X
Digital
Allgemein Datenschutz

Die Speicherdauer im Lichte aktueller DSB-Judikatur

(Bild: © Kirillm) (Bild: © Kirillm)

Die Datenschutzbehörde setzt sich in zwei aktuellen Entscheidungen mit speziellen Problemstellungen zur Speicherdauer auseinander. Demnach dürfen weder minimale Kontaktdaten zu bloßen Dokumentations‑ und Kommunikationszwecken nach begehrter Löschung weiterverarbeitet werden noch Verjährungsfristen pauschal als Rechtfertigung für eine längere Speicherdauer herangezogen werden.

Grundsatz der Speicherbegrenzung

Die zulässige Dauer der Datenspeicherung bzw. -aufbewahrung ist wohl einer der umstrittensten Fragestellungen der Datenschutzpraxis. In den wenigsten Fällen lassen sich ausdrücklich normierte Fristen feststellen oder zumindest hilfsweise heranziehen. Die DSGVO bleibt auch in diesem Bereich schwammig und wälzt die Beurteilung der zulässigen Speicherdauer auf die Verantwortlichen über. Dabei gilt es in jedem Fall, das Prinzip der Speicherbegrenzung gemäß Art 5 Abs 1 lit e) DSGVO zu beachten, wonach personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Länger dürfen personenbezogene Daten nur gespeichert werden, soweit sie vorbehaltlich entsprechender technischer und organisatorischer Maßnahmen ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche oder historische Forschungszwecke verarbeitet werden.

Die Speicherdauer in personenbezogener Form ist daher grundsätzlich (insbesondere mangels Einwilligung) mit dem Zeitraum begrenzt, für den die Daten tatsächlich zur Zweckerreichung notwendig. Das Prinzip der Speicherbegrenzung steht somit in engem Zusammenhang mit den Prinzipien der Zweckbindung und Datenminimierung nach Art 5 Abs 1 lit b) und c) DSGVO. Die Notwendigkeit zur Zweckerreichung wird unzweifelhaft zutreffen, solange bspw. ein aufrechter Vertrag besteht und die Daten für dessen Erfüllung notwendig sind, aber auch, sofern gesetzliche Verpflichtungen oder Berechtigungen bestehen.

Derartige ausdrücklich gesetzlich festgelegte Speicherfristen finden sich bspw. in § 51 Abs 3 ÄrzteG (10 Jahre für die Aufbewahrung ärztlicher Aufzeichnungen und Dokumentationen), in § 10 Abs 1 Z 3 KAKuG (30 Jahre für die Aufbewahrung von Krankenschichten in Krankenanstalten), in § 19 Abs 5 MeldeV (sieben Jahre für Gästeverzeichnisblatt‑Sammlungen) sowie betreffend weitere branchenspezifische Fristen in der GewO, im FM‑GwG und vielen weiteren Gesetzen. Die in der Praxis wichtigsten und am häufigsten herangezogenen Aufbewahrungsfristen sind jedoch zweifelsohne die steuerrechtliche Aufbewahrungspflicht nach § 132 Abs 1 BAO von sieben Jahren sowie die Parallelbestimmung nach § 212 UGB von ebenfalls sieben Jahren. Diese Aufbewahrungsfristen beziehen sich jedoch nur auf die Datenkategorien, die für diesen Zweck notwendig sind, also insbesondere Bücher, Aufzeichnungen und sonstige Unterlagen zur Abgabenerhebung. Zur Rechtfertigung der Speicherung sonstiger Daten werden Verantwortliche mitunter dann kreativ.

Über Stammdaten hinausgehende Daten sind nach Vertragsbeendigung zu löschen

In ihrer Entscheidung DSB‑D216.471/0001‑DSB/2018 vom 28.5.2018 stellt die Datenschutzbehörde – zwar im Hinblick auf § 97 Abs 2 TKG 2003 – nunmehr klar, dass Stammdaten iSd § 97 Abs 2 TKG 2003 gemäß § 132 Abs 1 BAO für die Dauer von sieben Jahren gespeichert werden dürfen. Diese Stammdaten umfassen „alle personenbezogenen Daten, die für die Begründung, die Abwicklung, Änderung oder Beendigung der Rechtsbeziehungen zwischen dem Benutzer und dem Anbieter oder zur Erstellung und Herausgabe von Teilnehmerverzeichnissen erforderlich sind“, nämlich „Name, akademischer Grad, Anschrift, Teilnehmernummer und sonstige Kontaktinformation, Information über Art und Inhalt des Vertragsverhältnisses und Bonität“. Darüberhinausgehende Daten, für die keine besondere gesetzliche Vorschrift besteht, sie weiter zu speichern, sind nach Vertragsbeendigung zu löschen.

Dies lässt sich wohl auch auf andere, nicht dem TKG 2003 unterliegende Vertragsverhältnisse entsprechend umlegen. Nicht nach dem gesetzlichen Aufbewahrungszweck gemäß § 132 BAO oder § 212 UGB erforderliche Daten sind somit nach Vertragsbeendigung, also nachdem sie zum Zweck der Vertragserfüllung nicht mehr notwendig sind, zu löschen oder zu anonymisieren (Herbst in Kühling/Buchner, DSGVO/BDSG2 (2018) Art 17 Rz 75 ff iVm Art 6 Rz 81 ff), sofern sie nicht aus Gründen des Art 17 Abs 3 DSGVO oder aufgrund einer Einwilligung weiterverarbeitet werden dürfen.

