1 254 Table of Contents 256 260

FONDS professionell Österreich, Ausgabe 1/2019

te. Neben Name, Adresse oder SIM-Daten waren das unter anderem Nationalität, Ge- burtsort sowie Pass- und Kontoinformationen. Die DSB bestätigte im Mai 2018 eine uner- laubt lange Speicherung und sah das Recht der Kundin auf Geheimhaltung verletzt. In der Folge wies die Behörde das Unternehmen an, dass es Stammdaten (Name, Adresse, Teilneh- mernummer, Vertragsinhalt, Bonität) längstens sieben Jahre aufheben darf (das Unternehmen plante zehn Jahre). Für die Verkehrsdaten (etwa Ruf- und Standortdaten) genauso wie für alle anderen personenbezogenen Infos verlangte die DSB unter Verweis auf die DSGVO eine sofortige Löschung. Während Telekom-Unternehmen mit einer Löschung von Kundendaten vergleichsweise gut leben können, ist das Thema Speicherdau- er für den Finanzbereich eher brisant. Doku- mentation und langjährige Aufbewahrung sind heute die obersten Grundsätze in der Vermitt- lung und Beratung: Nach diversen Produkt- flops und Anlageskandalen, bei denen Kun- den viele Jahre nach Vertragsabschluss eine Fehlberatung geltend machten, sind Finanz- dienstleister in diesem Punkt sehr vorsichtig. Wäre man gezwungen, Daten frühzeitig zu löschen, könnte man Jahre später in Beweis- notstand geraten. Beunruhigt zeigt sich Fachjurist Novotny über die Argumente, mit denen die Behörde die Motive des Unternehmens abschmettert. Im Wesentlichen sind Stammdaten gemäß Telekomgesetz nach Vertragsende zu löschen – es sei denn, sie sind nötig, um weitere Ver- pflichtungen zu erfüllen. Die Telekom-Firma hatte vor der DSB argumentiert, dass sie die Stammdaten für zehn Jahre speichern wird, weil man nach der Bundesabgabenordnung (BAO, § 207) unter Umständen innerhalb die- ser Frist steuerlich belangt werden kann. Das ließ die DSB nicht gelten: Aus einer Verjäh- rungsfrist lasse sich keine Aufbewahrungs- pflicht ableiten, entschied die Behörde. Und ihre Sicht ist von anerkannter Seite hinterlegt: „Auch der Verfassungsgerichtshof geht in sei- ner jüngeren Rechtsprechung davon aus, dass die weitere Aufbewahrung von Daten durch ein sich konkret abzeichnendes Verfahren ge- rechtfertigt sein muss. Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hin- gegen nicht aus“, heißt es in dem DSB- Spruch. Geht es nach der Behörde, darf das Unternehmen Stammdaten höchstens so lang speichern, wie es gesetzlich muss: Hier ver- weist die DSB ausdrücklich auf § 132 Abs. 1 der Bundesabgabenordnung, wonach Auf- zeichnungen für Steuerangelegenheiten sieben Jahre aufzubewahren sind. Die Begründung, dass nur bei bereits dro- hendem Verfahren die Speicherung über die- sen Pflichtrahmen hinaus rechtens wäre, ist heikel für Vermittler und Berater, die ihre Un- terlagen mit dem Horizont einer 30-jährigen absoluten Verjährungsfrist für Schadensersatz- ansprüche aufheben. Wenn man personenbe- zogene Daten wie das Beratungsprotokoll nach sieben Jahren löschen müsste, wäre das bedenklich, da man sich bei Spätschäden nur schwer gegen Anschuldigungen „freibewei- sen“ kann, so Novotny im Gespräch. Zwar geht Novotny davon aus, dass die DSB aufgrund unterschiedlicher Gesetzesma- terien das Telekom-Urteil nicht 1:1 auf den Finanzbereich umlegen würde. Wirklich wis- sen könne man das aber