DSGVO - Dem Datenschutz ausgeliefert

DSGVO - Dem Datenschutz ausgeliefert

Eine Entscheidung der Datenschutzbehörde kann große Nachteile für Unternehmen bringen: Durch die verpflichtende Löschung von Daten können bei folgenden Rechtsstreitigkeiten wichtige Beweismittel fehlen.

Die einstige Kundin einer Telekom-Gesellschaft äußerte im vergangenen Jahr ein Auskunftsverlangen, um zu erfahren, welche Daten ihr Ex-Betreiber Jahre nach ihrer Kündigung des Vertrags noch über sie gespeichert hatte. Als sie erfuhr, was das Unternehmen da von der SIM-Karten-Nummer bis zu Zahlungsmodalitäten noch alles über sie in seinen Datenbanken liegen hatte, reichte sie eine Beschwerde bei der Datenschutzbehörde ein.

Und die führte nun zur ersten Entscheidung zur Frage der Rechtmäßigkeit von Datenspeicherung seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) - mit weitreichenden Folgen. Die Entscheidung wurde im Rahmen der speziellen Bestimmungen des Telekommunikationsgesetzes (TKG) getroffen.

Die Datenschutzbehörde macht aber bei ihrer Erklärung zur Beschwerde der einstigen Mobilfunkkundin auch einen ausdrücklichen Hinweis auf die neue DSGVO und hält sinngemäß fest: Die Aufbewahrung von Daten kann nur so lange zulässig sein, als eine rechtliche Verpflichtung dazu besteht. Darüber hinausgehende Verjährungsfristen wären für eine längere Speicherung kein Rechtfertigungsgrund. Was so viel bedeutet wie: Alle personenbezogenen Daten müssten nach Ablauf der gesetzlich vorgesehenen Behaltefrist verpflichtend gelöscht werden.

Andreas Schütz, Partner und Datenschutzexperte der internationalen Anwaltssozietät Taylor Wessing, meint dazu: "Sollten die Aussagen der Datenschutzbehörde über den Anwendungsbereich des TKG hinausgehen - und die Entscheidung in diesem Punkt ist keineswegs klar - hätte das weitreichende und extrem nachteilige Folgen für sämtliche Unternehmen in Österreich."

Große Probleme könnten vor allem dann entstehen, wenn Unternehmen, aber auch Freiberufler wie Ärzte oder Architekten plötzlich in einem Rechtsstreit Daten als Beweise vorlegen müssen, diese aber aufgrund der aktuellen Entscheidung der Datenschutzbehörde nach der gesetzlich vorgesehenen Speicherfrist bereits gezwungenermaßen vernichtet haben.

Die Beweisnot

Taylor-Wessing-Datenschutzexperte Schütz beschreibt anhand eines Beispiels, welche Folgen aufgrund der jüngsten Entscheidung der Datenschutzbehörde auftreten können: "Verantwortlichen wäre damit auch die Möglichkeit genommen, sich gegen Vorwürfe der Abgabenhinterziehung zu wehren. Die dafür relevanten Daten müssten dann nämlich nach Ablauf der verpflichtenden Aufbewahrungsfrist in Abgabensachen von sieben Jahren automatisch gelöscht werden. Der Vorwurf einer Steuerhinterziehung seitens der Finanzbehörden kann aber Ereignisse betreffen, die auch zehn Jahre zurückliegen. Dann hätte der Beschuldigte aber keine Beweismittel mehr zur Hand."

Doch nicht nur bei abgabenrechtlichen Streitigkeiten käme es zu Nachteilen für Betriebe durch die verpflichtende Löschung von Daten nach der rechtlich vorgesehenen Aufbewahrungsdauer. Generell wären nach der Entscheidung alle Daten spätestens nach Ablauf der im Unternehmensgesetzbuch geregelten Aufbewahrungsfrist von ebenfalls sieben Jahren zu vernichten. Eine längere Speicherung wäre nach der Entscheidung der Datenschutzbehörde nicht rechtens.

Auch wenn beispielsweise ein Kunde Schadensersatzansprüche wegen der Lieferung eines schadhaften Produkts geltend machen will, könnte es durch diese Regelung zu Schwierigkeiten für den Hersteller kommen. Wurde beispielsweise bei einer Lieferung ein vertraglicher Punkt verletzt, hat ein Kunde noch drei Jahre ab der Kenntnisnahme dieser Vertragsverletzung die Möglichkeit, eine Schadensersatzklage durchzusetzen. Und die Kenntnisnahme des Schadens kann erst lange nach dem Kauf erfolgen. Aber das Unternehmen hat die Daten, die sein rechtmäßiges vertragliches Handeln untermauern würden, bereits vernichten müssen.

