Als einen der Datenschutzgrundsätze normiert Art 5 lit e DSGVO den Grundsatz der Speicherbegrenzung: Sobald die Aufbewahrung für den Verarbeitungszweck nicht mehr erforderlich ist, sind personenbezogene Daten zu löschen, zu vernichten oder durch Anonymisierung bzw wirksame Pseudonymisierung so zu verändern, dass die Identifizierung der betroffenen Person nicht mehr möglich ist. Ausnahmen dazu bestehen nur für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke.
Korrespondierend mit diesem Grundsatz, haben betroffene Personen das Recht auf Löschung ihrer personenbezogenen Daten, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art 17 DSGVO). Als Ausnahme normiert die DSGVO etwa die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Verletzt der Verantwortliche das Recht auf Löschung, steht es der betroffenen Person frei, Beschwerde bei der Aufsichtsbehörde zu erheben. Seit der Anwendbarkeit der DSGVO wurden zwei Entscheidungen veröffentlicht, in denen sich die Datenschutzbehörde mit dem Grundsatz der Speicherbegrenzung beschäftigte.
In der Entscheidung zu DSB-D216.580/0002-DSB/2018 vom 28.5.2018 hielt die Behörde fest, dass eine zeitliche unbegrenzte Speicherung von personenbezogenen Daten für eine eventuell künftige Kontaktaufnahme eine Verletzung des Grundsatzes der Speicherbegrenzung darstellt. Rechtfertigende Gründe für eine fortgesetzte Datenspeicherung bzw eine Ausnahme vom Recht auf Löschung sah die Behörde zudem nicht verwirklicht. Aus heutiger Sicht ist davon auszugehen, dass die normierten Ausnahmetatbestände daher eng auszulegen sein werden. Lehnt ein Verantwortlicher die Löschung personenbezogener Daten deshalb ab, weil sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind, ist die Datenverarbeitung jedenfalls auf das notwendige Maß – auch in zeitlicher Hinsicht – zu beschränken. Eine Datenverarbeitung, die dieses Maß überschreitet, ist unrechtmäßig und das Löschbegehren der betroffenen Person berechtigt.
In der Entscheidung zu DSB-D216.471/0001-dSB/2018 vom selben Tag setzte sich die Behörde mit der Frage auseinander, ob eine längere Aufbewahrungsdauer der personenbezogenen Daten, auch über die Beendigung der Vertragsverhältnisse und somit über die Zweckerreichung hinaus, gerechtfertigt ist. Zusammengefasst kam die Behörde zu dem Schluss, dass Verjährungsfristen (hier: § 207 Abs 2 BAO) grundsätzlich nicht dafür herangezogen werden können, gesetzliche Aufbewahrungspflichten (hier: § 97 Abs 2 TKG 2003) zu verlängern. Die weitere Aufbewahrung von Daten muss durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein. Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus. Ebenso wenig ist es nach Ansicht der Datenschutzbehörde zulässig, die Speicherdauer um allfällige Postlaufzeiten bzw interne Prozesse zu verlängern. Aufgrund der Aufbewahrungspflichten in der Bundesabgabenordnung und im Telekommunikationsgesetz ist die Beschwerdegegnerin berechtigt, die Stammdaten der betroffenen Person für eine Dauer von sieben Jahren (§ 132 Abs 1 BAO) und deren Verkehrsdaten für die Dauer von längstens drei Monaten bzw der im TKG 2003 normierten Einspruchsfrist zu speichern. Personenbezogene Daten, deren Aufbewahrung keine gesetzliche Deckung findet, dürfen nicht über den Vertragszeitraum hinaus gespeichert werden.
Im Lichte dieser beiden Entscheidungen empfehlen wir, die im Verarbeitungsverzeichnis enthaltenen Fristen für die Löschung zu überprüfen bzw die Speicher- und Löschkonzepte differenziert nach Kategorien personenbezogener Daten auszuarbeiten bzw weiter zu verfeinern.
Mag. Claudia Fleischhacker-Hofko