2. Festlegung der Rechtsgrundlage für die Speicherung und der Speicherdauer

a.   Art. 6 Abs. 1 Buchst. c der DSGVO: Speicherung zur Erfüllung einer gesetzlichen Verpflichtung erforderlich

 

Artikel 6.1. (c) DSGVO sieht die Rechtmäßigkeit einer Verarbeitung vor, wenn die Verarbeitung "zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt". Grundsätzlich sollten die Aufbewahrungsfristen die gesetzlichen Verjährungsfristen nicht überschreiten.

i. Zehnjährige Speicherung (Handelsgesetzbuch)

16.

Art. 16 des Handelsgesetzbuchs verpflichtet die Händler, die in den Art. 11, 12, 14 und 15 genannten Unterlagen oder Informationen „zehn Jahre ab dem Ende des Geschäftsjahres, auf das sie sich beziehen“, aufzubewahren, jedoch nur zu Buchhaltungszwecken. Daher können alle im Rahmen der Buchhaltung verarbeiteten personenbezogenen Daten eines Kunden (Register, Bücher und Buchungsbelege), die erhaltenen Schreiben und die Kopien der versandten Schreiben vom für die Verarbeitung Verantwortlichen für einen Zeitraum von 10 Jahren ab dem Ende des Geschäftsjahres, auf das sie sich beziehen, aufbewahrt werden (was in der Regel mit dem Ende des Kalenderjahres zusammenfällt). Personenbezogene Daten, die auf der Grundlage dieser Bestimmung gespeichert werden, müssen daher in regelmäßigen Abständen gelöscht werden, es sei denn, sie werden auch zu einem anderen Zweck verarbeitet (z. B. zur Erfüllung einer anderen rechtlichen Verpflichtung, die eine längere Aufbewahrungsfrist vorsieht). Personenbezogene Daten, die im Rahmen des Geschäftsjahres 2024 erhoben wurden, müssen daher vom für die Verarbeitung Verantwortlichen am 1. Januar 2035 gelöscht oder anonymisiert werden, auch wenn das Konto der betroffenen Person noch nicht geschlossen wurde. 

Beispiel 3: Der Kontobeschluss des Kunden einer Bank kann nach Schließung seines Kontos zehn Jahre lang aufbewahrt werden. Dagegen muss die Kopie ihres Personalausweises, die im Rahmen der Verpflichtungen der Bank aus dem Gesetz von 2004 gesammelt wurde und von der Bank nicht im Rahmen ihrer Buchhaltung verarbeitet wird, fünf Jahre nach Schließung des Kontos des Kunden gelöscht werden (es sei denn, die Bank kann nachweisen, dass für die wirksame Durchführung interner Maßnahmen zur Verhinderung oder Aufdeckung von Geldwäsche oder Terrorismusfinanzierung gemäß Artikel 3.6 des genannten Gesetzes eine verlängerte Aufbewahrungsfrist von weiteren fünf Jahren erforderlich ist).

17.

Im Übrigen verpflichtet Art. 27 („Archivierung“) des Gesetzes von 2009 die Zahlungsinstitute und die E-Geld-Institute, „gemäß den im Handelsgesetzbuch vorgesehenen Fristen alle geeigneten Aufzeichnungen aufzubewahren, damit die CSSF überprüfen kann, ob sie ihren Verpflichtungen aus diesem Gesetz nachkommen“.

 

18.

Darüber hinaus müssen die Kreditinstitute unter Bezugnahme auf das Gesetz vom 5. April 1993 über den Finanzsektor in seiner geänderten Fassung vorsehen, dass „jede von ihnen erbrachte Dienstleistung, jede von ihnen ausgeübte Tätigkeit und jede von ihnen selbst vorgenommene Transaktion“ gemäß den im Handelsgesetzbuch vorgesehenen Fristen registriert und aufbewahrt werden (Artikel 37-1 Absatz 6).  Daten, die auf der Grundlage der oben genannten nationalen Bestimmungen erhoben und gespeichert werden, können daher grundsätzlich für einen Zeitraum von höchstens 10 Jahren ab dem Ende des Geschäftsjahres, auf das sie sich beziehen, gespeichert und anschließend vom für die Verarbeitung Verantwortlichen gelöscht oder anonymisiert werden (sofern für diese Daten keine andere längere Speicherfrist gilt). 

ii. Aufbewahrungsfrist für Daten zum Zwecke der Bekämpfung von Geldwäsche und Terrorismusfinanzierung (Gesetz 2004)

19.

