Jusletter IT

Löschpflichten und das Recht auf Vergessenwerden im Unternehmen

  • Author: Maurits Haas
  • Category: Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference Proceedings IRIS 2017, Peer Reviewed – Jury LexisNexis Best Paper Award of IRIS2017
  • Citation: Maurits Haas, Löschpflichten und das Recht auf Vergessenwerden im Unternehmen, in: Jusletter IT 23 February 2017
Unternehmen häufen größer werdende Datenberge an; dies kann aus strategischen Gründen geschehen oder auch schlicht aus Unwissenheit. Der vorliegende Beitrag soll einen Überblick darüber geben, welche Löschpflichten nach der geltenden und künftigen Rechtslage für Unternehmen zu beachten sind und in welchem Verhältnis diese zu Aufbewahrungspflichten stehen. Gesondert wird auf das Recht auf Vergessenwerden sowie die Umsetzung von Löschpflichten bei der Verwendung von Cloud-Diensten eingegangen.

Inhaltsverzeichnis

  • 1. Ausgangslage
  • 2. Das Recht auf Löschung und Vergessenwerden
  • 2.1. Die Rechtslage gemäß DSG 2000
  • 2.1.1. Löschen auf Antrag und Widerspruchsrecht
  • 2.1.2. Löschen aus eigenem Antrieb
  • 2.1.3. Löschfristen und Aufbewahrungspflichten
  • 2.1.4. Die Durchführung einer Löschung
  • 2.1.5. Sanktionen
  • 2.2. Änderungen durch die Datenschutz-Grundverordnung
  • 2.2.1. Löschpflichten und Speicherdauer
  • 2.2.2. Das Recht auf Vergessenwerden
  • 2.2.3. Sanktionen
  • 2.3. Die Verwendung von Cloud-Diensten
  • 3. Fazit

1.

Ausgangslage ^

[1]
Zahlreiche Unternehmen häufen kontinuierlich größer werdende Datenberge an.1 Die dahinterstehende Motivation kann dabei sehr unterschiedlich sein. Es gibt Unternehmen, die gezielt Daten sammeln, um sie in Big Data Analysen verwerten zu können. Andere speichern «für alle Fälle» vorsichtshalber und trennen sich nicht mehr von einmal angelegten Datenbeständen. Viele Unternehmen horten Daten aber auch schlicht aus Unwissenheit bzw. weil sie ihren Umgang mit Datenbeständen nicht ausreichend reflektieren.
[2]
In nahezu jedem Unternehmen fallen personenbezogene Daten an, wie Kunden- oder Beschäftigtendaten. Häufig sind Datenbestände mit der Zeit ohne übergreifende Datenmanagementstruktur gewachsen. Als Folge ist in zahlreichen Unternehmen nicht vollumfänglich bekannt, welche Daten überhaupt gespeichert sind und wo diese Daten genau zu finden sind (Dark Data).2 Die gewachsenen Strukturen sind zum Teil darin begründet, dass es oft zunächst günstiger ist die Speicherkapazität zu erhöhen, als Zeit in die Löschung nicht mehr benötigter Daten zu investieren. Zudem waren insbesondere viele ältere Datenverarbeitungsprogramme nicht für Löschungen konzipiert.3 Die Lage verkompliziert sich zusätzlich dann, wenn in Unternehmen Softwarelösungen verschiedener Anbieter eingesetzt werden. Mangels einheitlicher technischer Standards ist eine systemübergreifende Löschung unter Umständen äußerst aufwendig.
[3]
Unternehmen sollten die nahende Geltung der Datenschutz-Grundverordnung4 als Anlass nehmen, ihre bisherige Praxis zur Sammlung von personenbezogenen Daten zu überdenken und Konzepte entwickeln, die den Anforderungen des Datenschutzrechts gerecht werden. Denn viele Unternehmen sind sich der bevorstehenden Änderungen nicht ausreichend bewusst.5 Der vorliegende Beitrag soll die derzeit geltende und die künftige Rechtslage zu Löschpflichten und dem Recht auf Vergessenwerden im unternehmensbezogenen Kontext sowie diesbezügliche Vorschriften bei der Verwendung von Cloud-Diensten beleuchten.

2.

Das Recht auf Löschung und Vergessenwerden ^

[4]
Die Pflicht zur Löschung personenbezogener Daten, die unzulässigerweise verarbeitet werden, ist ein Grundpfeiler des Datenschutzrechts6, der in Verbindung mit dem Zweckbindungsgrundsatz auch eine anlasslose Speicherung personenbezogener Daten auf Vorrat7 verhindern soll. Daten dürfen demnach nur solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.8 Hinzu trat in den letzten Jahren die Überlegung, Betroffenen müsse ein Recht auf Vergessenwerden zukommen, da der Anspruch auf Löschung insbesondere im Internet unzureichend sein könnte.9

2.1.

