Das Recht auf Berichtigung

Nur dann, wenn die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten auch weiterhin aufrecht ist, darf der Verantwortliche die betreffenden Daten einer natürlichen Person weiterhin verarbeiten. Ansonsten ist er verpflichtet, die Daten zu löschen.

 

Das "right to be forgotten" besteht nicht erst ab Inkrafttreten der DSGVO ab 25.5.2018, sondern bereits im DSG 2000 gibt es in § 27 DSG ein "Recht auf Löschung", welches an sich die selben Recht für die betroffene Person gewährleistet. Der mediale Hype um dieses spezielle Recht ist "neuer Wein in alten Schläuchen".

Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

Verlust der Zweckbindung, dh die personenbezogenen Daten sind nicht mehr notwendig.

  1. Widerruf der Einwilligung und Fehlen einer anderen Rechtsgrundlage (z.b. berechtigtes Interesse) für die Verarbeitung 
  2. Widerspruch gegen die Verarbeitung und es gibt keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Widerspruch bei Direktwerbung bzw. Profiling
  3. unrechtmäßig Verarbeitung
  4. Löschung zur Erfüllung einer rechtlichen Verpflichtung 
  5. Erhebung von personenbezogenen Daten über ein Kind

Bei einer Veröffentlichung der personenbezogenen Daten durch den Verantwortliche ist dieser bei einer Löschungsverpflichtung gehaltenunter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen zu treffen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

 

Die Löschung ist nicht notwendig, wenn und soweit die Verarbeitung erforderlich ist,

 

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke soweit das Löschungsrecht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

 

ErwG 66 der DSGVO:

 

Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen – auch technischer Art – treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.

Löschen = physisch Löschen oder den Zugang unmöglich machen?

 Es ist in der DSGVO nicht geklärt, ob das Löschen iSd DSGVO als tatsächlich physisches Löschen der Daten gesehen wird, oder es uU ausreicht, dass der Zugang zu den personenbezogenen Daten unmöglich gemacht wird. 

 

Der OGH hat dazu entschieden, dass Löschen iSd § 27 DSG physisches Löschen ist.

 

Personenbezogene Daten sind nach dem DSG zu löschen, auch wenn sie auf zwei unterschiedlichen Systemen verarbeitet werden.

 

Löschen“ heißt physisch löschen, dh so unkenntlich machen, dass eine Rekonstruktion nicht mehr möglich ist  (OGH 13.9.2012, 6 Ob 107/12x)

 

Es reicht nach der Judikatur des OGH nicht aus, dass die Datenorganisation geändert wird, sodass ein gezielter Zugriff auf die Daten nicht mehr möglich ist (OGH 6 Ob 41/10p, 6 Ob 112/10d).

 

Die Unterbindung des Datenzugriffes bzw. dessen Einschränkung auf einen kleineren Personenkreis ist nicht ausreichend.

 

 

 

 

 

 

 

 

Sanktion

Wenn der Verantwortliche ein Löschungsersuchen einer betroffenen Person nicht ordnungsgemäß erfüllt, dann hat diese die Möglichkeit, eine Beschwerde bei der Aufsichtsbehöre einzulegen. 

 

Die Strafdrohung des Art 83 Abs 5 DSGVO bei bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs , je nachdem, welcher der Beträge höher ist.

 

 

 


Rechtfertigt eine Verjährungsfrist die Aufbewahrung von Daten?

 Kann eine beabsichtigte Dokumentation, um für den Fall eines Finanzverfahrens Daten zur Verfügung zu haben, eine Aufbewahrung von Daten rechtfertigen?