Gemäß Artikel 3.6 des Gesetzes von 2004, Artikel 1.5 der großherzoglichen Verordnung vom 1. Februar 2010 zur Präzisierung einiger Bestimmungen des geänderten Gesetzes vom 12. November 2004 zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung und Artikel 25 der CSSF-Verordnung Nr. 12-02 vom 14. Dezember 2012 zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung in der geänderten Fassung (im Folgenden "CSSF-Verordnung") sind die Gewerbetreibenden verpflichtet, die folgenden Dokumente, Daten und Informationen fünf Jahre nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach dem Datum der gelegentlich abgeschlossenen Transaktion aufzubewahren:

  • eine Kopie der Dokumente, Daten und Informationen, die zur Erfüllung der Sorgfaltspflichten gegenüber Kunden gemäß den Artikeln 3 bis 3-3 des Gesetzes von 2004 erforderlich sind, die Geschäftsbücher, die Geschäftskorrespondenz sowie die Ergebnisse aller durchgeführten Analysen, 
  • Belege und Transaktionsaufzeichnungen, die erforderlich sind, um einzelne Transaktionen zu identifizieren oder zu rekonstruieren, um erforderlichenfalls Beweise für strafrechtliche Ermittlungen oder Ermittlungen zu liefern.

 

20.

Die CNPD weist darauf hin, dass es sich bei den auf Vorrat gespeicherten personenbezogenen Daten z. B. um Daten handele, die in amtlichen Kundenidentifizierungsdokumenten wie Pässen, Personalausweisen, Führerscheinen oder ähnlichen Dokumenten oder Kopien dieser Dokumente enthalten seien; Untersuchungen zur Feststellung des Kontexts und des Gegenstands komplexer Transaktionen von ungewöhnlich hohem Wert; Angaben zum wirtschaftlichen Eigentümer (z. B. aus dem Register der wirtschaftlichen Eigentümer) usw.

 

21.

Die CNPD stellt ferner fest, dass die Speicherung bestimmter Daten auf der Grundlage der oben genannten Bestimmungen in selteneren Fällen auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art.[1]10 der DSGVO betreffen kann.

 

22.

Tatsächlich können politische Meinungen und religiöse Überzeugungen durch finanzielle Transaktionen aufgedeckt werden, zum Beispiel durch Spenden an politische Parteien oder Organisationen, Kirchen oder Pfarreien. Die Mitgliedschaft in einer Gewerkschaft kann durch die Erhebung eines Jahresbeitrags vom Bankkonto einer Person aufgedeckt werden. Personenbezogene Gesundheitsdaten können durch die Analyse von Arztrechnungen erlangt werden, die eine betroffene Person an einen Angehörigen der Gesundheitsberufe (z. B. einen Psychiater) bezahlt hat. Schließlich können Informationen über bestimmte Käufe Informationen über das Sexualleben oder die sexuelle Orientierung einer Person preisgeben.[2]

 

23.

Im Übrigen könnten die sich aus dem Gesetz von 2004 ergebenden Sorgfaltspflichten die für die Verarbeitung Verantwortlichen dazu veranlassen, Daten über ein Gerichtsverfahren gegen eine natürliche Person zu erheben und aufzubewahren, wie die über ihre Anklageerhebung oder das Gerichtsverfahren und gegebenenfalls die sich daraus ergebende Verurteilung, die Daten über „Straftaten“ und „strafrechtliche Verurteilungen“ im Sinne von Art. 10 der DSGVO darstellen, und zwar unabhängig davon, ob in diesem Gerichtsverfahren die Begehung der Straftat, derentwegen die Person verfolgt wurde, tatsächlich festgestellt wurde oder nicht.[3]

 

24.

Da der Kontext, in dem diese Art von Daten verarbeitet werden, erhebliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen mit sich bringen könnte,[4] setzen die von den Art. 9 und 10 der DSGVO erfassten Datenverarbeitungen für den Verantwortlichen eine Reihe zusätzlicher Garantien voraus, wie z. B. eine spezifische Information darüber, dass diese Datenkategorien für die Zwecke der Einhaltung des Gesetzes von 2004 verarbeitet werden können, oder einen Mechanismus, der es dem Verantwortlichen ermöglicht, sich zu vergewissern, dass die Daten aus zuverlässigen Quellen stammen, korrekt und aktuell sind.[5]

 

25.

Unternehmen, die dem Gesetz von 2004 unterliegen, können die personenbezogenen Daten ihrer Kunden für einen zusätzlichen Zeitraum von fünf Jahren aufbewahren, „wenn dies für die wirksame Umsetzung interner Maßnahmen zur Verhinderung oder Aufdeckung von Geldwäsche oder Terrorismusfinanzierung erforderlich ist“. (Artikel 3.6 Absatz 6) oder wenn die Aufsichtsbehörden eine zusätzliche Aufbewahrungsfrist verlangen (Artikel 3.6 Absatz 5). Nach dieser Bestimmung weist die CNPD darauf hin, dass eine Dauer von zehn Jahren nicht die „Standard“-Speicherfrist für alle Kunden eines Zahlungsdienstleisters sein sollte. Es obliegt dem für die Verarbeitung Verantwortlichen, im Einklang mit dem Grundsatz der Verantwortlichkeit zu dokumentieren, warum ein zusätzlicher Zeitraum von fünf Jahren erforderlich ist.

 

26.

