Mit der seit Mai 2018 gültigen EU-Richtlinie Datenschutz-Grundverordnung (DSGVO) haben die Datenschutzwächter ein mächtiges Instrument, um Datenschutzverletzungen streng zu verfolgen. Anfang des Jahres hat die französische Datenschutzbehörde CNIL über den IT-Riesen Google eine Strafe von 50 Millionen Euro verhängt.

Interessantes Detail: Dem Google-Schuldspruch lagen zwei Beschwerden zugrunde, die vom österreichischen Verein noyb gemeinsam mit der französischen NGO "La Quadrature du Net" eingebracht wurden. Dass ausgerechnet eine österreichische Organisation mit der DSGVO derart schnell Sanktionen erwirkt, entbehrt nicht einer gewissen Ironie. Denn hierzulande wurde die Verordnung so umgesetzt, dass die Datenschutzbehörde gemäß § 11 Datenschutzgesetz zuerst warnt, bevor sie straft – und diese Großzügigkeit widerspricht eigentlich der EU-Vorschrift.

Was das Strafausmaß betrifft, ließ die österreichische Datenschutzbehörde seit Inkrafttreten der DSGVO mit einer maximal verhängten Geldbuße von 4.800 Euro eindeutig Milde walten (Stand Ende Jänner 2019). Wenn es hingegen um die Qualität der gesprochenen Urteile geht, war die DSB keineswegs moderat, finden viele.

Speichern nur bei Klagsdrohung?
"Das erste Urteil der DSB auf Grundlage der DSGVO zur Dauer der Datenspeicherung war sehr streng", kritisiert Stephan Novotny, Anwalt mit Expertise für Versicherungsrecht und DSGVO. Das Urteil, das Novotny anspricht, betraf eine Telekom-Firma und wurde schon im Vorjahr gesprochen. Unter anderem entschied die Datenschutzbehörde (DSB): Das Unternehmen darf Daten nicht mit der Begründung speichern, dass später ein Verfahren drohen könnte. Würde die DSB dieses Urteil auf Banken, Versicherungen, Wertpapierfirmen, Berater und Vermittler umlegen, hätte das unerfreuliche Konsequenzen.

In dem konkreten Fall reichte eine Ex-Kundin im Juli 2017 Beschwerde bei der DSB ein, weil ihr ehemaliger Telekom-Anbieter nach Vertragskündigung (2015) noch umfangreiche Informationen über sie gespeichert hatte. Neben Name, Adresse oder SIM-Daten waren das unter anderem Nationalität, Geburtsort sowie Pass- und Kontoinformationen. Die DSB bestätigte im Mai 2018 eine unerlaubt lange Speicherung und sah das Recht der Kundin auf Geheimhaltung verletzt. In der Folge wies die Behörde das Unternehmen an, dass es Stammdaten (Name, Adresse, Teilnehmernummer, Vertragsinhalt, Bonität) längstens sieben Jahre aufheben darf (das Unternehmen plante zehn Jahre). Für die Verkehrsdaten ­(etwa Ruf- und Standortdaten) genauso wie für alle anderen personenbezogenen Infos ­verlangte die DSB unter Verweis auf die DSGVO eine sofortige Löschung.

Beweisnotstand
Während Telekom-Unternehmen mit einer Löschung von Kundendaten vergleichsweise gut leben können, ist das Thema Speicherdauer für den Finanzbereich eher brisant. Dokumentation und langjährige Aufbewahrung sind heute die obersten Grundsätze in der Vermittlung und Beratung: Nach diversen Produktflops und Anlageskandalen, bei denen Kunden viele Jahre nach Vertragsabschluss eine Fehlberatung geltend machten, sind Finanzdienstleister in diesem Punkt vorsichtig. Wäre man gezwungen, Daten frühzeitig zu ­löschen, könnte man Jahre später in Beweisnotstand geraten.

Beunruhigt zeigt sich Fachjurist Novotny über die Argumente, mit denen die Behörde die Motive des Unternehmens abschmettert. Im Wesentlichen sind Stammdaten gemäß ­Telekomgesetz nach Vertragsende zu löschen – es sei denn, sie sind nötig, um weitere Verpflichtungen zu erfüllen. Die Telekom-Firma hatte vor der DSB argumentiert, dass sie die Stammdaten für zehn Jahre speichern wird, weil man nach der Bundesabgabenordnung (BAO, § 207) unter Umständen innerhalb dieser Frist steuerlich belangt werden kann. Das ließ die DSB nicht gelten: Aus einer Verjährungsfrist lasse sich keine Aufbewahrungspflicht ableiten, entschied die Behörde.

Möglichkeit eines Verfahrens reicht nicht
Und ihre Sicht ist von anerkannter Seite hinterlegt: "Auch der Verfassungsgerichtshof geht in seiner jüngeren Rechtsprechung davon aus, dass die weitere Aufbewahrung von Daten durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein muss. Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus", heißt es in dem DSB-Spruch. Geht es nach der Behörde, darf das Unternehmen Stammdaten höchstens so lang speichern, wie es gesetzlich muss: Hier verweist die DSB ausdrücklich auf § 132 Abs. 1 der Bundesabgabenordnung, wonach Aufzeichnungen für Steuerangelegenheiten sieben Jahre aufzubewahren sind.

Die Begründung, dass nur bei bereits drohendem Verfahren die Speicherung über diesen Pflichtrahmen hinaus rechtens wäre, ist heikel für Vermittler und Berater, die ihre Unterlagen mit dem Horizont einer 30-jährigen absoluten Verjährungsfrist für Schadensersatzansprüche aufheben. Wenn man personenbezogene Daten wie das Beratungsprotokoll nach sieben Jahren löschen müsste, wäre das bedenklich, da man sich bei Spätschäden nur schwer gegen Anschuldigungen "freibeweisen" kann, so Novotny im Gespräch.

Zwar geht Novotny davon aus, dass die DSB aufgrund unterschiedlicher Gesetzesmaterien das Telekom-Urteil nicht 1:1 auf den Finanzbereich umlegen würde. Wirklich wissen könne man das aber erst, wenn es den ers­ten Spruch dazu gibt. (eml)


Den vollständigen Artikel lesen Sie ab Seite 254 in der aktuellen Heftausgabe 01/2019 von FONDS professionell. Angemeldete FONDS professionell-KLUB-Mitglieder können den Beitrag auch hier im E-Magazin finden.