Ihr Premium Partner für Informationssicherheits-, Datenschutz- und Risikomanagementberatung
NEWS 03.09.2018
Rechtskräftige Entscheidungen der österreichischen Datenschutzbehörde
03. September 2018
Die Datenschutzbehörde hat bereits seit Inkrafttreten der Datenschutz Grundverordnung (DSGVO) einige Bescheide auf Grundlage der neuen datenschutzrechtlichen Rechtslage erlassen.
Erster Bescheid von österreichischen Datenschutzbehörde zum Recht auf Auskunft gem. Art 15 DSGVO nach in Kraft treten der Datenschutz-Grundverordnung
(GZ: DSB-D122.844/0006-DSB/2018)
Gegenstand der Beschwerde:
Ein Kontoinhaber eines österreichischen Bankinstituts begehrte Einsicht, hinsichtlich aller von ihm getätigten Überweisungen der letzten 5 Jahre. Dies wurde ihm nur für ein Jahr zurückliegende Kontoauszüge gewährt. Für die weiteren Auszüge wurde ihm eine Gebühr von 30 Euro verhängt. Daraufhin stellte dieser ein Auskunftsbegehren und erhielt keine dementsprechende Antwort vom Institut. In Folge dessen, nahm er sein Beschwerderecht gem. Art 77 DSGVO bei der Datenschutzbehörde in Anspruch.
Entscheidung der Datenschutzbehörde:
Die Datenschutzbehörde stellte fest, dass die Bank das Recht auf Auskunft gem. Art 15 DSGVO verletzt hat und führte aus, dass die Auskunft über die Verarbeitung von personenbezogenen Daten jedem Betroffenen kostenlos zur Verfügung gestellt werden muss. Darüber hinaus hat das Bankinstitut die gesetzliche Frist von 4 Wochen zur Beantwortung der Anfrage überschritten. Weiters stellte die österreichische Datenschutzbehörde fest, dass das Auskunftsbegehren des Beschwerdeführers nicht exzessiv gestellt wurde.
Unternehmen sollten folgende Punkte beim Recht auf Auskunft beachten
-
Identitätsfeststellung der anfragenden Person
-
Frist zur Beantwortung 4 Wochen. Mögliche Fristverlängerung um weitere 4 Wochen, wenn der Aufwand unverhältnismäßig ist und dies argumentiert wird und der anfragenden Person mitgeteilt wird
-
Auskunftsbegehren beantworten auch wenn KEINE personenbezogenen Daten von der anfragenden Person verarbeitet werden (Negativauskunft)
-
Dokumentation des Auskunftsbegehren!
Bescheid der Datenschutzbehörde zur Aufbewahrung von personenbezogenen Daten
(GZ: DSB-DD216.471/0001-DSB/2018)
Gegenstand der Beschwerde:
Die Kundin eines Telekommunikationsanbieters beschwerte sich bei der Datenschutzbehörde, dass ihre personenbezogenen Daten über die gesetzlichen Aufbewahrungsfristen hinaus aufbewahrt werden und dies nicht dem datenschutzrechtlichen Grundsatz der Speicherbegrenzung entspricht. Die Datenschutzbehörde hatte darüber zu entscheiden, ob das Recht auf Geheimhaltung der Beschwerdeführerin durch den Beschwerdegegner verletzt wurde.
Entscheidung der Datenschutzbehörde:
Die Datenschutzbehörde stellte fest, dass die Datenverarbeitung des Beschwerdegegners rechtswidrig war und der rechtskonforme Zustand binnen angemessener Frist umzusetzen ist. Daraufhin erließ die Datenschutzbehörde einen Bescheid, der für viele Unternehmen von großer Bedeutung ist:
Unternehmen werden in die Pflicht genommen, die bereits definierten Speicherfristen für personenbezogene Daten und die diesbezüglichen Informationspflichten an die betroffenen Personen nach Art 13, 14 DSGVO zu überprüfen und gegebenenfalls anzupassen.
Steuerrechtlichen Aufbewahrungsfristen:
Die Aufbewahrungsfrist von § 132 Abs 1 BAO von sieben Jahren stellt eine konkrete Verpflichtung zur Aufbewahrung von Büchern und Aufzeichnungen dar und fällt aufgrund dessen unter den Grundsatz der Speicherbegrenzung ( gem. Art 5 Abs 1 lit e DSGVO). Eine längere Aufbewahrung der entsprechenden personenbezogenen Daten ist nur gerechtfertigt, wenn bereits ein Verfahren anhängig ist und aus Beweisgründen die Daten länger aufbewahrt werden müssen. Hinzu kommt laut Datenschutzbehörde, dass die zehnjährige Frist gem. § 207 Abs 2 BAO eine Verjährungsfrist darstellt, jedoch daraus keine Pflicht zur Datenaufbewahrung zu ersehen ist.