Die Rechtslage gemäß DSG 2000 ^

[5]
Das Grundrecht auf Datenschutz gewährt das Recht auf Löschung unzulässigerweise verarbeiteter Daten.10 Einfachgesetzlich ist das Recht auf Löschung in § 27 DSG festgeschrieben, der die Vorgaben der EU-Datenschutzrichtlinie 1995 umsetzt.11 Demnach hat jeder Auftraggeber entgegen den Bestimmungen des DSG verarbeitete Daten nach Kenntnis von sich aus oder auf begründeten Antrag des Betroffenen zu löschen.

2.1.1.

Löschen auf Antrag und Widerspruchsrecht ^

[6]
Unternehmen haben unzulässig verarbeitete Daten auf Antrag zu löschen. Datenverarbeitungen sind grundsätzlich dann unzulässig, wenn sie von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen12 des jeweiligen Auftraggebers nicht gedeckt sind oder schutzwürdige Geheimhaltungsinteressen von Betroffenen13 verletzen. Stellt ein Betroffener einen Antrag auf Löschung, hat der Auftraggeber die Daten binnen 8 Wochen zu löschen und dem Betroffenen darüber Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung nicht vorgenommen wird.14
[7]
Darüber hinaus gibt es das Widerspruchsrecht gemäß § 28 DSG15, das eine besondere Form des Löschungsbegehrens darstellt. Der Betroffene hat das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber Widerspruch zu erheben, sofern die Verwendung der Daten nicht gesetzlich vorgesehen ist. Auch in diesem Fall sind die Daten – sofern der Widerspruch berechtigt ist – binnen 8 Wochen zu löschen.
[8]
Das Recht auf Löschung und das Widerspruchsrecht können nicht geltend gemacht werden, soweit nur indirekt personenbezogene Daten verwendet werden.16

2.1.2.

Löschen aus eigenem Antrieb ^

[9]
Unabhängig von Löschbegehren und Widerspruchsrecht eines Betroffenen, ist ein Unternehmen auch dazu verpflichtet, aus eigenem Antrieb zu prüfen, ob Daten zu löschen sind.17 § 27 Abs. 1 DSG konkretisiert diesbezüglich: «Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist.» Diese Löschungsverpflichtung betrifft den häufigen Fall, dass Daten zunächst rechtmäßig verarbeitet werden, die Verarbeitung aber durch Zeitablauf unzulässig wird.18
[10]
Die Frage, wann verpflichtend zu löschen ist und in welchem Fall eine Archivierung zulässig bzw. vorgeschrieben ist, kann nicht allein aus dem DSG beantwortet werden. Das DSG gibt keine expliziten Löschfristen vor. Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung nicht-sensibler Daten19 u.a. dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht20 oder die Verwendung zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich ist.21 Bei Bestehen gesetzlicher Aufbewahrungspflichten darf somit jedenfalls nicht gelöscht werden. Diese Aufbewahrungspflichten können sich in der gesamten Rechtsordnung finden.22 Aber auch aus vertraglichen Vereinbarungen kann sich das Recht oder die Pflicht zur Aufbewahrung von personenbezogenen Daten ergeben.

2.1.3.

