöst. Da dies in bestimmten Fällen zu einer unbefristeten Speicherung der Daten der betroffenen Person unter Verstoß gegen Art. 5.1 Buchst. e der DSGVO führen kann,[6]empfiehlt die CNPD den betroffenen Verantwortlichen, einen Mechanismus einzurichten, der es ermöglicht, die betroffene Person neu zu beleben und das Konto spätestens ein Jahr nach der Sperrung des Kontos zu schließen (die personenbezogenen Daten werden in jedem Fall nach der Schließung zu Zwecken der Bekämpfung von Geldwäsche und Terrorismus aufbewahrt).

30.

In Artikel 26.1 der Verordnung (EU) 2023/1113 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über die Übermittlung von Angaben bei Geldtransfers und Transfers bestimmter Kryptowerte und zur Änderung der Richtlinie (EU) 2015/849 wird darauf hingewiesen, dass Angaben zum Zahler und zum Zahlungsempfänger oder zum Originator und zum Begünstigten von Kryptowerten (wie unter anderem Name, Nummer des Zahlungskontos, Anschrift, Nummer des amtlichen Ausweisdokuments, Kundenidentifikationsnummer, Geburtsdatum und -ort) nicht über das unbedingt erforderliche Maß hinaus gespeichert werden. Der Zahlungsdienstleister muss diese Daten daher für einen Zeitraum von fünf Jahren aufbewahren, nach dessen Ablauf er sie löschen muss (wie in Artikel 26.2 festgelegt), es sei denn, das nationale Recht sieht etwas anderes vor, in dem festgelegt ist, unter welchen Umständen Zahlungsdienstleister die Speicherfrist für diese Daten verlängern können oder müssen. Da die personenbezogenen Daten, die von Zahlungsdienstleistern auf der Grundlage dieser Verordnung verarbeitet werden, nur zum Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung verarbeitet werden (Artikel 25.2), versteht die CNPD, dass der Beginn der oben genannten Aufbewahrungsfrist derselbe ist wie für die im Gesetz von 2004 vorgesehenen Verarbeitungen, d. h. die Beendigung der Geschäftsbeziehung mit dem Kunden oder das Datum der gelegentlichen Transaktion.

31.

Die Aufzeichnung von Telefongesprächen und elektronischer Kommunikation ist grundsätzlich nur unter Beachtung des geänderten Gesetzes vom 30. Mai 2005 über den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation (im Folgenden: Gesetz von 2005) und der DSGVO möglich.

32.

So können gemäß Art. 4.3 Buchst. d des Gesetzes von 2005 Kommunikationen aufgezeichnet werden:

• auf der Grundlage der freiwilligen, spezifischen, in Kenntnis der Sachlage erteilten und eindeutigen vorherigen Zustimmung des Kunden; oder
• wenn sie im Rahmen rechtmäßiger beruflicher Gepflogenheiten erfolgt, um den Nachweis eines Handelsgeschäfts oder einer anderen kommerziellen Kommunikation zu erbringen.

33.

Die Ausnahme für „kommerzielle Kommunikation“ kann sich z. B. auf Aufzeichnungen von Telefongesprächen beziehen, die von „Callcentern“, „Helpdesks“,  Kundendiensten usw. geführt werden.

34.

In beiden Fällen ist es erforderlich, Kunden und Mitarbeiter vorab und transparent zu informieren, insbesondere über den/die Zweck(e) der Registrierung und die Speicherdauer. Diese Information muss den Anforderungen der DSGVO entsprechen.[7]

35.

Um diese Anforderungen zu erfüllen, hält es die CNPD für erforderlich, dass bei jedem überwachten Telefoninterview die Korrespondenten speziell auf die Aufzeichnung aufmerksam gemacht werden, unabhängig davon, ob zu Beginn des Anrufs eine automatisierte Nachricht gesendet wird oder nicht.

36.

Was speziell die Kreditinstitute betrifft, sieht Art. 37-1 (Abs. 6bis) des Gesetzes vom 5. April 1993 über den Finanzsektor in seiner geänderten Fassung die Verpflichtung vor, Aufzeichnungen von Telefongesprächen oder elektronischen Mitteilungen „mindestens im Zusammenhang mit Geschäften, die im Rahmen des Handels für eigene Rechnung abgeschlossen wurden, und mit der Erbringung von Dienstleistungen im Zusammenhang mit Kundenaufträgen, die den Empfang, die Übermittlung und die Ausführung von Kundenaufträgen betreffen“,  aufzubewahren, und zwar „fünf Jahre lang und auf Verlangen der CSSF für einen Zeitraum von bis zu sieben Jahren“.Telefongespräche und elektronische Mitteilungen müssen daher grundsätzlich fünf Jahre nach ihrer Registrierung gelöscht werden, es sei denn, eine längere Speicherung ist durch einen anderen Zweck gerechtfertigt, der mit dem ursprünglichen Zweck vereinbar ist, und eine der in Art. 6  der DSGVO vorgesehenen Zulässigkeitsgrundlagen ist anwendbar.