Verjährungsfristen nicht pauschal als Speicherfristen geeignet

Dass gesetzliche Aufbewahrungsfristen jedenfalls für die davon betroffenen personenbezogenen Daten einschlägig sind und eine für diesen Zeitraum weitere Speicherung (beispielsweise nach einer Kündigung bzw. Vertragsbeendigung) rechtfertigen, bestätigt die Datenschutzbehörde daher in der genannten Entscheidung auch für den Anwendungsbereich der DSGVO.

Diese Entscheidung ist aber vielmehr deshalb interessant, da die Datenschutzbehörde in diesem Zusammenhang ausdrücklich auf das Erkenntnis des Verfassungsgerichtshofes vom 12.12.2017, E3249/2016 verweist, das im Wesentlichen festhält, dass das bloße Laufen möglicher Verjährungsfristen keine Verpflichtung (oder Ermächtigung) zur Aufbewahrung von Daten normiert. Diese Entscheidung betraf zwar einen Papierakt, durch ihre ausdrückliche Erwähnung sieht sie die Datenschutzbehörde aber offenbar auch auf elektronisch gespeicherte Daten anwendbar. Nach dieser Entscheidung muss eine weitere (über die zur Zweckerreichung erforderliche) Aufbewahrung von Daten durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein. Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus.

Dies steht in Einklang mit der herrschenden (deutschen) Lehre, wonach die Ausnahmeregelung des Art 17 Abs 3 lit e) DSGVO in zeitlicher Hinsicht jedenfalls dann greift, wenn die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen schon stattfindet oder sicher bevorsteht. Die bloße abstrakte Möglichkeit rechtlicher Auseinandersetzungen reicht nicht um zu begründen, dass die Weiterverwendung der Daten erforderlich ist (Herbst in Kühling/Buchner, DSGVO/BDSG2 (2018) Art 17 Rz 83). Zudem beschränkt sich der Umfang der fortgesetzten Speicherung insoweit auf die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlichen Daten. Ohne das Vorliegen von Anhaltspunkten für einen Rechtsstreit können zivilrechtliche Verjährungsfristen, die bis zu 30 Jahre betragen können, daher wohl nicht zur Begründung einer Ausnahme der Löschregeln herangezogen werden (Nolte/Werkmeister in Gola, DS-GVO (2017) Art 17 Rz 44 f).

Die weitverbreitete Annahme, Daten personenbezogen daher bereits grundsätzlich aufgrund der dreißigjährigen absoluten Verjährungsfrist nach § 1478 ABGB „sicherheitshalber“ weiter verarbeiten zu dürfen, kann daher nicht aufrechterhalten werden. Eine dahingehende abwägende Prognose, die neben der Wahrscheinlichkeit des Rechtsstreites auch das Gewicht der betroffenen Ansprüche und die Belange der betroffenen Person berücksichtigt (Herbst in Kühling/Buchner, DSGVO/BDSG2 (2018) Art 17 Rz 19), wird selten positiv für eine pauschale längere Aufbewahrungsdauer ausschlagen.

Keine Weiterspeicherung bloßer Kontaktdaten nach Löschungsbegehren

In eine ähnliche Kerbe schlägt auch die zweite, am selben Tag ergangene, Entscheidung der Datenschutzbehörde DSB‑D216.580/0002-DSB/2018 vom 28.5.2018. Grundlage dieser Entscheidung war ein Löschungsbegehren im Juli 2017. Eine Löschung der Daten des Beschwerdeführers fand bereits 2012 statt, jedoch wurden Vor‑ und Zunahme, Geburtsdatum und Adresse aus „sicher amtsbekannten Gründen“ in einem internen Arbeitsverzeichnis des Verantwortlichen gemäß § 8 Abs 3 Ziffer 5 DSG 2000 gespeichert. Diese Speicherung wäre zur häufigen Kommunikation mit dem Beschwerdeführer sowie zur Sicherstellung keiner Neuaufnahme von dessen Daten notwendig.

Die Datenschutzbehörde hat hier entschieden, dass zwar grundsätzlich Art 17 Abs 3 lit e) DSGVO, wonach zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen einem Löschungsbegehren nicht nachgekommen werden muss, zur Anwendung kommen kann. Der kurze Verweis des Beschwerdegegners auf „sicher amtsbekannte Gründe“ stellt nach Ansicht der Datenschutzbehörde aber keinesfalls einen ausreichenden Beweis dar, um die Erforderlichkeit der Verarbeitung gemäß Art 17 Abs 3 DSGVO zu belegen. Insbesondere die Speicherung der Daten im Hinblick auf eine eventuell zukünftige Kontaktaufnahme mit dem Beschwerdeführer, wenn dieser die Löschung seiner gesamten Daten verlangt und daraus zu schließen ist, dass eine derartige Kommunikation nicht mehr erfolgen wird, ist gemäß Art 17 Abs 1 lit a) DSGVO nicht notwendig. Zusätzlich stellt die zeitlich unbegrenzte Speicherung personenbezogener Daten für eine eventuell zukünftige Kontaktaufnahme eine Verletzung des Grundsatzes der Speicherbegrenzung nach Art 5 Abs 1 lit e) DSGVO dar.