Löschfristen und Aufbewahrungspflichten ^

[11]
Zu den Aufbewahrungspflichten zählen die Vorschriften des § 212 UGB und § 132 BAO, nach denen Unternehmer ihre Bücher und Aufzeichnungen sowie Buchungsbelege 7 Jahre aufzubewahren haben. Die Daten sind darüber hinaus noch solange aufzubewahren, als sie für ein anhängiges gerichtliches oder behördliches Verfahren, in dem der Unternehmer Parteistellung hat, von Bedeutung sind. Berufsspezifische Sondervorschriften können weitere Aufbewahrungspflichten vorsehen.23
[12]
Eindeutige Löschfristen finden sich bspw. im TKG, das für die Verarbeitung und Übermittlung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlicher Kommunikationsdienste in öffentlichen Kommunikationsnetzen Sonderdatenschutzvorschriften vorschreibt, die den Bestimmungen des DSG vorgehen.24 Demnach sind Stammdaten nach Beendigung der vertraglichen Beziehungen zu löschen, sofern sie nicht noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen.25 Verkehrsdaten müssen – wenn sie zu Abrechnungszwecken gespeichert werden dürfen – binnen 3 Monaten gelöscht oder anonymisiert werden, sofern die Abrechnung nicht schriftlich beeinsprucht wurde.26 Inhaltsdaten dürfen nur gespeichert werden, wenn dies aus technischen Gründen erforderlich ist oder ein Merkmal des Dienstes ist und sind unmittelbar nach Wegfall der technischen Gründe bzw. nach Erbringung des Dienstes zu löschen.27
[13]
Weitere Löschfristen und Aufbewahrungspflichten ergeben sich auch aus dem DSG selbst und der auf dessen Grundlage erlassenen Standard- und Musterverordnung28. Zu beachten ist etwa, dass, wenn sich die Zulässigkeit der Datenverarbeitung auf eine Einwilligung stützt, ab Widerruf der Einwilligung diese Datenverarbeitung unzulässig wird, sofern nicht andere Erlaubnistatbestände die Verarbeitung rechtfertigen. Macht ein Betroffener sein Recht auf Auskunft geltend, dürfen hingegen Daten über den Auskunftswerber innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzbehörde bis zum rechtskräftigen Abschluss des Verfahrens nicht gelöscht werden. Diese Frist gilt wiederum dann nicht, wenn einem Löschungsantrag des Auskunftswerbers nach § 27 Abs. 1 Z 2 oder § 28 DSG zu entsprechen ist.29 In der Standard- und Musterverordnung wird jeweils die Höchstdauer der zulässigen Datenaufbewahrung für eine Datenanwendung vorgeschrieben. Daten gemäß der SA022 Kundenbetreuung und Marketing für eigene Zwecke dürfen demnach z.B. bis zum Ablauf des dritten Jahres nach dem letzten Kontakt mit dem Unternehmen aufbewahrt werden.
[14]
Im Verhältnis zu Kunden und Lieferanten kommt eine Anwendung der SA001 Rechnungswesen und Logistik in Frage, nach der Daten bis zur Beendigung der Geschäftsbeziehung oder bis zum Ablauf der für den Auftraggeber geltenden Garantie-, Gewährleistungs-, Verjährungs- und gesetzlichen Aufbewahrungsfristen gespeichert werden dürfen und darüber hinaus bis zur Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Gewährleistungs- und Verjährungsfristen richten sich i.d.R. nach dem ABGB, Garantiefristen nach vertraglicher Vereinbarung. Das Produkthaftungsgesetz sieht ein Erlöschen von Ersatzansprüchen 10 Jahre nach Inverkehrbringen eines Produktes vor.30
[15]
Beschäftigtendaten unterliegen ebenfalls den Löschpflichten. Die SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse gibt vor, dass Beschäftigtendaten bis zur Beendigung der Beziehung mit dem Betroffenen gespeichert werden dürfen und darüber hinaus solange als gesetzliche Aufbewahrungsfristen bestehen oder solange Rechtsansprüche aus dem Arbeitsverhältnis gegenüber dem Arbeitgeber geltend gemacht werden können. Als Aufbewahrungspflichten kommen insbesondere die sozialversicherungsrechtliche Verjährungsfrist von 5 Jahren31 und die bereits oben erwähnte abgabenrechtliche Frist gemäß BAO in Frage. Die Verjährungsfrist für Ansprüche aus dem Arbeitsverhältnis ergibt sich aus dem ABGB oder dem anzuwendenden Kollektivvertrag. Ein Personalakt ist deshalb nach den jeweiligen Fristen teilzulöschen, der Name und die Dauer des Arbeitsverhältnisses sind aber weiterhin zu speichern, um der Pflicht zur Ausstellung eines Dienstzeugnisses nachkommen zu können, die erst nach 30 Jahren verjährt.32 Verzichtet ein Arbeitnehmer wirksam auf seine Ansprüche und fordert gleichzeitig die Löschung seiner Daten, ist dieses Begehren zu erfüllen, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.33

2.1.4.

