14.10.2016, 04:23
Pet 1-18-06-298-025760
Datenschutz
Der Deutsche Bundestag hat die Petition am 22.09.2016 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen nicht entsprochen werden
konnte.
Begründung
Mit der Petition soll erreicht werden, dass Unternehmen die bei ihnen gespeicherten
Kundendaten nach Ablauf einer bestimmten Zeit (z. B. zwei Jahre) seit Beendigung
des Kundenverhältnisses unaufgefordert löschen müssen.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass nahezu jedes
Unternehmen die von ihm erhobenen Kundendaten auf unbegrenzte Zeit speichere,
etwa die bei der Einholung eines Versicherungsangebotes gemachten Angaben oder
das Einkaufsverhalten in Onlineshops. Der Kunde könne die Löschung von
Kundenkonten von sich aus nur schwer oder gar nicht bewirken. Bei online
zugänglichen Daten bestehe die Gefahr, dass die dauerhaft gespeicherten Daten in
falsche Hände und auf illegalem Wege an Adresshändler zu Werbezwecken
gelangten.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Zu der auf der Internetseite des Deutschen Bundestages veröffentlichten Eingabe
liegen 236 Mitzeichnungen und 10 Diskussionsbeiträge vor. Es wird um Verständnis
gebeten, dass nicht auf alle der vorgetragenen Aspekte im Einzelnen eingegangen
werden kann.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
zusammenfassen:
Der Petitionsausschuss begrüßt zunächst das mit der Petition zum Ausdruck
gebrachte Engagement im Hinblick auf den Datenschutz. Auch aus Sicht des
Ausschusses stellt die Gewährleistung des Grundrechts auf informationelle
Selbstbestimmung ein sehr wichtiges Anliegen dar. Den Belangen von Datenschutz
und Datensicherheit ist auch im digitalen Zeitalter umfassend Rechnung zu tragen.
Ferner weist der Ausschuss darauf hin, dass das Bundesdatenschutzgesetz (BDSG)
die Verpflichtung zur Löschung personenbezogener Daten nicht an den Ablauf
gesetzlicher Speicherfristen, sondern an den Wegfall der Erforderlichkeit einer
weitergehenden Speicherung knüpft.
Gemäß § 35 Absatz 2 Satz 2 Nr. 3 BDSG sind personenbezogene Daten, die zu
eigenen Zwecken verarbeitet werden, zu löschen, sobald ihre Kenntnis für die
Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Die Erhebung und
Speicherung von Kundendaten durch Unternehmen erfolgt zu eigenen
Geschäftszwecken, nämlich regelmäßig zur Begründung, Durchführung und
Beendigung von Schuldverhältnissen mit dem Betroffenen (§ 28 Absatz 1 Satz 1
Nr. 1 BDSG). Eine Verarbeitung personenbezogener Daten zu anderen Zwecken ist
insbesondere unter den Voraussetzungen des § 28 Absatz 2 und 3 BDSG zulässig.
Der Ausschuss stellt mithin fest, dass das Datenschutzrecht daher keine zeitlich
unbegrenzte Speicherung von Kundendaten legitimiert. Diese sind vielmehr zu
löschen, sobald deren Kenntnis für die Begründung, Durchführung oder Beendigung
des Schuldverhältnisses nicht mehr erforderlich ist und keine anderweitige
Rechtsgrundlage für eine fortwährende Speicherung besteht. Aus dem Wortlaut des
§ 35 Absatz 2 Satz 2 BDSG („sind zu löschen“) folgt, dass die verantwortliche Stelle
eine Löschung nicht erst auf Antrag der Betroffenen, sondern von sich aus
vorzunehmen hat, sobald für die weitergehende Speicherung keine Rechtsgrundlage
mehr besteht.
Weiterhin macht der Ausschuss darauf aufmerksam, dass der Grundsatz der
Erforderlichkeit eine zentrale Vorgabe des europäischen Datenschutzrechts ist. Nach
Artikel 6 Absatz 1 lit. e) der Europäischen Datenschutzrichtlinie 95/46/EG sehen die
Mitgliedstaaten vor, dass personenbezogene Daten nicht länger als es für die
Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden,
erforderlich ist, in personenbeziehbarer Form aufbewahrt werden. Die Regelungen zur
Löschung personenbezogener Daten im Bundesdatenschutzgesetz (§ 20 Absatz 2,
§ 35 Absatz 2 BDSG) setzen diese Vorgaben in deutsches Recht um.
Im Gegensatz zu gesetzlich festgelegten (Höchst-)Speicherfristen, nach deren Ablauf
personenbezogene Daten automatisch zu löschen sind, vermittelt der
Erforderlichkeitsgrundsatz den datenverarbeitenden Stellen die notwendige Flexibilität
bei der Verarbeitung von Kundendaten.
Der Ausschuss hebt hervor, dass die mit der Petition begehrte Festlegung gesetzlicher
Speicherfristen demgegenüber die Gefahr birgt, dass Daten selbst dann zu löschen
sind, wenn deren weitergehende Kenntnis für die datenverarbeitende Stelle auch nach
Vertragsdurchführung noch erforderlich ist. So kann eine fortwährende Speicherung
von Kundendaten auch nach Vertragsbeendigung notwendig sein zur Dokumentation
zivilrechtlicher Gewährleistungsrechte oder Verjährungsfristen und gesetzlicher oder
vertraglicher Aufbewahrungsfristen gemäß § 35 Absatz 3 Nr. 1 BDSG.
Über die Einhaltung der Anforderungen für die Löschung personenbezogener Daten
wachen die Datenschutzbehörden des Bundes und der Länder im Rahmen ihrer
jeweiligen Zuständigkeiten.
Vor diesem Hintergrund vermag der Petitionsausschuss nach umfassender Prüfung
der Sach- und Rechtslage im Ergebnis keinen gesetzgeberischen Handlungsbedarf zu
erkennen und die mit der Petition erhobene Forderung nicht zu unterstützen.
Er empfiehlt daher, das Petitionsverfahren abzuschließen, weil dem Anliegen nicht
entsprochen werden konnte.
Begründung (PDF)