37.

Gemäß Artikel 12.6 der DSGVO kann der Verantwortliche, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt (z. B. einen Antrag auf Auskunft oder Löschung), zusätzliche Informationen anfordern, die erforderlich sind, um die Identität der betroffenen Person zu bestätigen.

38.

Generell sollte der Personalausweis nicht als geeignetes Authentifizierungsmittel zur Bestätigung der Identität der betroffenen Person angesehen werden, es sei denn, eine Verhältnismäßigkeitsprüfung belegt das Gegenteil. Eine solche Verhältnismäßigkeitsprüfung sollte die Art der verarbeiteten Daten, die Art des Antrags sowie den Kontext des Antrags berücksichtigen und gleichzeitig eine übermäßige Datenerhebung vermeiden und ein angemessenes Maß an Sicherheit bei der Verarbeitung gewährleisten[8].

39.

Obwohl der Personalausweis im Allgemeinen nicht als geeignetes Authentifizierungsmittel zur Bestätigung der Identität der betroffenen Person angesehen werden sollte, kann es vorkommen, dass ein Zahlungsdienstleister eine betroffene Person, die ihre Rechte gemäß der DSGVO ausüben möchte, auffordert, eine Kopie ihres Personalausweises oder eines anderen amtlichen Dokuments zum Nachweis ihrer Identität vorzulegen (wenn eine solche Erhebung nach der DSGVO gerechtfertigt und verhältnismäßig ist). In einem solchen Fall muss der für die Verarbeitung Verantwortliche Schutzmaßnahmen ergreifen, um eine unbefugte oder unrechtmäßige Verarbeitung des Personalausweises zu verhindern. Dazu kann gehören, dass unmittelbar nach der erfolgreichen Authentifizierung der Identität der betroffenen Person keine Kopie erstellt wird, in der der Personalausweis überprüft wurde, oder dass eine Kopie eines Personalausweises gelöscht wird. Der EDSB hat im Übrigen darauf hingewiesen, dass „die spätere Speicherung einer Kopie eines Identitätsdokuments einen Verstoß gegen die Grundsätze der Zweckbindung und der Speicherbegrenzung (Artikel 5 Absatz 1 Buchstaben b und e DSGVO) und darüber hinaus gegen die nationalen Rechtsvorschriften über die Verarbeitung der nationalen Identifikationsnummer (Artikel 87 DSGVO) darstellen kann. Der EDSA empfiehlt als bewährtes Verfahren, dass der für die Verarbeitung Verantwortliche nach Überprüfung des Personalausweises eine Notiz macht, in der beispielsweise angegeben wird, dass „der Personalausweis überprüft wurde“, um unnötiges Kopieren oder Speichern von Kopien von Personalausweisen zu vermeiden.“ [9]

40.

Die CNPD weist ferner darauf hin, dass die Verarbeitung eines Personalausweises zum Zwecke der Authentifizierung im Zusammenhang mit der Ausübung der Rechte der betroffenen Personen die Verpflichtungen zur Aufbewahrung einer Kopie des Personalausweises nach dem Gesetz von 2004 unberührt lässt (die Löschung des zur Bestätigung der Identität einer Person, die beispielsweise ein Auskunftsrecht nach Art. 15 DSGVO ausübt, erhobenen Personalausweises setzt nicht voraus, dass ihr Personalausweis, der für Zwecke im Zusammenhang mit der Bekämpfung von Geldwäsche und Terrorismusfinanzierung („AML/CFT“) aufbewahrt wird, in einer gesonderten Datenbank gelöscht wird).[10]

41.

Art. 6.1 Buchst. f der DSGVO sieht die Rechtmäßigkeit einer Verarbeitung vor, wenn die Verarbeitung „für die Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt“.

42.

Die CNPD möchte an die drei kumulativen Voraussetzungen erinnern, unter denen sich ein Verantwortlicher auf Art. 6.1 Buchst. f der DSGVO stützen kann:[11]

i)       die Verfolgung eines berechtigten Interesses durch den für die Verarbeitung Verantwortlichen oder einen Dritten;

ii)      die Notwendigkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des verfolgten berechtigten Interesses (das berechtigte Interesse an der Verarbeitung der Daten kann vernünftigerweise nicht so wirksam mit anderen Mitteln erreicht werden, die die Grundrechte und Grundfreiheiten der betroffenen Personen weniger beeinträchtigen);

iii)    Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen nicht das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eines Dritten (z. B. wenn personenbezogene Daten unter Umständen verarbeitet werden, unter denen die betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet).