Die Durchführung einer Löschung ^

[16]
Das DSG beinhaltet keine Legaldefinition des Begriffs «löschen». Der Rechtsprechung des OGH34 lässt sich entnehmen, dass Löschen im Sinne des Datenschutzgesetzes «physisches Löschen» bedeutet, rein logisches Löschen reicht hingegen nicht aus. Das DSG 1978 verstand unter «physischem Löschen» das Unkenntlichmachen von Daten in der Weise, dass eine Rekonstruktion nicht möglich ist. «Logisches Löschen» bedeutete hingegen die Verhinderung des Zugriffs von Daten durch programmtechnische Maßnahmen.35 Das Gericht folgte der Meinung Jahnels36, demzufolge es nicht ausreicht, «die Datenorganisation so zu verändern, dass ein «gezielter Zugriff» auf die betreffenden Daten ausgeschlossen ist.37 Es ist aber wohl nicht das physische Vernichten des Datenträgers gefordert.38 Zudem ist auch eine Anonymisierung zulässig39, da in der Folge keine personenbezogenen Daten mehr vorliegen.
[17]
Wenn Daten aus wirtschaftlichen Gründen nur zu bestimmten Zeitpunkten gelöscht werden können, sind sie bis zur Löschung zu sperren.40 Hat der Auftraggeber zu löschende Daten vor der Löschung übermittelt, sind die Empfänger davon zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand bedeutet und die Empfänger noch feststellbar sind.41

2.1.5.

Sanktionen ^

[18]
Wer Daten nicht fristgerecht löscht, begeht eine Verwaltungsübertretung, die mit einer Strafe bis EUR 500 bedroht ist.42 Werden Daten entgegen einem rechtskräftigen Urteil oder Bescheid nicht gelöscht, sind Strafen bis zu EUR 25‘000 möglich.43

2.2.

Änderungen durch die Datenschutz-Grundverordnung ^

[19]
Auch nach der DS-GVO gilt der Grundsatz der Speicherbegrenzung, demgemäß personenbezogene Daten nur solange in personenbezogener Form gespeichert werden dürfen, wie es für die Zwecke der Verarbeitung erforderlich ist. Ausnahmen sind zulässig für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke.44 Unternehmen haben somit auch weiterhin Löschpflichten zu beachten. Hinzu tritt nun das sogenannte Recht auf Vergessenwerden.

2.2.1.

Löschpflichten und Speicherdauer ^

[20]

Das Recht auf Löschung findet sich in Art. 17 DS-GVO. Demnach ist der Verantwortliche (ehemals Auftraggeber) dazu verpflichtet, Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind; wenn ein Betroffener seine Zustimmung widerruft und es keine anderweitige Rechtsgrundlage für die Verarbeitung gibt; wenn ein Betroffener berechtigterweise Widerspruch gegen die Verarbeitung erhebt; wenn die Daten unrechtmäßig verarbeitet wurden oder wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Diese Löschpflichten decken sich weitestgehend mit der Rechtslage gemäß DSG.45 Neu eingefügt wurde eine gesonderte Löschverpflichtung für Dienste der Informationsgesellschaft46, die personenbezogene Daten Minderjähriger verarbeiten.47

[21]
Das Widerspruchsrecht bezieht sich weiterhin auf besondere Situationen, in denen eine Verarbeitung der Betroffenendaten zu unterbleiben hat, wenn nicht zwingende schutzwürdige und überwiegende Gründe für die Verarbeitung auf Seiten des Verantwortlichen vorliegen oder die Verarbeitung der Ausübung von Rechtsansprüchen dient.48 Explizit erwähnt wird nun das jederzeitige Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung.49
[22]
Die Löschpflichten gelten nicht, soweit die Datenverarbeitung erforderlich ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information; zur Erfüllung einer rechtlichen Verpflichtung, zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit; für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke; oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.50
[23]
Gesonderte Löschfristen und Aufbewahrungspflichten richten sich somit auch weiterhin nach nationalen Vorschriften der Mitgliedstaaten51 oder nach dem Recht der Europäischen Union.52 Personenbezogene Daten dürfen nicht länger als nötig gespeichert werden. Der Verantwortliche hat deshalb Fristen für die Löschung oder regelmäßige Überprüfungen vorzusehen.53 Neu ist, dass die Speicherdauer bzw. Kriterien für die Speicherdauer dem Betroffenen bereits bei der Erhebung von personenbezogenen Daten mitzuteilen sind.54 Auch im Verfahrensverzeichnis sind, anders als bisher bei der Meldung zum Datenverarbeitungsregister, – wenn möglich – die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien anzugeben.55
[24]
Einer Löschung auf Antrag ist nun innerhalb eines Monats nachzukommen. Bei einer hohen Komplexität oder Anzahl von Anträgen kann sich diese Frist um weitere zwei Monate verlängern.56 Auch weiterhin gilt, dass Betroffene über eine Löschung bzw. Gründe für eine Nichtlöschung zu informieren sind, wobei im Falle der Nichtlöschung nun zusätzlich auf eine Beschwerdemöglichkeit bei der Aufsichtsbehörde bzw. auf gerichtliche Rechtsbehelfe hinzuweisen ist.57 Hat der Verantwortliche Daten vor der Löschung übermittelt, ist der Empfänger über das Löschungsbegehren zu informieren, sofern dies keinen unverhältnismäßigen Aufwand erfordert. Betroffenen sind die Empfänger auf Anfrage mitzuteilen.58 Kann der Verantwortliche einen Betroffenen nicht identifizieren, muss er einem Löschungsbegehren nicht nachkommen.59

2.2.2.