erst, wenn es den ers- ten Spruch dazu gibt. Bisher sind im Rechts- informationssystem (RIS) 24 DSB-Entschei- dungen veröffentlicht, darunter keine, die Ver- mittler oder Vermögensberater direkt betrifft. Und insgesamt betreffen nur drei Urteile die Speicherdauer. Novotny empfiehlt weiter eine exakte Dokumentation und Aufbewahrung. Sicherheitshalber könne man sich auch die Zustimmung des Kunden holen, die Daten bis zur Verjährungsfrist speichern zu dürfen. Bei der Wirtschaftskammer zeigt man sich ebenfalls überzeugt, dass das Urteil in anderen Branchen anders aussehen würde. Dagmar Hartl-Frank, Referentin beim Fachverband der Finanzdienstleister, sagt, der DSB-Spruch habe an den Dokumentationsempfehlungen nichts geändert. Sie verweist auf die Leitfäden auf der WKO-Homepage. Vor allem rät Hartl- Frank, das verpflichtende Verarbeitungsver- zeichnis korrekt zu führen: In diesem muss die Datenspeicherung dokumentiert und der Grund dafür angegeben werden. Das Register gilt im Fall einer Prüfung als der erste „Blick- fang“ für die DSB. Hartl-Frank mahnt gerade angesichts des Urteils dazu, eine solide Rechtsgrundlage für die Verarbeitung anzuge- ben: Ein Einverständnis allein sei bei heiklen und langfristigen Themen jedenfalls „eine schlechte Rechtsgrundlage, weil der Kunde eine Zustimmung jederzeit widerrufen kann“, so die Referentin. Die erste Entscheidung der DSB bezüglich der Speicherdauer nach DSGVO-Kriterien hat nicht gerade für Klarheit gesorgt. Um ein voll- ständigeres Bild von richtig oder falsch zu erhalten, bleibt den Branchen wohl nichts an- deres übrig, als weitere Entscheidungen abzu- warten. Allen Verunsicherten spendet einst- weilen der aktuelle Newsletter der DSB Trost. Darin heißt es: „Es kann seitens der DSB ver- sichert werden, dass sich kein Verantwort- licher Sorgen machen muss, dass durch eine gegen ihn verhängte Geldbuße seine wirt- schaftliche Existenz gefährdet wird.“ Fazit: Bei der Geldbuße gibt es Zuckerbrot, bei der Rechtsansicht (siehe „Speicherbegrenzung“) kommt möglicherweise die Peitsche. EDITH HUMENBERGER-LACKNER | FP Rechtsanwalt Mag. Stephan Novotny sagt, man müsse DSB-Urteile abwarten, die den Finanzbereich betreffen. Gefürchtet: Der Strafrahmen Was die DSGVO so gefürchtet macht, ist ihr Strafrah- men: Bei Verstößen drohen Verwaltungsstrafen bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Konzernumsatzes des vorangegangenen Geschäftsjahres, je nach dem, was höher ist. • Europaweit wurden seit Inkrafttreten 91 Mal Geldstra- fen verhängt , geht aus einem Bericht der globalen Anwaltskanzlei DLA-Piper hervor. • Die höchste Strafe betraf Google mit 50 Millionen Euro . Nach der DSGVO wären im Fall von Google bis zu 3,7 Milliarden Euro möglich gewesen. • In Österreich liegt die bisher verhängte Höchststrafe bei 4.800 Euro für eine Videoüberwachung von Teilen eines Gehsteigs (Stand Jänner 2019). • Bei der österreichischen Datenschutzbehörde DSB langten innert des ersten halben Jahres nach Inkraft- treten rund 750 Beschwerden ein, das sind mehr als im gesamten Jahr 2017 (489). Quelle: FONDS professionell » Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht (...) nicht aus. « Urteil der Datenschutzbehörde (DSB) 255 www.fondsprofessionell.at | 1/2019

RkJQdWJsaXNoZXIy ODI5NTI=