Nach einer durchgeführten Datenlöschung und einem allfälligen Bericht darüber an den Betroffenen dürfen nach Ansicht der Datenschutzbehörde auch die minimalen Stammdaten wie Vor‑ und Zuname, Geburtsdatum und Adresse zu Dokumentationszwecken nicht mehr aufbewahrt werden. Im Hinblick auf die oben genannte Entscheidung sollten wohl auch in diesem Zusammenhang abstrakte Verjährungs‑ bzw. Verfolgungsfristen nach dem DSG keine Rolle spielen und würden keine Rechtfertigung für eine weitere Aufbewahrung bestimmter Daten nach einem umfassenden Löschungsbegehren darstellen. Anderes gilt freilich in Bezug auf gesetzliche Aufbewahrungspflichten.

Dieser strengen Beurteilung ist in derartigen Fällen jedoch zu entgegnen, dass sich der Verantwortliche gemäß Art 12 Abs 5 DSGVO vor offenkundig unbegründeten und – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen nach Art 17 DSGVO schützen können muss um nach Art 12 Abs 5 lit a) DSGVO entweder ein angemessenes Entgelt verlangen oder sich nach Art 12 Abs 5 lit b) DSGVO weigern zu können, dem Begehren nachzukommen. Zu diesem Zweck hat der Verantwortliche den Nachweis für den offenbar unbegründeten oder exzessiven Charakter des Antrages zu erbringen.

Wiederholte, wissentlich unbegründete und daher rechtsmissbräuchliche Anträge wären als exzessiv iSd Art 12 Abs 5 DSGVO zu qualifizieren, wie auch die querulatorische oder schikanöse Geltendmachung von Betroffenenrechten (Bäcker in Kühling/Buchner, DSGVO/BDSG2 (2018) Art 12 Rz 37). Diese Qualifikation ist aber vom Verantwortlichen zu beweisen; und zwar gerichtsfest (Heckmann/Paschke in Ehmann/Selmayr, Datenschutzgrundverordnung (2017) Art 12 Rz 49). Das wirft die Frage auf, ab wann mit der „Beweissammlung“ begonnen werden darf. Streng genommen müsste eine Gesamtlöschung dem Betroffenen mitgeteilt werden und danach auch diese Nachricht gelöscht werden. Ein späteres Löschungsbegehren wäre folglich negativ zu beantworten; ebenso ein weiteres. Jedes Mal wäre diese Korrespondenz wiederum zu löschen, da aus dem Begehren des Betroffenen abzuleiten ist, dass keine Daten von ihm gespeichert werden sollen. Das könnte aber ein Betroffener ausnutzen und unzählige schikanöse Anträge stellen. ME muss es daher bereits ab dem ersten Begehren legitim sein, dieses Begehren samt den entscheidenden personenbezogenen Daten des Betroffenen bzw. Antragstellers zum Zweck der Missbrauchsbekämpfung zu speichern; gestützt etwa auf Art 6 Abs 1 lit f) iVm Art 17 Abs 3 lit e) DSGVO. Dies führt zwangsweise zur nachgelagerten Frage der Speicherdauer für diese Informationen. Angelehnt an (den mittlerweile außer Kraft getretenen) § 26 Abs 6 DSG 2000, wonach jährliche Auskunftsbegehren offenbar angemessen sind, wäre eine einjährige Aufbewahrungsdauer wohl zweckmäßig und im Einklang mit dem Prinzip der Speicherbegrenzung nach Art 5 Abs 1 lit e) DSGVO.

Zusammenfassung

Aus den zitierten jüngsten Entscheidungen der Datenschutzbehörde ist – nicht gerade überraschend – die praktische Bedeutung der Aufbewahrungsdauer ersichtlich, aber auch, dass die Datenschutzbehörde ganz im Sinne der DSGVO das Prinzip der Speicherbegrenzung nach Art 5 Abs 1 lit e) DSGVO sowie das Recht auf Löschung nach Art 17 DSGVO sehr streng (iSv betroffenenfreundlich) auslegt. Bedeutsam ist insbesondere die strenge Beurteilung der Speicherfristen und des Umfangs der von den einzelnen anzuwendenden Fristen erfassten Datenarten. Verjährungsfristen eignen sich demnach nicht als pauschale Rechtfertigung der weiteren Speicherung personenbezogener Daten nach Erreichung des Zwecks, für den sie verarbeitet wurden. Auch sollte einem (berechtigten) Gesamtlöschungsbegehren jedenfalls in erster Instanz zur Gänze nachgekommen werden. Die Speicherung von Löschungsanträgen zum Zweck der Beweissammlung zum Nachweis offenbar unbegründeter oder exzessiver Anträge muss aber mE in gewissem Umfang zulässig sein.