Das Recht auf Vergessenwerden ^

[25]
Das Recht auf Vergessenwerden fand sich bereits im ersten Entwurf zur DS-GVO60 und geht auf eine Idee Mayer-Schönbergers zurück, der anregte, Daten mit einem Verfallsdatum zu versehen, um einer dauerhaften Speicherung im Internet entgegenzutreten.61 Die technische Umsetzung eines «digitalen Radiergummis» im Internet sollte sich allerdings als unmöglich erweisen.
[26]
In der Folge erlangte das Recht auf Vergessenwerden Berühmtheit durch die «Google Spain» Entscheidung des Europäischen Gerichtshofs62, in der Suchmaschinenbetreiber dazu verpflichtet wurden, Links zu Webseiten zu löschen, wenn sich auf diesen Informationen über Personen befinden, die veraltet sind63 und an denen kein öffentliches Interesse besteht. Um «Vergessen zu werden» wird die Gatekeeper-Funktion von Suchmaschinen dahingehend genutzt, dass nach einer Link-Löschung das Auffinden von beanstandeten Informationen über Betroffene im Internet erheblich erschwert ist. Rechtlich leitete der EuGH seine Entscheidung aus dem Löschungsanspruch und dem Widerspruchsrecht der Datenschutzrichtlinie 1995 sowie der Achtung des Privat- und Familienlebens (Art. 7 GRC) und dem Schutz personenbezogener Daten (Art. 8 GRC) ab.64
[27]
In der DS-GVO findet sich das Recht auf Vergessenwerden nun als in Klammern beigefügter Zusatz zum Recht auf Löschung. Es soll als Ausweitung des Rechts auf Löschung verstanden werden und sich auf das Internet beziehen.65 Art. 17 Abs. 2 DS-GVO schreibt vor, dass Verantwortliche, die personenbezogene Daten öffentlich gemacht haben und zur Löschung verpflichtet sind, angemessene Maßnahmen, auch technischer Art, treffen müssen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Diese Bestimmung wird ebenso wie Art. 17 Abs. 1 DS-GVO von Art. 17 Abs. 3 DS-GVO eingeschränkt.
[28]
Die Tragweite des Art. 17 Abs. 2 DS-GVO ist bisher nicht geklärt. Die Bezugnahme auf Links, Kopien oder Replikationen der Daten spricht m.E. für eine enge Anlehnung an die Öffentlichmachung der Daten. Werden die Daten durch einen Dritten in einem neuen Kontext verwendet, ist Art. 17 Abs. 2 DS-GVO wohl nicht mehr anwendbar. Die Erstellung von Kopien oder Replikationen durch Dritte im World Wide Web grundsätzlich zu überwachen, kann m.E. nicht als angemessene Maßnahme betrachtet werden.66 Vielmehr bezieht sich der Anwendungsbereich des Art. 17 Abs. 2 DS-GVO m.E. nur auf Kopien, Replikationen und Links, die zum Zeitpunkt der Löschverpflichtung selbst öffentlich auffindbar sind.67 Es müssten die feststellbaren Webseiten- und Suchmaschinenbetreiber, die diese Daten verarbeiten, nicht mehr vom Betroffenen, sondern nun vom Verantwortlichen über ein Löschbegehren informiert werden, womit sich der Aufwand der Rechtsverfolgung für den Betroffenen verringert. Fraglich ist allerdings, inwieweit Art. 17 Abs. 2 DS-GVO dem Betroffenen einen eigenständig durchsetzbaren Rechtsanspruch gegenüber dem Verantwortlichen gewährt.

2.2.3.

Sanktionen ^

[29]
Bei Verstößen gegen das Recht auf Löschung (Recht auf Vergessenwerden) können Geldbußen bis zu EUR 20‘000‘000 oder 4% des weltweiten Jahresumsatzes eines Unternehmens verhängt werden.68

2.3.

