Erste Entscheidung der Datenschutzbehörde: Experten warnen vor noch mehr Unsicherheiten

1547
Brigitte Sammer und Andreas Schütz

Erstmals nach Geltung der DSGVO ab 25. Mai 2018 hat die österreichische Datenschutzbehörde zur zulässigen Aufbewahrungsdauer von personenbezogenen Daten Stellung genommen. Sind damit die bisherigen Unsicherheiten beseitigt? Nein, warnen Andreas Schütz und Brigitte Sammer, Partner der internationalen Anwaltssozietät Taylor Wessing. Sogar das Gegenteil ist der Fall …

Die Entscheidung ist eigentlich zu den speziellen Datenschutzbestimmungen des Telekommunikations-gesetzes („TKG“) ergangen, doch nimmt die Datenschutzbehörde ausdrücklich auch auf die Begrenzung der Speicherung von personenbezogenen Daten gemäß DSGVO Bezug. Die Aufbewahrung von Daten soll nur so lange zulässig sein, als eine rechtliche Verpflichtung hierzu besteht. Darüber hinausgehende Verjährungsfristen wären für eine längere Speicherung kein Rechtfertigungsgrund.
Sämtliche Unternehmen in Österreich betroffen?

Gilt dies nur für den Telekombereich und somit bei Anwendung des TKG, kann die Wertung der Behörde nachvollzogen werden. Sollten die Aussagen der Datenschutzbehörde aber über den Anwendungsbereich des TKG hinaus Gültigkeit haben – und die Entscheidung ist keineswegs klar in diesem Punkt – hätte dies weitreichende und extrem nachteilige Folgen für sämtliche Unternehmen in Österreich. Für den Datenschutzexperten Andreas Schütz ist die unklare Formulierung sehr bedenklich: „Verantwortlichen wäre damit sogar die Möglichkeit genommen, sich gegen Vorwürfe der Abgabenhinterziehung zu wehren“. Müssten diese nämlich die relevanten Daten nach Ablauf der verpflichtenden Aufbewahrungsfrist in Abgabensachen von 7 Jahren löschen, hätten sie im Fall des Vorwurfs der Abgabenhinterziehung, der bis zu 10 Jahre von der Finanz erhoben werden kann, keinerlei Beweismittel mehr zur Hand.

Ganz generell wären – im ungünstigsten Fall wohl für sämtliche Unternehmen – alle Daten spätestens nach Ablauf der im Unternehmensgesetzbuch geregelten Aufbewahrungspflicht von 7 Jahren zu vernichten. Würden nach Ablauf dieser Frist z.B. Schadenersatzansprüche eines Kunden wegen Lieferung eines schadhaften Produkts oder auch eines Mitarbeiters wegen eines Pensionsschadens aufgrund zu niedriger Gehaltszahlungen erhoben werden (Schadenersatzansprüche können nämlich bis zu 30 Jahre geltend gemacht werden), könnte der Unternehmer auf keinerlei Verteidigungsmittel mehr zugreifen. „Es kann nicht Zweck der DSGVO sein, dass sich (österreichische) Unternehmen nicht sinnvoll innerhalb der gesetzlichen Verjährungsfristen verteidigen können, weil sie keine Beweise mehr haben dürfen – so ein Ergebnis wäre völlig absurd“, so Arbeitsrechts- und Datenschutzexpertin Brigitte Sammer.

www.taylorwessing.comm
Fotos: beigestellt, Montage