Nachteile für sämtliche Unternehmen in Österreich?
Erstmals nach Geltung der DSGVO ab 25. Mai 2018 hat die österreichische Datenschutzbehörde zur zulässigen Aufbewahrungsdauer von personenbezogenen Daten Stellung genommen. Sind damit die bisherigen Unsicherheiten beseitigt? Nein, warnen Andreas Schütz und Brigitte Sammer, Partner der internationalen Anwaltssozietät Taylor Wessing. Sogar das Gegenteil ist der Fall…
Die Entscheidung ist eigentlich zu den speziellen Datenschutzbestimmungen des Telekommunikations-gesetzes („TKG“) ergangen, doch nimmt die Datenschutzbehörde ausdrücklich auch auf die Begrenzung der Speicherung von personenbezogenen Daten gemäß DSGVO Bezug. Die Aufbewahrung von Daten soll nur so lange zulässig sein, als eine rechtliche Verpflichtung hierzu besteht. Darüber hinausgehende Verjährungsfristen wären für eine längere Speicherung kein Rechtfertigungsgrund.
Sämtliche Unternehmen in Österreich betroffen?
Gilt dies nur für den Telekombereich und somit bei Anwendung des TKG, kann die Wertung der Behörde nachvollzogen werden. Sollten die Aussagen der Datenschutzbehörde aber über den Anwendungsbereich des TKG hinaus Gültigkeit haben – und die Entscheidung ist keineswegs klar in diesem Punkt – hätte dies weitreichende und extrem nachteilige Folgen für sämtliche Unternehmen in Österreich. Für den Datenschutzexperten Andreas Schütz ist die unklare Formulierung sehr bedenklich: „Verantwortlichen wäre damit sogar die Möglichkeit genommen, sich gegen Vorwürfe der Abgabenhinterziehung zu wehren“. Müssten diese nämlich die relevanten Daten nach Ablauf der verpflichtenden Aufbewahrungsfrist in Abgabensachen von 7 Jahren löschen, hätten sie im Fall des Vorwurfs der Abgabenhinterziehung, der bis zu 10 Jahre von der Finanz erhoben werden kann, keinerlei Beweismittel mehr zur Hand.
Ganz generell wären - im ungünstigsten Fall wohl für sämtliche Unternehmen - alle Daten spätestens nach Ablauf der im Unternehmensgesetzbuch geregelten Aufbewahrungspflicht von 7 Jahren zu vernichten. Würden nach Ablauf dieser Frist z.B. Schadenersatzansprüche eines Kunden wegen Lieferung eines schadhaften Produkts oder auch eines Mitarbeiters wegen eines Pensionsschadens aufgrund zu niedriger Gehaltszahlungen erhoben werden (Schadenersatzansprüche können nämlich bis zu 30 Jahre geltend gemacht werden), könnte der Unternehmer auf keinerlei Verteidigungsmittel mehr zugreifen. „Es kann nicht Zweck der DSGVO sein, dass sich (österreichische) Unternehmen nicht sinnvoll innerhalb der gesetzlichen Verjährungsfristen verteidigen können, weil sie keine Beweise mehr haben dürfen – so ein Ergebnis wäre völlig absurd“, so Arbeitsrechts- und Datenschutzexpertin Brigitte Sammer.
Konzept für Datenlöschungen unumgänglich
Eines zeigt die Entscheidung der Datenschutzbehörde nach Ansicht der Experten von Taylor Wessing jedenfalls einmal mehr: Datenschutz darf nicht auf die leichte Schulter genommen werden. Die Dauer der zulässigen Speicherung von Daten wird von der Behörde genau unter die Lupe genommen. Parallel dazu werden von den zuständigen Instanzen noch entsprechende Abgrenzungen zur Speicherdauer zu erwarten sein. Bis dahin muss der Verantwortliche jedoch selbst abschätzen, wie hoch das Risiko von Schäden und Ansprüchen im Laufe der Zeit noch ist und ob er die Daten daher noch benötigen könnte. Nicht zuletzt aufgrund der jüngsten Entscheidung empfehlen die Experten jedenfalls ein gut durchdachtes Konzept für Datenlöschungen und, soweit möglich, eine automatisierte technische Umsetzung.