Die Verwendung von Cloud-Diensten ^

[30]
Es ist für Unternehmen heute üblich, nicht mehr alle Datenverarbeitungen selbst vorzunehmen. Insbesondere die Verwendung von Cloud-Diensten bietet die Möglichkeit kosteneffizient Datenverarbeitungen auszulagern. Der österreichische Gesetzgeber definiert in § 6 Abs. 3 GTelG69 Cloud Computing als Datenspeicher, «die einem Auftraggeber bedarfsorientiert von einem Betreiber bereitgestellt werden». Die Cloud-Anbieter verarbeiten Daten in aller Regel im Auftrag des Verantwortlichen70 und sind deshalb Auftragsverarbeiter.71 Wie bereits gemäß DSG, bleibt der Verantwortliche dabei auch nach der DS-GVO für die Rechtmäßigkeit der Verarbeitung verantwortlich.72 Er darf nur solche Auftragsverarbeiter beauftragen, die den Anforderungen an die DS-GVO gerecht werden und den Schutz der Rechte der Betroffenen gewährleisten.73
[31]
Betreffend das Recht auf Löschung (Recht auf Vergessenwerden) ist vertraglich sicherzustellen, dass der Auftragsverarbeiter in der Lage ist, einem entsprechenden Begehren nachzukommen.74 Ob die Überwachung und Durchführung von Löschvorschriften insgesamt dem Auftragsverarbeiter übertragen werden kann, ohne dass dieser zum Verantwortlichen für die Verarbeitung wird, ist allerdings fraglich. Meines Erachtens ist dies dann möglich, wenn die Kriterien der Löschung ausreichend bestimmt vorgegeben werden und der Auftragsverarbeiter lediglich die technischen und organisatorischen Maßnahmen zur Erfüllung der Kriterien auswählt.75 Unternehmen haben bei der Verwendung von Cloud-Diensten auch darauf zu achten, dass eine wirksame Löschung76 oder Rückgabe der Daten nach Beendigung des Auftrags vertraglich geregelt wird.77

3.

