Immer wieder taucht die Frage auf, ob personenbezogene Daten zur Abwehr von Schadenersatzansprüchen bis zur absoluten Verjährungsfrist von 30 Jahren aufbewahrt und gespeichert werden dürfen. Nachdem darauf weder die DSGVO noch die nationalen Gesetze eine klare Antwort geben, gilt es, das Für und Wider im konkreten Einzelfall abzuwägen. Denn für das Speichern, also Verarbeiten im Sinne der DSGVO, wird eine gültige Rechtsgrundlage benötigt.
Denkbar sind grundsätzlich zwei Rechtsgrundlagen: das berechtigte Interesse des Verantwortlichen oder eine Einwilligung der betroffenen Person, also des Kunden. Gesetzeskonform im Sinne der DSGVO ist jedoch nur eine davon.
Einwilligung stellt keine geeignete Rechtsgrundlage dar
„Eine Einwilligung zur Aufbewahrung der Daten im Falle zum Beispiel schadenersatzrechtlicher Verjährungsfristen (nach § 1489 ABGB) ist fragwürdig und in den meisten Fällen ohnehin nicht zweckmäßig“, bestätigt Mag. Ursula Illibauer von der Wirtschaftskammer Österreich, Bundessparte Information und Consulting.
Eine Einwilligung, die – nebenbei erwähnt – keinesfalls in den Allgemeinen Geschäftsbedingungen oder einem Beratungsprotokoll „versteckt“ werden dürfte, kann vom Betroffenen jederzeit wiederrufen werden. Genau das würde wohl ein (Ex-)Kunde tun, sobald er einen möglichen Schaden erkennt beziehungsweise bevor er eine Klage einbringt. Verständlicher Weise würde der (Ex-)Kunde beim Widerruf seiner Einwilligung den wahren Grund (nämlich die bevorstehende Klage) für sich behalten. Die Folge wäre, dass der Verantwortliche (Finanzdienstleister bzw. potentiell Beklagte) ahnungslos genau jene Daten und Informationen vernichten müsste, mit denen er oder sie sich möglicherweise freibeweisen kann.
Dazu kommt, dass eine Einwilligung dem Grundsatz zur Datenminimierung entgegen stehen könnte. Dieser Grundsatz zur Datenminimierung steht über einer Einwilligung, und kann daher auch mit einer pauschalen, zustimmenden Willenserklärung der betroffenen Person zum Speichern nicht ausgehebelt werden. Ganz abgesehen davon, dass wohl niemand am Ende eines erfolgreichen Verkaufsgespräches zum Kunden sagen möchte: „Vielen Dank für Ihr Vertrauen, lieber Kunde, und jetzt bitte noch Ihre Einwilligung zur Datenspeicherung – nur für den Fall, dass sie mich einmal wegen eines Schadenersatzanspruches verklagen wollen.“
Berechtigtes Interesse ist die wirksame Rechtsgrundlage für das Speichern
Für das Aufbewahren von personenbezogenen Daten über den Zeitraum von 7 Jahren hinaus – zum Beispiel bis zur absoluten Verjährung von Ansprüchen nach 30 Jahren – stellt viel mehr das berechtigte Interesse des Verantwortlichen eine vertretbare Rechtsgrundlage dar. Das berechtigte Interesse begründet sich im Zweck des Abwehrens von potentiellen Schadensersatzansprüchen, die zum Beispiel ein (Ex-)Kunde auch noch lange nach dem Ende einer Geschäftsbeziehung anmelden kann.
Wir empfehlen daher als Rechtsgrundlage das berechtigte Interesse, über das (zum Beispiel in der Datenschutzerklärung) lediglich informiert werden muss, und das nicht widerrufen werden kann. Dieses berechtigte Interesse muss natürlich gut begründet sein und sollte auf einer dokumentierten Einzelfallabschätzung beruhen.
Dabei gilt es zu berücksichtigen, dass dieses einzelfallbezogene berechtigte Interesse im Sinne der Verhältnismäßigkeit und des Grundsatzes zur Datenminimierung kein Persil-Schein für das Speichern sämtlicher personenbezogener Daten und Informationen sein kann. Lediglich jene Daten und Informationen, die tatsächlich zum Abwehren von Ansprüchen dienen können, dürfen aufbewahrt werden.
Dieser Rechtsmeinung von Mag. Matthias Aichinger und mir folgt nicht nur die Wirtschaftskammer Österreich, Bundessparte Information und Consulting, sondern beispielsweise auch die Kammer der Steuerberater und Wirtschaftsprüfer KSW in ihrem DSGVO-Leitfaden. Diese Auslegung basiert also auf den Überlegungen einer ganzen Gruppe von unabhängigen Datenschutz-Experten. Trotzdem – und das muss uns im Zusammenhang mit den neuen Datenschutz-Vorschriften stets bewusst sein – wird diese Frage letztgültig erst die Datenschutzbehörde im Anlassfall beantworten.
Zurück zur Liste der FAQs