Ferner ist darauf hinzuweisen, dass das Gesetz von 2004 vorsieht, dass „[u]nbeschadet längerer Aufbewahrungsfristen, die in anderen Gesetzen vorgeschrieben sind, ... Gewerbetreibende verpflichtet [sind], personenbezogene Daten nach Ablauf der in Absatz 1 genannten Aufbewahrungsfristenzu löschen“ (Artikel 3.6 Absatz 4). Die Verpflichtung, die Daten der betroffenen Personen nach 5 oder 10 Jahren (nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach dem Zeitpunkt der gelegentlichen Transaktion) zu löschen, ergibt sich daher auch aus dem Gesetz von 2004. Daraus ergibt sich, dass die für die Verarbeitung Verantwortlichen die Daten nicht über diese Fristen hinaus für Zwecke der Bekämpfung von Geldwäsche und Terrorismusfinanzierung aufbewahren sollten.

Hervorzuheben sind: Wenn der Verantwortliche aufgrund einer rechtlichen Verpflichtung verpflichtet ist, die Daten zu löschen, darf er die zur Erfüllung dieser rechtlichen Verpflichtung erhobenen Daten nicht über die gesetzliche Aufbewahrungsfrist hinaus auf der Grundlage seines berechtigten Interesses speichern. 

27.

Die CNPD nimmt auch Art. 11.2 der CSSF-Verordnung in der geänderten Fassung zur Kenntnis, in dem es heißt: „Die Kundenakzeptanzpolitik muss auch die Verfahren vorsehen, die bei einem Verdacht auf Geldwäsche, damit zusammenhängende Vortaten oder Terrorismusfinanzierung oder bei einem begründeten Verdacht auf Geldwäsche oder Terrorismusfinanzierung zu befolgen sind, wenn der Kontakt zu einem potenziellen Kunden erfolglos bleibt. Die Gründe für die Weigerung des Kunden oder des Unternehmers, eine Geschäftsbeziehung einzugehen oder eine Transaktion abzuschließen, sind nach Maßgabe des Artikels 25 dieser Verordnung zu dokumentieren und aufzubewahren, auch wenn die Weigerung des Unternehmers nicht auf die Feststellung eines Hinweises auf Geldwäsche oder Terrorismusfinanzierung zurückzuführen ist.“ Folglich können die Daten einer betroffenen Person, der die Eröffnung eines Kontos verweigert wird oder die selbst auf die Eröffnung eines Kontos verzichtet, gemäß den Bestimmungen des Gesetzes von 2004 gespeichert werden.

 

28.

Vor diesem Hintergrund unterscheidet die CNPD im Wesentlichen drei mögliche Ausgangspunkte für die Berechnung der in Art. 3.6 des Gesetzes von 2004 vorgeschriebenen Aufbewahrungsfristen:

(i)               Beendigung der Geschäftsbeziehung mit dem Kunden (z. B. Schließung des Bankkontos oder Online-Kontos einer betroffenen Person);

(ii)              das Datum eines gelegentlichen Geschäfts;

(iii)            das Datum, an dem der Kunde oder Unternehmer die Aufnahme einer Geschäftsbeziehung verweigert hat.

 

29.

Die CNPD stellt fest, dass es vorkommen kann, dass ein Konto vom für die Verarbeitung Verantwortlichen aus Gründen der Anwendung des Gesetzes von 2004 gesperrt wird (z. B. gemäß Artikel 3.4 des Gesetzes von 2004 bis zur Überprüfung der Identität) und dass das Konto, wenn der Kunde nicht reagiert, auf unbestimmte Zeit gesperrt bleibt und keine Speicherfrist auslöst. Da dies in bestimmten Fällen zu einer unbefristeten Speicherung der Daten der betroffenen Person unter Verstoß gegen Art. 5.1 Buchst. e der DSGVO führen kann,[6]empfiehlt die CNPD den betroffenen Verantwortlichen, einen Mechanismus einzurichten, der es ermöglicht, die betroffene Person neu zu beleben und das Konto spätestens ein Jahr nach der Sperrung des Kontos zu schließen (die personenbezogenen Daten werden in jedem Fall nach der Schließung zu Zwecken der Bekämpfung von Geldwäsche und Terrorismus aufbewahrt).

 

 

iii. Besondere Aufbewahrungsfristen für den Zweck der Bekämpfung von Geldwäsche und Terrorismusfinanzierung (Reg. EU 2023/1113)

30.

In Artikel 26.1 der Verordnung (EU) 2023/1113 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über die Übermittlung von Angaben bei Geldtransfers und Transfers bestimmter Kryptowerte und zur Änderung der Richtlinie (EU) 2015/849 wird darauf hingewiesen, dass Angaben zum Zahler und zum Zahlungsempfänger oder zum Originator und zum Begünstigten von Kryptowerten (wie unter anderem Name, Nummer des Zahlungskontos, Anschrift, Nummer des amtlichen Ausweisdokuments, Kundenidentifikationsnummer, Geburtsdatum und -ort) nicht über das unbedingt erforderliche Maß hinaus gespeichert werden. Der Zahlungsdienstleister muss diese Daten daher für einen Zeitraum von fünf Jahren aufbewahren, nach dessen Ablauf er sie löschen muss (wie in Artikel 26.2 festgelegt), es sei denn, das nationale Recht sieht etwas anderes vor, in dem festgelegt ist, unter welchen Umständen Zahlungsdienstleister die Speicherfrist für diese Daten verlängern können oder müssen. Da die personenbezogenen Daten, die von Zahlungsdienstleistern auf der Grundlage dieser Verordnung verarbeitet werden, nur zum Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung verarbeitet werden (Artikel 25.2), versteht die CNPD, dass der Beginn der oben genannten Aufbewahrungsfrist derselbe ist wie für die im Gesetz von 2004 vorgesehenen Verarbeitungen, d. h. die Beendigung der Geschäftsbeziehung mit dem Kunden oder das Datum der gelegentlichen Transaktion.

