8.
Nach Art. 5 Abs. 1 Buchst. e der DSGVO sind personenbezogene Daten „in einer Form aufzubewahren, die die Identifizierung der betroffenen Personen für einen Zeitraum ermöglicht, der nicht länger ist, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“.
Im 39. Erwägungsgrund der DSGVO heißt es weiter: „Personenbezogene Daten sollten angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein. Dies erfordert insbesondere, dass die Dauer der Datenspeicherung auf das absolute Minimum beschränkt wird. Personenbezogene Daten sollten nur verarbeitet werden, wenn der Zweck der Verarbeitung mit anderen Mitteln vernünftigerweise nicht erreicht werden kann. Um sicherzustellen, dass die Daten nicht länger als erforderlich gespeichert werden, sollte der für die Verarbeitung Verantwortliche Fristen für ihre Löschung oder für eine regelmäßige Überprüfung festlegen. Es sollten alle zumutbaren Maßnahmen getroffen werden, um sicherzustellen, dass unrichtige personenbezogene Daten berichtigt oder gelöscht werden.“
9.
In Bezug auf die Angemessenheit, Relevanz und Begrenztheit dessen, was für die Zwecke der Verarbeitung erforderlich ist, ist auf die Klarstellungen hinzuweisen, die der EDSB in Bezug auf die genauen Zwecke der Verarbeitung durch einen Verantwortlichen vorgenommen hat:
„40. Ein für die Verarbeitung Verantwortlicher muss vor der Verarbeitung der Daten die geeignete Rechtsgrundlage für die beabsichtigte Verarbeitung ermitteln. Wenn Artikel 6 Absatz 1 Buchstabe b die Grundlage für alle oder einen Teil der Verarbeitungstätigkeiten bildet, sollte der Verantwortliche voraussehen, was im Falle einer Kündigung des Vertrags geschehen wird.
[...]
43. Nach Artikel 17 Absatz 1 Buchstabe a werden personenbezogene Daten gelöscht, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Dies gilt jedoch nicht, wenn die Verarbeitung für bestimmte Zwecke erforderlich ist, insbesondere zur Erfüllung einer rechtlichen Verpflichtung nach Artikel 17 Absatz 3 Buchstabe b oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen nach Artikel 17 Absatz 3 Buchstabe e. In der Praxis müssen die für die Verarbeitung Verantwortlichen, wenn sie einen allgemeinen Bedarf an der Aufbewahrung von Aufzeichnungen für rechtmäßige Zwecke feststellen, von Beginn der Verarbeitung an eine Rechtsgrundlage für diese Aufbewahrung festlegen und gleichzeitig klar angeben, wie lange sie beabsichtigen, die Aufzeichnungen für diese rechtmäßigen Zwecke nach Beendigung des Vertrags aufzubewahren. In diesem Fall sind sie nicht verpflichtet, die Daten nach Beendigung des Vertrags zu löschen.
44. In jedem Fall ist es möglich, dass zu Beginn der Verarbeitung mehrere Verarbeitungen mit unterschiedlichen Zwecken und Rechtsgrundlagen identifiziert wurden. Solange diese anderen Verarbeitungsvorgänge rechtmäßig bleiben und der Verantwortliche diese Vorgänge zu Beginn der Verarbeitung im Einklang mit den Transparenzpflichten der DSGVO eindeutig mitgeteilt hat, ist es nach Beendigung des Vertrags weiterhin möglich, personenbezogene Daten, die sich auf die Concerte-Person beziehen, für diese gesonderten Zwecke zu verarbeiten.‘[1]
3. Sobald der/die Zweck(e) der Verarbeitung erreicht ist/sind, ist es daher möglich, bestimmte Daten zur Erfüllung rechtlicher Verpflichtungen oder für vorprozessuale oder streitige Zwecke zu speichern, aber die Daten müssen dann gemäß den geltenden Bestimmungen für einen Zeitraum archiviert werden, der nicht länger ist, als es für die Zwecke, für die sie gespeichert werden, erforderlich ist.
10.
Im Rahmen eines Vertragsverhältnisses zwischen der betroffenen Person und einem Zahlungsdienstleister sind im Lebenszyklus der personenbezogenen Daten des Nutzers zwei Phasen zu unterscheiden:
(i) Die aktive Phase: die Speicherung personenbezogener Daten des Kunden für die Dauer des Vertragsverhältnisses, hauptsächlich auf der Grundlage der Notwendigkeit der Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person getroffen werden (Art. 6.1 Buchst. b DSGVO), der Notwendigkeit der Erfüllung einer rechtlichen Verpflichtung (Art. 6.1 Buchst. c DSGVO) oder, in Ausnahmefällen, auf einer anderen Rechtsgrundlage gemäß Art. 6 DSGVO, wie der Einwilligung der betroffenen Person (Art. 6.1 Buchst. a DSGVO) oder dem berechtigten Interesse des Verantwortlichen (Art. 6.1 Buchst. f DSGVO) (hier wird von einer Phase der „üblichen Nutzung“ personenbezogener Daten gesprochen);
(ii) Die Archivierungsphase: die Speicherung oder „Archivierung“ der personenbezogenen Daten des Kunden nach Beendigung des Vertragsverhältnisses (in der Praxis entspricht dies der Schließung des Kontos des Nutzers), meistens auf der Grundlage der Notwendigkeit der Erfüllung einer rechtlichen Verpflichtung (Artikel 6.1 Buchstabe c DSGVO) oder in Ausnahmefällen auf einer anderen Rechtsgrundlage gemäß Artikel 6 DSGVO (z. B. dem berechtigten Interesse des Verantwortlichen gemäß Artikel 6.1 Buchstabe f der DSGVO).