Fazit ^

[32]
Bereits nach der geltenden Rechtslage ist die Speicherung von personenbezogenen Daten nicht ohne Einschränkung zulässig. In der DS-GVO werden die Löschpflichten und Ausnahmen nun konkreter benannt und gegenübergestellt. Der überwiegende Teil dieser Pflichten ist nicht neu, vor dem Hintergrund der nahenden DS-GVO, die eine gravierende Verschärfung der Sanktionen für Verstöße mit sich bringt, sollten Unternehmen allerdings die Praxis ihrer Datenverarbeitung überdenken.
[33]
Zunächst müssen die Datenbestände erfasst werden, was insbesondere im Fall der Aufteilung über mehrere Systeme bereits eine langwierige Aufgabe darstellen kann. In der Folge sollte ein Löschkonzept entwickelt und implementiert werden. Löschpflichten und Aufbewahrungspflichten stehen in komplexen Verflechtungen zueinander, die häufig erst in Einzelfallbetrachtungen richtig aufgelöst werden können. Aus diesem Grund ist es von großer Bedeutung, dass die im Unternehmen verwendete Software flexible Lösungen ermöglicht. Dies betrifft insbesondere den Widerruf einer Einwilligung, einen berechtigten Widerspruch, unberechtigt erhobene Daten, einen Antrag auf Löschung oder den Streitfall.
[34]
Für den Großteil der Datenverarbeitung müssen allerdings Standardlösungen vorgegeben werden, um Löschpflichten effizient umsetzen zu können. Die Daten sind Datenarten zuzuordnen, die nach bestimmten Löschregeln zu löschen sind.78 Werden personenbezogene Daten übermittelt oder öffentlich gemacht, ist dies gesondert zu vermerken, um den geforderten Informationspflichten nachkommen zu können. Bei der Verwendung von Cloud-Diensten ist darauf zu achten, dass das beauftragende Unternehmen für die Einhaltung der Löschpflichten verantwortlich bleibt, weshalb es den Cloud-Anbieter vertraglich dazu verpflichten muss, die genannten Vorschriften zu erfüllen.
  1. 1 Vgl. Veritas Technologies LLC., The Data Berg Report, http://images.info.veritas.com/Web/Veritas/%7B364a7ca5-e05c-4fce-971b-88e18c62eafb%7D_45145_EMEA_Veritas_Strike_Report_Gulf.pdf (alle Internetadressen zuletzt aufgerufen am 9. Januar 2017), 2015.
  2. 2 Ebenda.
  3. 3 Schild, Datenlöschen in SAP – Wo liegt das Problem? DANA 1/2013, S. 13.
  4. 4 Die VO (EU) 2016/679 (im Folgenden: DS-GVO) gilt ab dem 25. Mai 2018 (Art. 99 Abs. 2 DS-GVO).
  5. 5 Vgl. Compuware Report, Unprepared for GDPR? http://resources.compuware.com/hubfs/Collateral/White_Papers/31465_Test_Data_Privacy_wp_6_002.pdf, 2016.
  6. 6 Vgl. bereits § 1 Abs. 4 und § 12 DSG 1978; Art. 5 lit. e und Art. 8 lit. c Europäische Datenschutzkonvention 1981.
  7. 7 Vgl. EuGH 21. Dezember 2016, C-203/15 und C-698/15. EuGH 8. April 2014, C-293/12 und C-594/12; VfGH 27. Juni 2014, G 47/2012.
  8. 8 § 6 Abs. 1 Z 5 DSG.
  9. 9 Siehe Kapitel 2.2.2.
  10. 10 § 1 Abs. 3 Z 2 DSG. Dem Grundrecht auf Datenschutz kommt unmittelbare Drittwirkung zu, es gilt somit auch gegenüber Privaten.
  11. 11 Vgl. Art. 6 lit. d und e, Art. 12 lit. b und c RL 1995/46/EG.
  12. 12 Bspw. eine Gewerbeberechtigung oder Konzession, die zur Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit ermächtigen. Vgl. Knyrim, Handbuch Datenschutzrecht2 (2012), S. 86 f.
  13. 13 Vgl. §§ 8 und 9 DSG. Ob Daten auf rechtmäßige Weise verwendet werden, richtet sich aber nicht ausschließlich nach den Bestimmungen des DSG (vgl. VwGH 28. Januar 2013, 2012/12/0050).
  14. 14 § 27 Abs. 4 DSG. Vgl. auch VwGH 28. Mai 2013, 2009/17/0011.
  15. 15 Zur Aufhebung des § 28 Abs. 2 DSG wegen eines Verstoßes gegen Art. 10 EMRK, siehe VfGH 8. Oktober 2015, G 264/2015.
  16. 16 § 29 DSG. Zum Begriff «indirekt personenbezogene Daten» § 4 Z 1 DSG.
  17. 17 Eine Löschung muss auch dann vorgenommen werden, wenn der Betroffene dies nicht eigens beantragt. Vgl. ErläutRV zu § 27 Abs. 1 DSG.
  18. 18 Vgl. Dohr/Pollierer/Weiss/Knyrim, Kommentar Datenschutzrecht2, § 27 DSG Rz 10.
  19. 19 Für die Verwendung sensibler Daten (§ 4 Z 2 DSG) vgl. § 9 Z 3 DSG.
  20. 20 § 8 Abs. 1 Z 1 DSG.
  21. 21 § 8 Abs. 3 Z 4 DSG.
  22. 22 Der vorliegende Artikel kann daher nur Hinweise geben, ohne Anspruch auf Vollständigkeit.