43.

Die Voraussetzungen für die Anwendung des berechtigten Interesses sind eng auszulegen.[12] Das berechtigte Interesse darf keine standardmäßige Grundlage für die Rechtmäßigkeit darstellen. Die CNPD empfiehlt, für jede Verarbeitung eine Abwägung der betroffenen Rechte und Interessen vorzunehmen, die vor der betreffenden Verarbeitung detailliert und dokumentiert sein muss.

44.

Dabei wird der Grad des Eingriffs in die Privatsphäre der betroffenen Personen (Verarbeitung sensibler Daten, Verarbeitung schutzbedürftiger Personen, Profiling usw.) und ihre anderen Grundrechte (Meinungsfreiheit, Informationsfreiheit, Gewissensfreiheit usw.) sowie die anderen konkreten Auswirkungen der Verarbeitung auf ihre Situation (Überwachung oder Überwachung ihrer Tätigkeiten, Ausschluss von Banken usw.) bewertet. Diese Auswirkungen sind zu messen, um im Einzelfall das Ausmaß des durch die Behandlung verursachten Eingriffs in das Leben der Menschen zu bestimmen.[13]

45.

Der Rückgriff auf diese Rechtsgrundlage beinhaltet bestimmte zusätzliche Pflichten des für die Verarbeitung Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen:

• Spezifische Informationspflicht in Bezug auf die verfolgten berechtigten Interessen (Artikel 13 Absatz 1 Buchstabe d DSGVO, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, und Artikel 14 Absatz 2 Buchstabe b der DSGVO, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden);
• Widerspruchsrecht der betroffenen Person (Art. 21.1 DSGVO): das Recht der betroffenen Person, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund ihres berechtigten Interesses erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche darf die personenbezogenen Daten dann nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 der DSGVO): das Recht der betroffenen Person, die Einschränkung der Verarbeitung zu erwirken, wenn die betroffene Person gemäß Artikel 21.1 der DSGVO Widerspruch gegen die Verarbeitung eingelegt hat, während geprüft wird, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

46.

Für weitere Einzelheiten zu den Kriterien, die die für die Verarbeitung Verantwortlichen erfüllen müssen, um personenbezogene Daten auf der Grundlage des berechtigten Interesses zu verarbeiten, fordert die CNPD die betroffenen Akteure auf, den Entwurf der Leitlinien des EDSB zum berechtigten[14] Interesse zur Kenntnis zu nehmen.

47.

In den nächsten Abschnitten wird die CNPD die Zwecke analysieren, die auf der Grundlage des berechtigten Interesses eines Zahlungsdienstleisters verfolgt werden könnten.

48.

In Erwägungsgrund 65 der DSGVO wird klargestellt, dass die weitere Speicherung personenbezogener Daten rechtmäßig sein sollte, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesem Zusammenhang können die Verjährungsfristen daher wichtige Hinweise für die Bestimmung der Aufbewahrungsfristen geben.[15]

49.

Art. 189 des Handelsgesetzbuchs bestimmt: „Verpflichtungen, die aus Anlass ihres Handels zwischen Kaufleuten oder zwischen Kaufleuten und Nichtkaufleuten entstehen, verjähren in zehn Jahren, wenn sie keinen kürzeren Vorschriften unterliegen.“ Es ist daher möglich, dass ein Zahlungsdienstleister personenbezogene Daten speichert, die er im Rahmen eines Rechtsstreits mit dem Kunden benötigt. Nur personenbezogene Daten im Zusammenhang mit der Erfüllung von Verträgen und den vom für die Verarbeitung Verantwortlichen erbrachten Dienstleistungen dürfen zu diesem Zweck gespeichert werden. 

50.

Die Betrugsprävention wird in Erwägungsgrund 47 der DSGVO als eines der möglichen berechtigten Interessen genannt, die durch Artikel 6.1 Buchstabe f der DSGVO geschützt werden.

51.

Was insbesondere die Zahlungsdienstleister betrifft, ist auf die Bestimmungen von Art. 105 des Gesetzes von 2009 hinzuweisen: „Zahlungssysteme und Zahlungsdienstleister dürfen personenbezogene Daten verarbeiten, wenn dies zur Verhütung, Ermittlung und Aufdeckung von Betrug im Zahlungsverkehr erforderlich ist.  [...]“[16].

52.

