Aktuelle Entscheidungen
Beitrag verfasst von Dr. Rainer Knyrim am 18.9.2018 – KTR-Newsletter Sept 2018
Auskunftsersuchen – nicht exzessiv
Mittlerweile ist auch die erste Entscheidung zum Auskunftsrecht unter der DSGVO publik gemacht worden, die RA Mag. Alexander Nessler, LL.M, ständiger Kooperationspartner unserer Kanzlei, im aktuellen Heft der Dako erläutert.
Es ging in dieser Entscheidung um die Frage ob ein Bankkunde seine eigenen Kontoauszüge die letzten 5 Jahre zurück im Rahmen des Auskunftsrechts der DSGVO erhalten könne, wenn diese für ihn nicht mehr online abrufbar sind und ob die Bank dafür pro Jahr EUR 30,- als Bearbeitungsaufwand verlangen kann. Die DSB entschied, dass dieses Auskunftsersuchen nicht exzessiv sei und keine Kosten dafür verlangt werden dürfen. Diese Entscheidung ist noch nicht rechtskräftig, da die Bank dagegen Beschwerde erhoben hat. Siehe Dako 2018/46 oder in der RDB.
Speicherfristen – nicht zu lange
Im Sommer wurde im Rechtsinformationssystem eine Entscheidung der DSB veröffentlicht, die schon zur Rechtslage nach DSGVO ergangen ist und bereits rechtskräftig ist weil sie vom Unternehmen nicht bekämpft wurde. Die Entscheidung könnte eine Adaptierung der in Ihrem Unternehmen allenfalls bereits festgelegten und umgesetzten Speicherfristen und der diesbezüglichen Informationen an die betroffenen Personen nach Art 13, 14 DSGVO notwendig machen. Betroffen sind Speicherfristen, die auf gesetzliche Verjährungsfristen abstellen und auch solche, die etwa einen Postlauf oder interne administrative Prozesse in die Berechnung einbeziehen.
In dem Bescheid hält die Datenschutzbehörde zunächst fest, dass die zehnjährige Frist des § 207 Abs 2 BAO lediglich eine Verjährungsfrist, nicht hingegen eine konkrete Verpflichtung zur Aufbewahrung von Daten normiert. Anders verhält es sich mit § 132 Abs 1 BAO, der eine Aufbewahrungspflicht von Büchern und Aufzeichnungen für sieben Jahre normiert und somit den Vorgaben der Speicherbegrenzung nach Art 5 Abs 1 lit e DSGVO entspricht. Die weitere Aufbewahrung von Daten muss durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein. Die bloße Möglichkeit, dass in Zukunft ein Verfahren eingeleitet wird, reicht hingegen nicht aus.
Nach Ansicht der Datenschutzbehörde dürfen Bücher und Aufzeichnungen sowie Belege zu steuerrechtlichen Zwecken daher maximal sieben Jahre gespeichert werden. Darüber hinaus sind Daten nach § 132 Abs 1 BAO noch so lange aufzubewahren, als sie für die Abgabenerhebung betreffende anhängige Verfahren von Bedeutung sind. Eine Speicherdauer von zehn Jahren oder für potenzielle Verfahren, die sich nicht konkret abzeichnen, ist nach Ansicht der Datenschutzbehörde hingegen unzulässig. Nach Ansicht der Datenschutzbehörde rechtfertigen weiters weder ein allfälliger Postlauf noch interne Prozesse eine längere Speicherung der Daten.
Wir empfehlen daher dringend, im Zuge der DSGVO-Vorbereitung erstellte interne Richtlinien und Speicher- bzw. Löschkonzepte im Hinblick auf die Entscheidung nochmals durchzuarbeiten, insbesondere hinsichtlich der Aufbewahrungsdauer von Buchhaltungsunterlagen, aber ebenso die Speicherdauern etwa von Bewerberdaten oder hinsichtlich Verjährungsfristen nochmals intern zu diskutieren. Nähere Informationen und rechtliche Überlegungen unsererseits zu dieser Entscheidung stellen wir auf Anfrage gerne zur Verfügung.
Beide Entscheidungen zeigen, dass die Datenschutzbehörde die DSGVO offensichtlich inhaltlich sehr streng auslegt.
Diese und weitere aktuelle Entscheidungen werden in den unten genannten Seminaren inhaltlich näher besprochen werden und die Konsequenzen diskutiert werden.