  23. 23 Vgl. § 51 Abs. 3 ÄrzteG; § 12 RAO.
  24. 24 § 92 Abs. 1 TKG.
  25. 25 § 97 Abs. 2 TKG.
  26. 26 § 99 Abs. 1 u. 2 TKG.
  27. 27 § 101 Abs. 1 u. 2 TKG.
  28. 28 Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000 (Standard- und Muster-Verordnung 2004 – StMV 2004) i.d.F. BGBl. II Nr. 278/2015.
  29. 29 § 26 Abs. 7 DSG.
  30. 30 § 13 PHG.
  31. 31 § 68 Abs. 1 ASVG. Die Verjährung ist gehemmt, solange ein Verfahren in Verwaltungssachen bzw. vor den Gerichtshöfen des öffentlichen Rechtes über das Bestehen der Pflichtversicherung oder die Feststellung der Verpflichtung zur Zahlung von Beiträgen anhängig ist.
  32. 32 Brodil, Löschung von Arbeitnehmerdaten, ZAS 2014/54, S. 335.
  33. 33 Grünanger, Recht auf Löschung des Personalakts? ecolex 8/2014, S. 675.
  34. 34 OGH 15. April 2010, 6 Ob 4/10p.
  35. 35 Art. 2 § 3 Z 11 DSG 1978 i.d.F. DSG-Novelle 1986.
  36. 36 A.A. Dohr/Pollierer/Weiss/Knyrim, Kommentar Datenschutzrecht2, § 27 DSG Rz 18.
  37. 37 Jahnel, Handbuch Datenschutzrecht (2010), S. 159.
  38. 38 Kasteliz/Leiter, OGH: Art der Löschung nach Ausübung des Widerspruchsrechts, jusIT 2010/69, S. 147.
  39. 39 Vgl. Knyrim, Handbuch Datenschutzrecht2 (2012), S. 81.
  40. 40 § 27 Abs. 6 DSG.
  41. 41 § 27 Abs. 8 DSG.
  42. 42 § 51 Abs. 2a DSG.
  43. 43 § 51 Abs. 1 Z 3 DSG.
  44. 44 Art. 5 Abs. 1 lit. e DS-GVO. Vgl. auch Erwägungsgrund 39.
  45. 45 Vgl. Kapitel 2.1.
  46. 46 Vgl. § 3 Z 1 ECG.
  47. 47 Art. 17 Abs. 1 lit. f DS-GVO.
  48. 48 Art. 21 DS-GVO.
  49. 49 Zur bisherigen Rechtslage vgl. § 107 TKG.
  50. 50 Art. 17 Abs. 3 DS-GVO.
  51. 51 Siehe dazu Kapitel 2.1.3.
  52. 52 Vgl. Art. 17 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO.
  53. 53 Vgl. Erwägungsgrund 39 zur DS-GVO.
  54. 54 Art. 13 Abs. 2 und Art. 14 Abs. 2 DS-GVO.
  55. 55 Art. 30 Abs. 1 lit. f DS-GVO.
  56. 56 Art. 12 Abs. 3 DS-GVO. Dem Betroffenen sind die Gründe der Verzögerung binnen eines Monats mitzuteilen.
  57. 57 Art. 12 Abs. 4 DS-GVO.
  58. 58 Art. 19 DS-GVO.
  59. 59 Art. 12 Abs. 2 i.V.m. Art. 11 Abs. 2 DS-GVO.
  60. 60 Art. 17 Entwurf zur DS-GVO vom 25. Januar 2012, KOM(2012) 11.
  61. 61 Mayer-schönberger, Delete: The Virtue of Forgetting in the Digital Age (2009).
  62. 62 EuGH, 13. Mai 2014, C-131/12.
  63. 63 Im Fall «Google Spain» 16 Jahre. Vgl. aber ein viel kritisiertes Urteil aus Italien, demzufolge Onlineartikel bereits nach 2 Jahren zu löschen sein sollen. http://www.golem.de/news/recht-auf-vergessenwerden-online-artikel-bekommen-ablaufdatum-1609-123354.html.
  64. 64 EuGH, 13. Mai 2014, C-131/12, Rz 99.
  65. 65 Vgl. Erwägungsgrund 66 zur DS-GVO.
  66. 66 Selbst sofern dies technisch möglich ist. Vgl. aber bspw. das Abfotografieren des Bildschirms.
  67. 67 Bspw. über Suchmaschinen. Damit würde in Anlehnung an EuGH C-131/12 und in Einklang mit Art. 7 und 8 GRC einer Prangerwirkung im Internet entgegengewirkt.
  68. 68 Art. 83 Abs. 5 lit. b DS-GVO.
  69. 69 Bundesgesetz betreffend Datensicherheitsmaßnahmen bei der Verwendung elektronischer Gesundheitsdaten (Gesundheitstelematikgesetz 2012 – GTelG 2012).
  70. 70 Vgl. Weichert, Cloud Computing und Datenschutz, DuD 10/2010, S. 682.
  71. 71 Art. 4 Z 8 DS-GVO. Im DSG wird der Begriff «Dienstleister» verwendet (§ 4 Z 5 DSG).
  72. 72 Der Auftragsverarbeiter ist weisungsgebunden (Art. 29 DS-GVO). Verstößt er gegen die DS-GVO und bestimmt die Zwecke der Verarbeitung selbst, gilt er diesbezüglich als Verantwortlicher (Art. 28 Abs. 10 DS-GVO, vgl. auch § 4 Z 4 DSG).
  73. 73 Art. 28 Abs. 1 DS-GVO. Vgl. auch § 10 Abs. 1 DSG.
  74. 74 Art. 28 Abs. 3 lit. e DS-GVO. Vgl. auch § 11 Abs. 1 Z 4 DSG.
  75. 75 Vgl. Artikel 29 Datenschutzgruppe, WP 196, Stellungnahme 05/2012 zum Cloud Computing, S. 10. S.a. Bogendorfer, Und was ändert sich für Dienstleister mit der DSGVO noch?, in: Knyrim (Hrsg.), Datenschutz-Grundverordnung (2016), S. 171.
  76. 76 Zum Problem der wirksamen Löschung bei Cloud-Diensten: Art. 29 Datenschutzgruppe, WP 196, S. 15.
  77. 77 Art. 28 Abs. 3 lit. g DS-GVO. Vgl. auch § 11 Abs. 1 Z 5 DSG.
  78. 78 Hammer/Schuler, Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten (2015), S. 13.