Allgemein Bürgerliches Gesetzbuch Aufbewahrungsfristen:
Die Datenschutzbehörde stellt in diesem Bescheid klar, dass die Verjährungsfristen nach dem ABGB als Rechtfertigung zur Speicherung von personenbezogenen Daten nicht heranzuziehen ist, weil diese keine Verpflichtung zur Aufbewahrung darlegen. Die Aufbewahrung kann nach Ansicht der Datenschutzbehörde nicht hinsichtlich möglicher Verfahren gerechtfertigt werden.
Zusätzlich weist der Bescheid daraufhin, dass Postläufe oder interne Prozesse keine berechtigten längeren Aufbewahrungsfristen legitimieren.
Trotz alledem müssen wir darauf hinweisen, dass man sich bei nicht rechtskonformer Umsetzung einer Strafe der Datenschutzbehörde aussetzt. Wir raten dazu, das erstellte Verzeichnis von Verarbeitungstätigkeiten hinsichtlich der Aufbewahrungsfristen anhand der einzelnen Verarbeitungstätigkeiten zu überprüfen und gegeben falls anzupassen. Sollten die erfolgten Informationen gem. Art 13, 14 DSGVO bezüglich der Speicherbegrenzung an betroffene Personen falsch angeführt sein, so sind diese richtig zu stellen.
Bescheid der Datenschutzbehörde zur Aufbewahrung von Bewerberdaten
(GZ: DSB-D123.085/0003-DSB/2018)
Gegenstand der Beschwerde:
Eine natürliche Person nahm das Recht auf Löschung gem. Art 20 DSGVO in Anspruch, um die Löschung seiner personenbezogenen Daten aus der Bewerberdatenbank der Beschwerdegegnerin zu begehren. Die Beschwerdegegnerin lehnte das Löschbegehren ab mit der Argumentation, dass die Daten aufbewahrt werden um sich gegen einen Anspruch gemäß § 26 Abs. 1 GlBG verteidigen zu können bzw. um im Rahmen eines Verfahrens nach dem GlBG begründen zu können, weshalb keine Diskriminierung iSv § 17 Abs. 1 Z 1 GlBG vorliegt.
Entscheidung der Datenschutzbehörde:
Die Datenschutzbehörde stellte fest, dass Bewerberdaten für den Zweck von etwaigen Rechtsansprüchen wegen Diskriminierung für einen Zeitraum von 6 Monaten aufbewahrt werden können.
Darüber hinaus können Bewerberdaten für einen angemessenen Zeitraum für einen potentiellen Klageweg aufbewahrt werden, wenn der Verantwortliche genau darlegen kann, welche konkreten Verfahren auf welcher Grundlage anhängig gemacht werden könnten und wenn er die Notwendigkeit der Aufbewahrung argumentieren kann.
Wir raten dazu, hinsichtlich der Aufbewahrung von Bewerberdaten über den gesetzliche Aufbewahrungsfrist hinaus, die Angemessenheit und Verhältnismäßigkeit im Verzeichnis von Verarbeitungstätigkeiten darzulegen. Somit kann man im Falle einer Prüfung der Datenschutzbehörde die Argumentation nachweislich vorweisen. (Grundsatz der Rechenschaftspflicht gem. Art 5 Abs 2 DSGVO)
Bescheid der Datenschutzbehörde zur Aufbewahrung von Bewerberdaten
(GZ: DSB-D123.085/0003-DSB/2018)
Gegenstand der Beschwerde:
Eine natürliche Person nahm das Recht auf Löschung gem. Art 20 DSGVO in Anspruch, um die Löschung seiner personenbezogenen Daten aus der Bewerberdatenbank der Beschwerdegegnerin zu begehren. Die Beschwerdegegnerin lehnte das Löschbegehren ab mit der Argumentation, dass die Daten aufbewahrt werden um sich gegen einen Anspruch gemäß § 26 Abs. 1 GlBG verteidigen zu können bzw. um im Rahmen eines Verfahrens nach dem GlBG begründen zu können, weshalb keine Diskriminierung iSv § 17 Abs. 1 Z 1 GlBG vorliegt.
Entscheidung der Datenschutzbehörde:
Die Datenschutzbehörde stellte fest, dass Bewerberdaten für den Zweck von etwaigen Rechtsansprüchen wegen Diskriminierung für einen Zeitraum von 6 Monaten aufbewahrt werden können.
Darüber hinaus können Bewerberdaten für einen angemessenen Zeitraum für einen potentiellen Klageweg aufbewahrt werden, wenn der Verantwortliche genau darlegen kann, welche konkreten Verfahren auf welcher Grundlage anhängig gemacht werden könnten und wenn er die Notwendigkeit der Aufbewahrung argumentieren kann.
Wir raten dazu, hinsichtlich der Aufbewahrung von Bewerberdaten über den gesetzliche Aufbewahrungsfrist hinaus, die Angemessenheit und Verhältnismäßigkeit im Verzeichnis von Verarbeitungstätigkeiten darzulegen. Somit kann man im Falle einer Prüfung der Datenschutzbehörde die Argumentation nachweislich vorweisen. (Grundsatz der Rechenschaftspflicht gem. Art 5 Abs 2 DSGVO)