Brigitte Sammer, Arbeitsrechts- und Datenschutzexpertin bei Taylor Wessing, meint: "Es kann nicht Zweck der DSGVO sein, dass sich österreichische Unternehmen nicht sinnvoll innerhalb der gesetzlichen Verjährungsfristen verteidigen können, weil sie keine Beweise mehr haben dürfen. So ein Ergebnis wäre völlig absurd." Die Entscheidung der Datenschutzbehörde zeigt nach Ansicht der Experten jedenfalls, dass die Dauer der zulässigen Speicherung von Daten künftig genau unter die Lupe genommen wird. Unternehmen sollten sich dementsprechend darauf vorbereiten.

Das Löschkonzept

Es wird seitens der zuständigen Instanzen wahrscheinlich noch eine genaue Abklärung zu den entsprechenden Speicherfristen und dem Umgang mit bestimmten darüber hinaus länger benötigten Daten geben, vermuten die Rechtsexperten. Bis dahin müssen die Verantwortlichen in Unternehmen selbst abschätzen, wie hoch das Risiko von Schäden und möglichen Ansprüchen im Laufe der Zeit sein kann und wie man daher im Unternehmen mit diesen Daten umgeht.

Tipps für ein Löschkonzept

  1. Kategorisieren: Welche personenbezogenen Daten sollen gespeichert werden?
  2. Zeit festlegen: Ermittlung der dafür geltenden gesetzlichen Aufbewahrungsfrist
  3. Löschregel: Je nach Behaltefrist die automatische Löschung programmieren
  4. eigentliche Löschung: Oft gibt es ein "Handarchiv". Auch das muss gelöscht werden.

Es gilt jedoch zu beachten, dass die DSGVO Strafen von bis zu vier Prozent des weltweiten Umsatzes und maximal 20 Millionen Euro vorsieht. Um die fristkonforme Löschung gegenüber der Datenschutzbehörde dokumentieren zu können, sollten Unternehmen ein umfassendes Löschkonzept erstellen.


Rechtssicherheit für Daten in der Cloud

Wenn Daten in Ländern außerhalb der EU gespeichert werden, kann das im Streitfall zu Problemen führen

  • Bei der Auswahl des Cloud-Anbieters sollte darauf geachtet werden, in welchen Ländern und damit nach welchen Gesetzen die Daten gespeichert werden. Wenn personenbezogene Daten außerhalb der Europäischen Union gespeichert werden, birgt das Konfliktpotenzial. Die meisten außereuropäischen Länder haben ein weniger strenges Rechtssystem zum Schutz personenbezogener Daten. Das kann dazu führen, dass bei einem Verfahren unterschiedliche Rechtssysteme zur Anwendung kommen.
  • Zwischen der EU und den USA besteht zwar das "Privacy Shield"-Abkommen, das den Schutz personenbezogener Daten, die aus einem EU-Land in die USA übertragen werden, regelt, allerdings ist auch die ähnliche "Safe Harbour"-Regelung in den USA bereits gerichtlich zu Fall gebracht worden. Große Cloud-Server-Provider, auch aus den USA, haben daher Cloud-Rechenzentren an europäischen Standorten eingerichtet.
  • Diese Anbieter garantieren ihren Kunden, dass deren Daten in einem Datacenter vorwiegend in Deutschland oder einem anderen EU-Mitgliedsland gespeichert werden. Das hat den Vorteil, dass die Vorgaben der Datenschutz-Grundverordnung eingehalten werden. Die Kosten für die Datenspeicherung in diesen europäischen Centern sind zwar teurer, bieten aber bei einem Streitfall eine höhere Rechtssicherheit.

Mehr zum Thema

DSGVO - Datenschutz-Verordnung 2018

Die Europäische Datenschutz-Grundverordnung (DSGVO) bringt eine weitgehende Vereinheitlichung des bisher durch die nationalen Datenschutzgesetze der 28 Mitgliedstaaten geregelten Datenschutzrechts. Und stellt Unternehmen vor die Aufgabe, ihre betriebliche Organisation, Geschäftsprozesse, Verträge und die Speicherung der Daten den neuen Rahmenbedingungen anzupassen.

Im Themenspecial "DSGVO - Datenschutz-Verordnung 2018" fasst der trend die wichtigsten Informationen zusammen.


Der Artikel ist dem trend-Rechtsanwaltsguide 2018 - Beilage zur trend-Ausgabe 36/2018 vom 7. September 2018 entnommen.

Digital

BAWAG P.S.K. sammelt per Mausklick Spenden ein

Digital Savannah: Tech-Kontinent Afrika

Silicon Savannah - das digitale Afrika

Digital

WU Wien bekommt Millionen für die Blockchain