Beispiel 4:  Eine Online-Bank verarbeitet die Nummer des amtlichen Ausweisdokuments ihres Kunden gemäß Artikel 26.1 der Verordnung (EU) 2023/1113 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über die Übermittlung von Angaben bei Geldtransfers und Transfers bestimmter Kryptowerte und zur Änderung der Richtlinie (EU) 2015/849 und den Bestimmungen des Gesetzes von 2004. Diese Daten müssen 5 Jahre nach Schließung des Kontos der betroffenen Person gelöscht werden. 

iv. Aufzeichnung von Telefongesprächen und elektronischer Kommunikation

31.

Die Aufzeichnung von Telefongesprächen und elektronischer Kommunikation ist grundsätzlich nur unter Beachtung des geänderten Gesetzes vom 30. Mai 2005 über den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation (im Folgenden: Gesetz von 2005) und der DSGVO möglich.

 

32.

So können gemäß Art. 4.3 Buchst. d des Gesetzes von 2005 Kommunikationen aufgezeichnet werden:

  • auf der Grundlage der freiwilligen, spezifischen, in Kenntnis der Sachlage erteilten und eindeutigen vorherigen Zustimmung des Kunden; oder
  • wenn sie im Rahmen rechtmäßiger beruflicher Gepflogenheiten erfolgt, um den Nachweis eines Handelsgeschäfts oder einer anderen kommerziellen Kommunikation zu erbringen.

 

33.

Die Ausnahme für „kommerzielle Kommunikation“ kann sich z. B. auf Aufzeichnungen von Telefongesprächen beziehen, die von „Callcentern“, „Helpdesks“,  Kundendiensten usw. geführt werden.

 

34.

In beiden Fällen ist es erforderlich, Kunden und Mitarbeiter vorab und transparent zu informieren, insbesondere über den/die Zweck(e) der Registrierung und die Speicherdauer. Diese Information muss den Anforderungen der DSGVO entsprechen.[7]

 

35.

Um diese Anforderungen zu erfüllen, hält es die CNPD für erforderlich, dass bei jedem überwachten Telefoninterview die Korrespondenten speziell auf die Aufzeichnung aufmerksam gemacht werden, unabhängig davon, ob zu Beginn des Anrufs eine automatisierte Nachricht gesendet wird oder nicht.

 

36.

Was speziell die Kreditinstitute betrifft, sieht Art. 37-1 (Abs. 6bis) des Gesetzes vom 5. April 1993 über den Finanzsektor in seiner geänderten Fassung die Verpflichtung vor, Aufzeichnungen von Telefongesprächen oder elektronischen Mitteilungen „mindestens im Zusammenhang mit Geschäften, die im Rahmen des Handels für eigene Rechnung abgeschlossen wurden, und mit der Erbringung von Dienstleistungen im Zusammenhang mit Kundenaufträgen, die den Empfang, die Übermittlung und die Ausführung von Kundenaufträgen betreffen“,  aufzubewahren, und zwar „fünf Jahre lang und auf Verlangen der CSSF für einen Zeitraum von bis zu sieben Jahren“.Telefongespräche und elektronische Mitteilungen müssen daher grundsätzlich fünf Jahre nach ihrer Registrierung gelöscht werden, es sei denn, eine längere Speicherung ist durch einen anderen Zweck gerechtfertigt, der mit dem ursprünglichen Zweck vereinbar ist, und eine der in Art. 6  der DSGVO vorgesehenen Zulässigkeitsgrundlagen ist anwendbar.

v. Erhebung des Personalausweises im Rahmen der Ausübung der Rechte der betroffenen Personen

37.

Gemäß Artikel 12.6 der DSGVO kann der Verantwortliche, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt (z. B. einen Antrag auf Auskunft oder Löschung), zusätzliche Informationen anfordern, die erforderlich sind, um die Identität der betroffenen Person zu bestätigen.

 

38.

Generell sollte der Personalausweis nicht als geeignetes Authentifizierungsmittel zur Bestätigung der Identität der betroffenen Person angesehen werden, es sei denn, eine Verhältnismäßigkeitsprüfung belegt das Gegenteil. Eine solche Verhältnismäßigkeitsprüfung sollte die Art der verarbeiteten Daten, die Art des Antrags sowie den Kontext des Antrags berücksichtigen und gleichzeitig eine übermäßige Datenerhebung vermeiden und ein angemessenes Maß an Sicherheit bei der Verarbeitung gewährleisten[8].