11.
Wird die Speicherdauer im Rahmen der Archivierung überschritten, hat der Verantwortliche die Löschung der personenbezogenen Daten (ein Recht der betroffenen Person gemäß Artikel 17 der DSGVO) vorzunehmen. Er kann sie zum Beispiel endgültig vernichten oder anonymisieren.
Diese Leitlinien konzentrieren sich auf die Anwendung des Grundsatzes der Beschränkung der Vorratsdatenspeicherung im Rahmen der Archivierung. Jedes Mal, wenn in diesem Dokument auf eine Speicherdauer Bezug genommen wird, handelt es sich um die zweite Phase des Lebenszyklus der Daten, d. h. die Archivierungsphase nach Schließung des Kontos eines Kunden).
13.
Im Einklang mit dem in Artikel 5.2 der DSGVO verankerten Grundsatz der Rechenschaftspflicht muss jeder Verantwortliche nachweisen können, dass alle Grundsätze des Artikels 5.1 der DSGVO eingehalten werden (einschließlich des Grundsatzes der Datenminimierung gemäß Artikel 5.1 Buchstabe c und des Grundsatzes der Speicherbegrenzung gemäß Artikel 5.1 Buchstabe e). Zu diesem Zweck muss der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind (Artikel 25.2 d der DSGVO). Zu diesem Zweck muss der für die Verarbeitung Verantwortliche den Beginn jeder Speicherfrist genau festlegen, damit er dieser Verpflichtung automatisch nachkommen kann, ohne auf einen Löschungsantrag der betroffenen Person zu warten.
14.
Um die Speicherdauer jedes von ihm verarbeiteten Satzes personenbezogener Daten und den Beginn dieser Dauer so genau wie möglich festzulegen, muss der für die Verarbeitung Verantwortliche
- die genauen Zwecke (es ist nicht möglich, die Daten „für den Fall ...“ aufzubewahren) und die anwendbaren Rechtmäßigkeitsgrundlagen festzulegen und
- für jeden spezifischen Zweck eine angemessene und notwendige Speicherdauer festzulegen, um diesen Zweck zu erreichen.
15.
Wenn die Daten für mehrere Verarbeitungen mit mehreren Zwecken verwendet werden, sind die Aufbewahrungsfristen für jeden spezifischen Zweck zu individualisieren.
Hervorzuheben sind: Der für die Verarbeitung Verantwortliche muss die Speicherfrist oder die Modalitäten für die Berechnung der Speicherfrist für jede Datenverarbeitung festlegen.
Das Fehlen einer Speicherfrist oder einer unbegrenzten Speicherfrist stellt einen Verstoß gegen die DSGVO dar. Dieselben personenbezogenen Daten können für unterschiedliche Verarbeitungen verwendet werden und können daher für unterschiedliche Zeiträume erforderlich sein. Die Beendigung einer Datenverarbeitung, für die Daten verwendet wurden, bedeutet daher nicht, dass die Daten gelöscht werden müssen, wenn sie noch für eine andere laufende Datenverarbeitung erforderlich sind.
In einem solchen Fall ist es notwendig, die verschiedenen Datenverarbeitungstätigkeiten genau zu unterscheiden und auf jede von ihnen einen Zeitraum anzuwenden, der für ihre jeweiligen Zwecke relevant ist. Auf diese Weise werden die Daten mit der längsten Dauer gespeichert und am Ende der ersten Verarbeitung nicht gelöscht.
Beispiel 1: Im Rahmen seines Vertragsverhältnisses mit einer betroffenen Person bewahrt ein Zahlungsdienstleister seine Telefonnummer für Authentifizierungszwecke oder für die Kommunikation mit dieser Person im Rahmen seines Vertrags auf. Nach Beendigung des Vertrags ist die Verarbeitung dieser Daten für die Erfüllung des Vertrags nicht mehr erforderlich, und der Zahlungsdienstleister muss sie löschen (es sei denn, er weist nach, dass die Verarbeitung der Telefonnummer des Nutzers für bestimmte Zwecke erforderlich ist, einschließlich der Erfüllung einer rechtlichen Verpflichtung gemäß Artikel 17.3 Buchstabe b oder der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gemäß Artikel 17.3 Buchstabe e).
Beispiel 2: Ein Zahlungsdienstleister verarbeitet auch die Postanschrift des Hauptwohnsitzes der betroffenen Person. Diese Daten werden für verschiedene Zwecke im Zusammenhang mit der Verwaltung der Kundenbeziehung, aber auch im Rahmen der Sorgfaltspflichten des Zahlungsdienstleisters gemäß dem Gesetz vom 12. November 2004 zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung in seiner geänderten Fassung (das "Gesetz von 2004") verarbeitet. Art. 3.6 dieses Gesetzes sieht jedoch eine Verpflichtung vor, die im Rahmen der Sorgfaltspflichten gegenüber dem Kunden erhobenen Daten für einen Zeitraum von fünf Jahren nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach dem Zeitpunkt des gelegentlichen Geschäftsvorfalls aufzubewahren. Daher ist die längste Speicherdauer zugrunde zu legen, und es ist nicht erforderlich, die Adresse der betroffenen Person bei Vertragsbeendigung (Datum, an dem bestimmte Zwecke der Adressverarbeitung entfallen) zu löschen, sondern fünf Jahre nach Vertragsende.
---------------------------------------------------------------------------------------------------------------------------------------------------
[1] EDSB, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO bei der Bereitstellung von Online-Diensten für betroffene Personen, Version 2.0, angenommen am 8. Oktober 2019