Im Widerstreit – Löschrechte vs. Aufbewahrungspflichten
Geht es nach den Datenschützern, müssen Unternehmen personenbezogene Daten nach „Gebrauch“radikal löschen. Dagegen wünschen sich beispielsweise die Finanzämter, auch zehn Jahre alte Geschäftsvorgänge noch zu kontrollieren.
Reisende soll man nicht aufhalten – manchmal will ein Kunde einfach kein Kunde mehr sein. Doch in der digitalen Welt verschwindet der Kunde deshalb noch lange nicht aus dem Blickfeld eines Unternehmens, im Gegenteil. Er hat in den unternehmenseigenen IT-Systemen wie auch in den angeschlossenen Cloud-Umgebungen jede Menge Datenspuren hinterlassen: Adressinformationen, Anfragen per E-Mail, Rechnungen, Lieferscheine und vieles mehr.
Diese Spuren bleiben für Unternehmen auch nach dem Ende der Kundenbeziehung wichtig. Mithilfe der vorhandenen Daten werden Bilanzen erstellt, Geschäftsberichte geschrieben und Steuererklärungen ausgefüllt. Zudem haben Unternehmen erhebliche Aufbewahrungspflichten: Finanzämter und andere Behörden möchten schließlich auch nach Jahren noch überprüfen können, ob bestimmte Geschäfte korrekt abgewickelt wurden.
Steuerrechtlich relevante Daten zum Geschäftsverkehr mit Kunden müssen bis zu zehn Jahre nach der letzten kaufmännischen Buchung aufbewahrt werden. Das betrifft Buchungsvorgänge ebenso wie personenbezogene Daten. Das Finanzamt möchte den Urheber einer
Zahlung kennen – vielleicht weil er beispielsweise die Rechnung in die Aufstellung seiner Betriebskosten eingefügt hat.
Hier entsteht eine Kollision mit dem Datenschutz, denn solche Informationen sind in der Regel personenbezogene Daten und damit besonders geschützt. Deshalb besitzt jeder Mensch seit einigen Jahren das Recht auf Löschung und Vergessen, niedergelegt in der europäischen Datenschutzgrundverordnung (DSGVO). Gemeint ist damit: Wenn der Grund für die Speicherung wegfällt, müssen Unternehmen löschen, und zwar sämtliche personenbezogenen Daten zu dem jeweiligen Kunden. Das hört sich einfach an, ist es aber nicht.
Personenbezogene Daten – kein einfacher Fall
Doch der Reihe nach. Wir betreten hier ein Gelände mit juristischen Stolperfallen. Allein der Begriff der personenbezogenen Daten ist recht weit definiert. Er umfasst alle Daten, mit denen eine Verknüpfung zu einer bestimmten Person hergestellt werden kann. In der Praxis sind deshalb deutlich mehr Daten personenbezogen, als es auf den ersten Blick scheint. So kommt es nicht darauf an, dass die Informationen richtig oder falsch sind, und auch nicht
darauf, ob sie wichtig, geschäftskritisch oder sensibel sind. Selbst bei fehlerhaften und scheinbar unwichtigen Informationen kann es sich um personenbezogene Daten handeln.
Außerdem ist für die rechtliche Beurteilung gar nicht notwendig, dass ein Unternehmen in seiner IT tatsächlich den Bezug zwischen Daten und Personen herstellt. Bereits wenn ein solcher Bezug theoretisch möglich ist, ergibt das aus juristischer Sicht personenbezogene Daten. Es kommt außerdem nicht nur auf das Unternehmen selbst an. Auch Informationen und Daten, die über Vertragspartner oder andere dritte Parteien einer Person zugeordnet werden können, fallen unter den Schutz der DSGVO.
Diese Definition ist sehr weit gefasst und entwickelt sich für die Unternehmen mehr und mehr zu einer erheblichen Herausforderung. Personenbezogene Daten finden sich in allen Systemen und Anwendungen sowie mittlerweile in Cloud- und Multicloud-Umgebungen, die überhaupt Vorgänge aus dem Geschäftsverkehr verarbeiten und speichern. Unbedenklich sind lediglich anonymisierte Daten, zum Beispiel die aggregierten statistischen Angaben in einem Business-Dashboard. Dabei handelt es sich um anonymisierte Daten, die sich in keiner Weise mehr auf eine bestimmte Person beziehen. Es geht also um Aussagen wie zum Beispiel „90 Prozent der Kunden sind mit dem Produkt zufrieden“.
Normalerweise werden solche Informationen aus Data Warehouses oder Data Lakes mit einem heterogen zusammengesetzten Datenpool gewonnen, der auch personenbezogene Daten enthält. Denn dort finden sich in aller Regel Inhalte aus unterschiedlichen Datenquellen wie Warenwirtschaftssystemen, ERPAnwendungen und Marketing-Tools, sowie aus Multicloud-Speichern. Eine naheliegende Idee ist es nun, einfach die Angaben zu den Personen zu entfernen – durch Pseudonymisierung. Dabei wird der Klarname mit einem Schlüssel ersetzt, etwa einer fortlaufenden Nummer. Doch auch pseudonymisierte Daten sind personenbezogen, da der Bezug theoretisch wieder hergestellt werden kann.
Daraus folgt nach Auffassung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH), dass sogar IP-Adressen in Logfiles von Webservern personenbezogen sind. Sie sind zwar Pseudonyme und nicht mit einfachen Methoden auf eine Person zurückzuführen. Doch mit Hilfe der Staatsanwaltschaft kann der Anschlussinhaber und damit möglicherweise die Person ermittelt werden, die eine Webseite besucht hat. Unternehmen dürfen zwar weiterhin Logfiles speichern, müssen sie aber entsprechend der DSGVO behandeln. Dabei hilft es nicht, Daten zu verschlüsseln. Auch dies gilt aus rechtlicher Sicht als Pseudonymisierung. Bei Kenntnis des Schlüssels (der entwendet werden kann) ist es leicht, den Bezug zu einer bestimmten Person herzustellen.
Die besondere Signifikanz von personenbezogenen Daten wird auch in Hinblick auf deren internationalen Austausch deutlich. Unter dem EU-US Privacy Shield war es bisher möglich, personenbezogene Daten europäischer Bürger an Unternehmen mit Sitz in den USA