In seinen Leitlinien zur Interaktion zwischen der Zweiten Zahlungsdiensterichtlinie und der DSGVO wies der EDSB darauf hin,[17] dass die Verarbeitung personenbezogener Daten, die für die Zwecke der Betrugsprävention unbedingt erforderlich ist, ein berechtigtes Interesse des betreffenden Zahlungsdienstleisters darstellen kann, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person diese Interessen nicht überwiegen. Die Verarbeitungstätigkeiten zur Betrugsprävention sollten dann auf einer gründlichen Einzelfallbewertung durch den für die Verarbeitung Verantwortlichen im Einklang mit dem Grundsatz der Rechenschaftspflicht beruhen.

53.

Darüber hinaus hat der EDSB in seinen Leitlinien zum berechtigten Interesse darauf hingewiesen, dass die Verarbeitung personenbezogener Daten im Rahmen des berechtigten Interesses an der Betrugsprävention nicht ohne Bedingungen und Einschränkungen erfolgt, insbesondere weil diese Art der Verarbeitung erhebliche Auswirkungen auf die betroffenen Personen haben kann. So heißt es beispielsweise in Erwägungsgrund 47 der DSGVO, dass die Verarbeitung personenbezogener Daten "unbedingt erforderlich sein muss, um Betrug zu verhindern", was in Verbindung mit dem Grundsatz der Datenminimierung gemäß Artikel 5.1 Buchstabe c der DSGVO zu sehen ist. Der EDSB weist ferner darauf hin, dass gleichzeitig der Grundsatz der Beschränkung der Speicherung gemäß Artikel 5.1 Buchstabe e der DSGVO bei der Festlegung von Strategien für die Vorratsspeicherung von Daten, die zum Zwecke der Aufdeckung oder Verhütung von Betrug verarbeitet werden, berücksichtigt werden muss.[18]

54.

In der Praxis führt die Verarbeitung zu Kontroll- und Betrugsbekämpfungszwecken zu Profiling mithilfe von Algorithmen, die alle verfügbaren Daten verwenden, um eine Betrugs- oder Fehlerrisikoquote für jeden Kunden zu berechnen (z. B. auf der Grundlage einer Historie der bereits begangenen Betrugsfälle). Die CNPD erkennt die Bedeutung der Bekämpfung von Betrug im Zahlungsverkehr uneingeschränkt an, möchte jedoch daran erinnern, dass diese Algorithmen angesichts ihrer Risiken und ihrer möglichen Verzerrungen mit äußerster Vorsicht konzipiert und verwendet werden müssen. 

55.

Im Online-Kontext kann diese Art der Verarbeitung die Erhebung von Transaktionsdaten, aber auch von Daten im Zusammenhang mit dem Kontext eines Zahlungsvorgangs umfassen, wie z. B. Verhaltensdaten (Verhaltensanalyse wie Tastatureingabedynamik, Daten im Zusammenhang mit Kauf- und Verbrauchsgewohnheiten), Navigationsdaten und Verbindungsdaten zu Informationssystemen (Geolokalisierungsdaten, Hardwaredaten: IP-Adresse, Bildschirm- oder Browsereinstellung usw.).

56.

Die Prävention, Ermittlung und Aufdeckung von Betrug im Zahlungsverkehr kann verschiedene Arten der Verarbeitung umfassen, z. B. die Aufdeckung von Handlungen, die eine Anomalie oder Unstimmigkeit aufweisen, die Verwaltung und Analyse solcher Warnungen, die Erstellung von Listen von Personen, die ordnungsgemäß als Täter von Handlungen identifiziert wurden, die vom für die Verarbeitung Verantwortlichen als Betrug oder Betrugsversuch eingestuft wurden. Diese Verarbeitungen können als „Profiling“ im Sinne der DSGVO bezeichnet[19] werden. Zwar kann die Vorratsspeicherung von Daten im Falle des Profilings Vorteile haben, da dem Algorithmus mehr Daten zur Verfügung stehen, doch müssen die für die Verarbeitung Verantwortlichen bei der Erhebung personenbezogener Daten den Grundsatz der Datenminimierung beachten und sicherstellen, dass sie diese personenbezogenen Daten nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und verhältnismäßig ist.[20]

57.

In Anbetracht der vorstehenden Ausführungen ist die CNPD der Ansicht, dass die Dauer der Speicherung der Daten im Rahmen der Betrugsprävention und -aufdeckung auf den Zeitraum begrenzt werden muss, der für die Erreichung dieses Zwecks unbedingt erforderlich ist. Beispielsweise erscheint die Speicherung der Daten einer betroffenen Person, bei der nach Schließung ihres Kontos während der Vertragslaufzeit kein Betrug festgestellt wurde, weder erforderlich noch verhältnismäßig. In diesem Fall ist die CNPD der Ansicht, dass der für die Verarbeitung Verantwortliche die zur Betrugsbekämpfung verarbeiteten Daten nach Beendigung des Vertragsverhältnisses mit dem Kunden löschen (oder anonymisieren) sollte.