 

39.

Obwohl der Personalausweis im Allgemeinen nicht als geeignetes Authentifizierungsmittel zur Bestätigung der Identität der betroffenen Person angesehen werden sollte, kann es vorkommen, dass ein Zahlungsdienstleister eine betroffene Person, die ihre Rechte gemäß der DSGVO ausüben möchte, auffordert, eine Kopie ihres Personalausweises oder eines anderen amtlichen Dokuments zum Nachweis ihrer Identität vorzulegen (wenn eine solche Erhebung nach der DSGVO gerechtfertigt und verhältnismäßig ist). In einem solchen Fall muss der für die Verarbeitung Verantwortliche Schutzmaßnahmen ergreifen, um eine unbefugte oder unrechtmäßige Verarbeitung des Personalausweises zu verhindern. Dazu kann gehören, dass unmittelbar nach der erfolgreichen Authentifizierung der Identität der betroffenen Person keine Kopie erstellt wird, in der der Personalausweis überprüft wurde, oder dass eine Kopie eines Personalausweises gelöscht wird. Der EDSB hat im Übrigen darauf hingewiesen, dass „die spätere Speicherung einer Kopie eines Identitätsdokuments einen Verstoß gegen die Grundsätze der Zweckbindung und der Speicherbegrenzung (Artikel 5 Absatz 1 Buchstaben b und e DSGVO) und darüber hinaus gegen die nationalen Rechtsvorschriften über die Verarbeitung der nationalen Identifikationsnummer (Artikel 87 DSGVO) darstellen kann. Der EDSA empfiehlt als bewährtes Verfahren, dass der für die Verarbeitung Verantwortliche nach Überprüfung des Personalausweises eine Notiz macht, in der beispielsweise angegeben wird, dass „der Personalausweis überprüft wurde“, um unnötiges Kopieren oder Speichern von Kopien von Personalausweisen zu vermeiden.“ [9]

 

40.

Die CNPD weist ferner darauf hin, dass die Verarbeitung eines Personalausweises zum Zwecke der Authentifizierung im Zusammenhang mit der Ausübung der Rechte der betroffenen Personen die Verpflichtungen zur Aufbewahrung einer Kopie des Personalausweises nach dem Gesetz von 2004 unberührt lässt (die Löschung des zur Bestätigung der Identität einer Person, die beispielsweise ein Auskunftsrecht nach Art. 15 DSGVO ausübt, erhobenen Personalausweises setzt nicht voraus, dass ihr Personalausweis, der für Zwecke im Zusammenhang mit der Bekämpfung von Geldwäsche und Terrorismusfinanzierung („AML/CFT“) aufbewahrt wird, in einer gesonderten Datenbank gelöscht wird).[10]

 

b. Art. 6 Abs. 1 Buchst. f der DSGVO: Erforderliche Speicherung zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen

i. Hinweis auf die Voraussetzungen für den Rückgriff auf das berechtigte Interesse

41.

Art. 6.1 Buchst. f der DSGVO sieht die Rechtmäßigkeit einer Verarbeitung vor, wenn die Verarbeitung „für die Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt“.

 

42.

Die CNPD möchte an die drei kumulativen Voraussetzungen erinnern, unter denen sich ein Verantwortlicher auf Art. 6.1 Buchst. f der DSGVO stützen kann:[11]

i)       die Verfolgung eines berechtigten Interesses durch den für die Verarbeitung Verantwortlichen oder einen Dritten;

ii)      die Notwendigkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des verfolgten berechtigten Interesses (das berechtigte Interesse an der Verarbeitung der Daten kann vernünftigerweise nicht so wirksam mit anderen Mitteln erreicht werden, die die Grundrechte und Grundfreiheiten der betroffenen Personen weniger beeinträchtigen);

iii)    Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen nicht das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eines Dritten (z. B. wenn personenbezogene Daten unter Umständen verarbeitet werden, unter denen die betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet).

 

43.

Die Voraussetzungen für die Anwendung des berechtigten Interesses sind eng auszulegen.[12] Das berechtigte Interesse darf keine standardmäßige Grundlage für die Rechtmäßigkeit darstellen. Die CNPD empfiehlt, für jede Verarbeitung eine Abwägung der betroffenen Rechte und Interessen vorzunehmen, die vor der betreffenden Verarbeitung detailliert und dokumentiert sein muss.

 

44.

Dabei wird der Grad des Eingriffs in die Privatsphäre der betroffenen Personen (Verarbeitung sensibler Daten, Verarbeitung schutzbedürftiger Personen, Profiling usw.) und ihre anderen Grundrechte (Meinungsfreiheit, Informationsfreiheit, Gewissensfreiheit usw.) sowie die anderen konkreten Auswirkungen der Verarbeitung auf ihre Situation (Überwachung oder Überwachung ihrer Tätigkeiten, Ausschluss von Banken usw.) bewertet. Diese Auswirkungen sind zu messen, um im Einzelfall das Ausmaß des durch die Behandlung verursachten Eingriffs in das Leben der Menschen zu bestimmen.[13]

 

45.