  

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.471/0001-DSB/2018)

 

Die BAO normiert in § 207 Abs 2 die Verjährungsfrist bei der Abgabenhinterziehung mit 10 Jahre. Aus der Entscheidung ist nicht ersichtlich, wie der Beschwerdegegner, der folgende Daten über einen Zeitraum von 10 Jahren nach Vertragsbeendigung aufbewahrte, argumentiert hat, wobei davon auszugehen ist, dass dies zu Dokumentations- und Nachweiszwecken im Rahmen von etwaigen finanzstrafrechtlichen Verfahren erfolgte, da auf die BAO und deren Verjährungsfrist hingewiesen wurde:

Vertragsname:

Alice A***

Anschrift:

***dorf *4, A-*45* ***Dorf

Anschrift:

***dorf *4, A-*45* O**markt-***wang

Geburtsdatum:

**.**.199*

Geburtsort:

H**stadt

Ausweistyp:

Reisepass

Ausweisnummer:

*2*4*56*0

Behörde:

BH R***

Nat.:

AT

IBAN:

AT8xxxxxxxxxxxxxx4*5

BIC:

R**4*5U

Bank:

RAIFFEISENBANK ***** EGEN

Kontoinhaber:

Peter Z***

Anmerkung:

Der IBAN wird aus Sicherheitsgründen nur verkürzt dargestellt.

Werbung:

Ja

 

Vertragsart:

 

mobil

Kundennummer:

*5*8**33*27

Rufnummer:

+43 6** 5*4*8*3**

SIM Tausch:

**.**.2013

SIM alt:

A*4*76**2*6****

SIM neu:

A74*77*1*6*8**5

Erste Aktivierung:

**,**,2009

Tarif:

*****

Status:

**.**.2015 gekündigt / Port Out

Hilfs-Rufnummer für Port-Out:

+43 6** *78*3**1 – geheim

SIM:

A74*77*1*6*8**5

Erste Aktivierung:

**.**.2015

Tarif:

*****

Status:

**.**.2015 gekündigt

 

Die DSB führt dazu aus:

Gemäß Art. 5 Abs. 1 lit. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer oder organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“) (Hervorhebungen durch die Datenschutzbehörde).

 

Die DSB wies darauf hin, dass § 207 Abs 2 BAO keine Verpflichtung zur Speicherung von Daten vorsehe, sondern nur eine Verjährungsfrist bei Finanzvergehen normiert.

Aus den Entscheidungsgründen:

"Auch der Verfassungsgerichtshof geht in einer Entscheidung davon aus, dass "nur ein konkret sich abzeichnendes Verfahren" eine Speicherung von personenbezogenen Daten rechtfertigen kann.

Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht nicht aus".
(Erkenntnis vom 12.12.2017, GZ E3249/2016)" 

0 Kommentare

Löschung von Daten

 

 

Was darf bei einer (berechtigten) Löschungsanfrage dokumentiert werden und nach Löschung noch aufbewahrt (gespeichert) werden?

 

 

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.580/0002-DSB/2018)

 

 

Eine natürliche Person wendete sich im November 2017 an die Datenschutzbehörde. Sie brachte vor, dass ein Gläubigerschutzverband deren personenbezogene Daten ohne Rechtsgrundlage und ohne Zustimmung gespeichert habe, und auch den Anträgen auf gänzliche Löschung nicht nachgekommen sei, obwohl diese mehrmals verlangt wurde.

 

Der Beschwerdegegner (ein Gläubigerschutzverband) teilte mit, dass bereit im Jahr 2012 die Löschung aus der Datenbank beantragt worden sei, und diese auch durchgeführt worden sei. Vorname, Zuname, Geburtsdatum und Adresse seien „aus sicher amtsbekannten Gründen“ in einem internen Arbeitsverzeichnis gem. § 8 Abs 3 Z 5 DSG (zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden). Die Speicherung der Daten sei aufgrund der häufigen Kommunikation mit dem Beschwerdeführer und zur Sicherstellung, dass es zu keiner Neuaufnahme in die Datenbank kommt notwendig.

