58.
Gemäß den Artikeln 5 und 25 der DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen und die Verarbeitung mit den erforderlichen Garantien zu versehen, um die Anforderungen der DSGVO zu erfüllen, einschließlich geeigneter technischer und organisatorischer Maßnahmen, um sicherzustellen, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen spezifischen Zweck der Verarbeitung erforderlich sind.
a. Einrichtung eines Datensortierungsmechanismus
59.
Daher muss der für die Verarbeitung Verantwortliche Maßnahmen ergreifen, die es ermöglichen, die verarbeiteten Daten nach Abschluss der Phase der laufenden Nutzung der Daten der betroffenen Person (die beispielsweise mit der Schließung des Kontos des Nutzers zusammenfällt) zu sortieren, um nur die personenbezogenen Daten zu speichern, die für die (neuen) Zwecke im Rahmen der Archivierungsphase relevant sind. Die systematische und unterschiedslose Speicherung aller Kontodaten nach Beendigung des Vertragsverhältnisses mit der betroffenen Person steht nämlich nicht im Einklang mit dem Grundsatz der Speicherbeschränkung.[1] Dieser „Löschungsmechanismus“ kann zur Löschung oder Anonymisierung personenbezogener Daten führen, die für die Zwecke der Datenspeicherung nicht erforderlich sind.
60.
Der für die Verarbeitung Verantwortliche sollte daher die Speicherung der Daten in einer speziellen Archivierungsdatenbank vorsehen (a) oder zumindest eine logische Trennung in der aktiven Datenbank vorsehen (b).[2]
(a) Eine physische Trennung könnte dadurch erreicht werden, dass die Daten aus dem Informationssystem extrahiert werden, um sie getrennt in einer speziellen Archivdatenbank aufzubewahren, auf die nur speziell befugte Personen zugreifen können. In diesem Fall muss die Archivierungsdatenbank über verschiedene Funktionen wie den Export, den Zugriff und die Visualisierung der gespeicherten Daten verfügen. Diese Funktionen ermöglichen es der Organisation, der betroffenen Person bei der Ausübung ihrer Rechte (Zugangsrecht usw.) zu antworten.
(b) Bei einer logischen Trennung verbleiben die Daten in der „aktiven Datenbank“, werden aber durch eine Beschränkung der Berechtigungen eindeutig identifiziert und von den anderen Daten isoliert, um sie für Personen, die sie nicht mehr verarbeiten müssen, unzugänglich zu machen.[3]
b. Einrichtung eines Mechanismus zur Schließung „inaktiver“ Konten
61.
Einige Akteure bieten ihre Finanzdienstleistungen nur über die Einrichtung eines Online-Kontos an. Die CNPD stellt fest, dass diese Nutzer diese Konten häufig nicht mehr nutzen, ohne sie jedoch zu schließen, was manchmal dazu führt, dass Konten auf unbestimmte Zeit inaktiv sind, da das Fehlen einer Schließung dann verhindert, dass bestimmte Aufbewahrungsfristen in Gang gesetzt werden. Mit dem Gesetz vom 30. März 2022 über inaktive Konten, inaktive Tresore und nachrichtenlose Versicherungsverträge, das am 1. Juni 2022 in Kraft getreten ist, hat Luxemburg erstmals einen Rechtsrahmen für die Verwaltung inaktiver Konten geschaffen. Der neue Rechtsrahmen gilt für „jedes Sichtkonto, Sparkonto, Einlagenkonto mit vereinbarter Laufzeit oder Kündigungsfrist, Wertpapierkonto, Treuhandkonto und jedes andere bei einem Institut eröffnete Konto“. Dagegen sind E-Geld-Konten im Sinne des geänderten Gesetzes vom 10. November 2009 über Zahlungsdienste vom Anwendungsbereich dieses Rechtsrahmens ausgenommen.
62.
Um sicherzustellen, dass eine Verarbeitung mit den erforderlichen Garantien einhergeht, um die Anforderungen der DSGVO zu erfüllen, einschließlich des Grundsatzes der Genauigkeit und der Beschränkung der Speicherung, sollten die Verantwortlichen Maßnahmen vorsehen, um regelmäßig zu überprüfen, ob der Kontoinhaber noch die Absicht hat, das Konto online zu halten, und ob die darin gespeicherten Daten korrekt sind. Bei Konten mit einem Saldo von null empfiehlt die CNPD auch, eine Frist festzulegen, nach deren Ablauf das Konto als inaktiv gilt und (nach Unterrichtung der betroffenen Person) geschlossen werden muss. In diesem Zusammenhang hält die CNPD eine Frist von fünf Jahren für verhältnismäßig.[4]
-------------------------------------------------------------------------------------------------------------------------------------------------------
[1] Art. 5 Abs. 1 lit. e DSGVO. Siehe Commission Nationale de l’Informatique et des Libertés, Délibération de la formation restreinte n°SAN-2024-002 du 31 janvier 2024 concernant la société DE PARTICULIER A PARTICULIER – EDITIONS NERESSIS (Nationale Kommission für Informatik und Freiheiten, Beratung der beschränkten Ausbildung Nr. SAN-2024-002 vom 31. Januar 2024 über die Gesellschaft DE PARTICULIER A PARTICULIER A PARTICULIER – EDITIONS NERESSIS)
[3] Siehe CNIL-Praxisleitfaden zu Aufbewahrungsfristen.
[4] Diese Empfehlung gilt unbeschadet der Bestimmungen des Gesetzes vom 30. März 2022 über inaktive Konten, inaktive Tresore und nachrichtenlose Versicherungsverträge.