Der Rückgriff auf diese Rechtsgrundlage beinhaltet bestimmte zusätzliche Pflichten des für die Verarbeitung Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen:

  • Spezifische Informationspflicht in Bezug auf die verfolgten berechtigten Interessen (Artikel 13 Absatz 1 Buchstabe d DSGVO, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, und Artikel 14 Absatz 2 Buchstabe b der DSGVO, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden);
  • Widerspruchsrecht der betroffenen Person (Art. 21.1 DSGVO): das Recht der betroffenen Person, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund ihres berechtigten Interesses erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche darf die personenbezogenen Daten dann nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 der DSGVO): das Recht der betroffenen Person, die Einschränkung der Verarbeitung zu erwirken, wenn die betroffene Person gemäß Artikel 21.1 der DSGVO Widerspruch gegen die Verarbeitung eingelegt hat, während geprüft wird, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

 

46.

Für weitere Einzelheiten zu den Kriterien, die die für die Verarbeitung Verantwortlichen erfüllen müssen, um personenbezogene Daten auf der Grundlage des berechtigten Interesses zu verarbeiten, fordert die CNPD die betroffenen Akteure auf, den Entwurf der Leitlinien des EDSB zum berechtigten[14] Interesse zur Kenntnis zu nehmen.

 

47.

In den nächsten Abschnitten wird die CNPD die Zwecke analysieren, die auf der Grundlage des berechtigten Interesses eines Zahlungsdienstleisters verfolgt werden könnten.

ii. Speicherung von Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind

48.

In Erwägungsgrund 65 der DSGVO wird klargestellt, dass die weitere Speicherung personenbezogener Daten rechtmäßig sein sollte, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesem Zusammenhang können die Verjährungsfristen daher wichtige Hinweise für die Bestimmung der Aufbewahrungsfristen geben.[15]

 

49.

Art. 189 des Handelsgesetzbuchs bestimmt: „Verpflichtungen, die aus Anlass ihres Handels zwischen Kaufleuten oder zwischen Kaufleuten und Nichtkaufleuten entstehen, verjähren in zehn Jahren, wenn sie keinen kürzeren Vorschriften unterliegen.“ Es ist daher möglich, dass ein Zahlungsdienstleister personenbezogene Daten speichert, die er im Rahmen eines Rechtsstreits mit dem Kunden benötigt. Nur personenbezogene Daten im Zusammenhang mit der Erfüllung von Verträgen und den vom für die Verarbeitung Verantwortlichen erbrachten Dienstleistungen dürfen zu diesem Zweck gespeichert werden. 

Beispiel 5: Nur die Daten, die für die Erfüllung des Vertrags zwischen einer Bank und ihrem Kunden erforderlich sind (z. B. ein Kontobeschluss), dürfen nach Schließung des Kontos der betroffenen Person aufbewahrt werden, um im Streitfall innerhalb der Verjährungsfrist von Artikel 189 des Handelsgesetzbuchs (10 Jahre) einen Beweis zu erbringen. Dagegen müssen Daten, die im Rahmen der im Gesetz von 2004 vorgesehenen Sorgfaltspflichten der Bank erhoben werden, wie Daten,die aus „Watchlists“  erhoben werden, nach 5 Jahren (in Ermangelung einer verlängerten Aufbewahrungsfrist von 5 Jahren) gemäßArt. 3.6 Abs. 4 des Gesetzes von 2004 („Unbeschadet längerer Aufbewahrungsfristen, die in anderen Gesetzen vorgeschrieben sind, sind Gewerbetreibende verpflichtet, personenbezogene Daten nach Ablauf der in Abs.1genannten Aufbewahrungsfristen zu löschen“) und Art. 3.6bis Abs. 2 („DieVerarbeitung personenbezogener Daten auf der Grundlage dieses Gesetzes für andere Zwecke ist verboten“) gelöscht werden. 

iii. Speicherung von Kundendaten zum Zwecke der Betrugsprävention

50.

Die Betrugsprävention wird in Erwägungsgrund 47 der DSGVO als eines der möglichen berechtigten Interessen genannt, die durch Artikel 6.1 Buchstabe f der DSGVO geschützt werden.

 

51.

Was insbesondere die Zahlungsdienstleister betrifft, ist auf die Bestimmungen von Art. 105 des Gesetzes von 2009 hinzuweisen: „Zahlungssysteme und Zahlungsdienstleister dürfen personenbezogene Daten verarbeiten, wenn dies zur Verhütung, Ermittlung und Aufdeckung von Betrug im Zahlungsverkehr erforderlich ist.  [...]“[16].

 

52.