 

Der Beschwerdeführer begehrte im Juli 2017 neuerlich die Löschung seiner Daten aus der Datenbank des Gläubigerschutzverbandes. Die Daten wurden aus der Datenbank gelöscht, aber Vorname, Name, Geburtsdatum und aktuelle Adresse zu Dokumentations- und Kommunikationszwecken weiter gespeichert.

 

Der Beschwerdeführer verlangte darauhin auch die Löschung dieser Daten, da es keine Rechtsgrundlage für diese Speicherung zu Dokumentations- und Kommunikationszwecken gäbe.

Diesem weiteren Antrag auf Löschung entsprach der Gläubigerschutzverband nicht.

 

 

Die betroffene Person hat iSd Art 17 Abs 1 DSGVO die Löschung der Daten (Vorname, Name, Geburtsdatum und Adresse) verlangt.

Im vorliegenden Fall hat der Beschwerdeführer entsprechend Art. 17 Abs. 1 DSGVO verlangt, die ihn betreffenden personenbezogenen Daten unverzüglich zu löschen.

Der Gläubigerschutzverband stützt sich auf Art 17 Abs 3 lit e DSGVO (Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich).

 

 

Aus der Entscheidung der DSB:

 

Der kurze Verweis des Beschwerdegegners auf „sicher amtsbekannte Gründe“ stellt jedoch keinesfalls einen ausreichenden Beweis dar, um die Erforderlichkeit der Verarbeitung gemäß Art. 17 Abs. 3 DSGVO zu belegen.

 

Insbesondere die Speicherung der Daten im Hinblick auf eine eventuell zukünftige Kontaktaufnahme mit dem Beschwerdeführer, wenn dieser die Löschung seiner gesamten Daten verlangt und daraus zu schließen ist, dass eine derartige Kommunikation nicht mehr erfolgen wird, ist gemäß Art. 17 Abs. 1 lit. a DSGVO nicht notwendig.

 

Die zeitlich unbegrenzte Speicherung von personenbezogenen Daten für eine eventuell zukünftige Kontaktaufnahme stellt außerdem eine Verletzung des Grundsatzes der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO dar.

 

Andere, eine fortgesetzte Datenspeicherung rechtfertigende Gründe, wurden vom Beschwerdegegner nicht vorgebracht.

 

Aus Sicht der Datenschutzbehörde liegt im Ergebnis daher keine erforderliche Datenverarbeitung des Beschwerdegegners nach Art. 17 Abs. 3 DSGVO vor und erweist sich der Antrag des Beschwerdeführers auf Löschung seiner personenbezogenen Daten aus den oben erörterten Gründen als berechtigt.

 

 

 

Schlussfolgerungen aus dem Verfahren:

1. Konkretes Vorbringen und konkrete Nachweise:       

Ein Verweis auf “sicher amtsbekannte Gründe” ist kein ausreichender Nachweis/Beweis im Verfahren vor der DSB, dass der Ausnahmetatbestand des Art 17 Abs 3 DSGVO erfüllt ist. Im Verfahren sind ist der Zweck ausreichend konkret zu behaupten und auch zu begründen und sind Nachweise für die Zweckerreichung notwendig; pauschale Aussagen führen dazu, dass der Nachweis/Beweis nicht erbracht wird, da die Behörde diese nicht prüfen kann.       

 

2. Zweck: „zukünftige Kommunikation“:  
Eine Aufbewahrung/Speicherung von personenbezogenen Daten (Vorname, Name, Geburtsdatum und Adresse zur zukünftigen Kommunikation ist nicht „erforderlich“ iSd Art 17 Abs 3 lit e DSGVO, wenn die Löschung begehrt wurde, und daraus ersichtlich ist, dass eine Kommunikation nicht mehr erfolgen wird.       

 

3. Löschfrist: 
Eine zeitliche unbegrenzte Speicherung von Kontaktdaten zur zukünftigen Kommunikation widerspricht dem Grundsatz der zeitlichen Speicherbegrenzung (§ 5 Abs 1 lit e DSGVO)

mehr lesen