In seinen Leitlinien zur Interaktion zwischen der Zweiten Zahlungsdiensterichtlinie und der DSGVO wies der EDSB darauf hin,[17] dass die Verarbeitung personenbezogener Daten, die für die Zwecke der Betrugsprävention unbedingt erforderlich ist, ein berechtigtes Interesse des betreffenden Zahlungsdienstleisters darstellen kann, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person diese Interessen nicht überwiegen. Die Verarbeitungstätigkeiten zur Betrugsprävention sollten dann auf einer gründlichen Einzelfallbewertung durch den für die Verarbeitung Verantwortlichen im Einklang mit dem Grundsatz der Rechenschaftspflicht beruhen.

 

53.

Darüber hinaus hat der EDSB in seinen Leitlinien zum berechtigten Interesse darauf hingewiesen, dass die Verarbeitung personenbezogener Daten im Rahmen des berechtigten Interesses an der Betrugsprävention nicht ohne Bedingungen und Einschränkungen erfolgt, insbesondere weil diese Art der Verarbeitung erhebliche Auswirkungen auf die betroffenen Personen haben kann. So heißt es beispielsweise in Erwägungsgrund 47 der DSGVO, dass die Verarbeitung personenbezogener Daten "unbedingt erforderlich sein muss, um Betrug zu verhindern", was in Verbindung mit dem Grundsatz der Datenminimierung gemäß Artikel 5.1 Buchstabe c der DSGVO zu sehen ist. Der EDSB weist ferner darauf hin, dass gleichzeitig der Grundsatz der Beschränkung der Speicherung gemäß Artikel 5.1 Buchstabe e der DSGVO bei der Festlegung von Strategien für die Vorratsspeicherung von Daten, die zum Zwecke der Aufdeckung oder Verhütung von Betrug verarbeitet werden, berücksichtigt werden muss.[18]

 

54.

In der Praxis führt die Verarbeitung zu Kontroll- und Betrugsbekämpfungszwecken zu Profiling mithilfe von Algorithmen, die alle verfügbaren Daten verwenden, um eine Betrugs- oder Fehlerrisikoquote für jeden Kunden zu berechnen (z. B. auf der Grundlage einer Historie der bereits begangenen Betrugsfälle). Die CNPD erkennt die Bedeutung der Bekämpfung von Betrug im Zahlungsverkehr uneingeschränkt an, möchte jedoch daran erinnern, dass diese Algorithmen angesichts ihrer Risiken und ihrer möglichen Verzerrungen mit äußerster Vorsicht konzipiert und verwendet werden müssen. 

 

55.

Im Online-Kontext kann diese Art der Verarbeitung die Erhebung von Transaktionsdaten, aber auch von Daten im Zusammenhang mit dem Kontext eines Zahlungsvorgangs umfassen, wie z. B. Verhaltensdaten (Verhaltensanalyse wie Tastatureingabedynamik, Daten im Zusammenhang mit Kauf- und Verbrauchsgewohnheiten), Navigationsdaten und Verbindungsdaten zu Informationssystemen (Geolokalisierungsdaten, Hardwaredaten: IP-Adresse, Bildschirm- oder Browsereinstellung usw.).

 

56.

Die Prävention, Ermittlung und Aufdeckung von Betrug im Zahlungsverkehr kann verschiedene Arten der Verarbeitung umfassen, z. B. die Aufdeckung von Handlungen, die eine Anomalie oder Unstimmigkeit aufweisen, die Verwaltung und Analyse solcher Warnungen, die Erstellung von Listen von Personen, die ordnungsgemäß als Täter von Handlungen identifiziert wurden, die vom für die Verarbeitung Verantwortlichen als Betrug oder Betrugsversuch eingestuft wurden. Diese Verarbeitungen können als „Profiling“ im Sinne der DSGVO bezeichnet[19] werden. Zwar kann die Vorratsspeicherung von Daten im Falle des Profilings Vorteile haben, da dem Algorithmus mehr Daten zur Verfügung stehen, doch müssen die für die Verarbeitung Verantwortlichen bei der Erhebung personenbezogener Daten den Grundsatz der Datenminimierung beachten und sicherstellen, dass sie diese personenbezogenen Daten nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und verhältnismäßig ist.[20]

 

57.

In Anbetracht der vorstehenden Ausführungen ist die CNPD der Ansicht, dass die Dauer der Speicherung der Daten im Rahmen der Betrugsprävention und -aufdeckung auf den Zeitraum begrenzt werden muss, der für die Erreichung dieses Zwecks unbedingt erforderlich ist. Beispielsweise erscheint die Speicherung der Daten einer betroffenen Person, bei der nach Schließung ihres Kontos während der Vertragslaufzeit kein Betrug festgestellt wurde, weder erforderlich noch verhältnismäßig. In diesem Fall ist die CNPD der Ansicht, dass der für die Verarbeitung Verantwortliche die zur Betrugsbekämpfung verarbeiteten Daten nach Beendigung des Vertragsverhältnisses mit dem Kunden löschen (oder anonymisieren) sollte.

 

 

----------------------------------------------------------------------------------------------------------------------------------------------

[1] Europarat, Beratender Ausschuss des Übereinkommens zum Schutz des Menschen bei der Verarbeitung personenbezogener Daten, Übereinkommen 108, Leitlinien zum Schutz personenbezogener Daten bei der Verarbeitung personenbezogener Daten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (S. 20)

[2] EDSB, Leitlinien 6/2020 zum Zusammenspiel zwischen der Zweiten Zahlungsdiensterichtlinie und der DSGVO, Version 2.0, angenommen am 15. Dezember 2020 (§52); Europäischer Datenschutzbeauftragter, Stellungnahme 39/2023 zu dem Vorschlag für eine Verordnung über Zahlungsdienste im Binnenmarkt und dem Vorschlag für eine Richtlinie über Zahlungsdienste und E-Geld-Dienste im Binnenmarkt, angenommen am 22. August 2023 (Ziffer 24).

[3] Urteil vom 24. September 2019, GC u. a. (Auslistung sensibler Daten), C-136/17, EU:C:2019:773, Rn. 72.

[4] Vgl. Erwägungsgrund 51 der DSGVO.

[5] Die CNPD fordert die Verantwortlichen auf, Art. 76 der Verordnung 2024/1624 vom 31. Mai 2024 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung zur Kenntnis zu nehmen, der die in den Art. 9 und 10 DSGVO genannten Bedingungen für die Datenverarbeitung vorsieht (obwohl diese Bestimmung noch nicht anwendbar ist, könnte sie bereits als „Standard“ für die betroffenen Unternehmer dienen). 

[6] Und die Anforderungen von Artikel 3.4 des Gesetzes von 2004. 

[7] Siehe Artikel 12, 13 und 14 DSGVO. Weitere Informationen finden Sie auf der Website der CNPD, „Le droit à l’information“, abrufbar unter https://cnpd.public.lu/de/particuliers/your-rights/droit-a-information.html.

[8] EDSB, Leitlinien 01/2022 zu den Rechten betroffener Personen – Auskunftsrecht, Version 2.1, angenommen am 28. März 2023 (§70-77)

[9] EDSB, Leitlinien 01/2022 zu den Rechten betroffener Personen – Auskunftsrecht, Version 2.1, angenommen am 28. März 2023 (§79 und die dort angeführte Rechtsprechung)

[10] Siehe Punkt 2.a.iii

[11] Urteil vom 4. Juli 2023, C-252/21, Meta v. Bundeskartellamt (ECLI:EU:C:2023:537), Rn. 106

[12] Urteil vom 4. Juli 2023, Meta Platforms u. a. (Allgemeine Bedingungen für die Nutzung eines sozialen Netzwerks), C-252/21, ECLI:EU:C:2023:537, Rn. 92 und 93 und die dort angeführte Rechtsprechung

[13] Urteil vom 4. Juli 2023, C-252/21, Meta v. Bundeskartellamt (ECLI:EU:C:2023:537), Rn. 116 und 118.

[14] EDPB Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, Version 1.0, Adopted on 8 October 2024 (Diese Fassung der Leitlinien unterliegt der öffentlichen Konsultation).

[15] Stellungnahme der Nationalen Datenschutzkommission zum Gesetzentwurf Nr. 7945 zur Umsetzung der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, Beschluss Nr. 49AV25/2022 vom 21. Oktober 2022 (S. 22)48.

[16] Die Rechtsgrundlage für diese Art der Verarbeitung dürfte in Zukunft die gesetzliche Verpflichtung sein (Art. 6 Abs. 1 Buchst. c DSGVO): Siehe Artikel 83 des Vorschlags für eine Verordnung über Zahlungsdienste im Binnenmarkt und zur Änderung der Verordnung (EU) Nr. 1093/2010. Interessanterweise heißt es in Artikel 83 des Vorschlags: „Zahlungsdienstleister speichern die in diesem Absatz genannten Daten nicht länger, als dies für die in Absatz 1 genannten Zwecke oder nach Beendigung der Kundenbeziehung erforderlich ist.“

[17] Leitlinien 6/2020 zum Zusammenspiel zwischen der Zweiten Zahlungsdiensterichtlinie und der DSGVO, Version 2.0, angenommen am 15. Dezember 2020

[18] EDPB Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, Version 1.0, Adopted on 8 October 2024, Rn. 104 (diese Fassung der Leitlinien ist Gegenstand einer öffentlichen Konsultation).

[19] Profiling ist definiert als „jede Form der automatisierten Verarbeitung personenbezogener Daten zur Bewertung der persönlichen Aspekte einer natürlichen Person, insbesondere zur Analyse oder Vorhersage von Aspekten der Arbeitsleistung der betroffenen Person, ihrer wirtschaftlichen Lage, ihrer Gesundheit, ihrer persönlichen Vorlieben oder Interessen, ihrer Zuverlässigkeit oder ihres Verhaltens oder ihres Standorts und ihrer Bewegungen, sofern sie Rechtswirkungen für die betreffende Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“ (Ziff. 71 der DSGVO).

[20] Vgl. Artikel-29-Datenschutzgruppe, Leitlinien für automatisierte individuelle Entscheidungsfindung und Profiling für die Zwecke der Verordnung (EU) 2016/679 (WP251rev.01, S. 13).

 

Dernière mise à jour