B2B-Projekte für Finanz- und Versicherungsbranche Mag. Günter Wagner
Counter / Zähler
Direkt zum Seiteninhalt

Wie lange dürfen Sie personenbezogene Daten aufbewahren?

B2B-Newsletter > 2018 - Archiv > NL 10/18
Gilt dieses Urteil der DSB zur maximalen Speicherdauer auch für unsere Branchen?
 
Die Datenschutzbehörde, DSB legte ein interessantes Urteil zur maximalen Speicherdauer personenbezogener Daten vor. Doch was bedeutet dieses Urteil für Ihre tägliche Praxis, wenn es allgemeine Gültigkeit erlangt?  

Mag. Stephan Novotny, Foto Stephan HugerUm das zu klären, baten wir den auf Versicherungsrecht und die DSGVO spezialisierten Rechtsanwalt Mag. Novotny um seine rechtliche Einschätzung. Wie sollten Sie sich künftig verhalten? Sollte für die Finanz- und Versicherungsbranche eine andere Speicherdauer gelten? Seinen Input finden Sie unten anbei.
 
Womit beschäftigte sich die Datenschutzbehörde in den ersten 6 Monaten sonst noch?
Es sollen rund 900 Verfahren bei der DSB eingeleitet worden sein. Zu welchen Verfehlungen? Mit welchen Strafen? Mehr dazu finden Sie im zweiten Beitrag zum Datenschutzbereich und zwar hier...  


Ein ergänzender Nachschlage-Tipp:
Praxishandbuch „Das österreichische Versicherungsvermittlerrecht“
Im Sommer in 10. Auflage erschienen.
Die Umsetzung der DSGVO im Finanz- und Versicherungsmarkt nimmt darin einen großen Raum ein. Details dazu finden Sie hier…
Das Inhaltsverzeichnis können Sie hier herunterladen…
Was bedeutet das Urteil für die Praxis? Was kann / sollte man tun?
Dazu haben wir mit Mag. Stephan Novotny gesprochen!

Die Datenschutzbehörde DSB hat ein sehr interessantes Urteil zur Begrenzung der Speicherdauer erlassen, das für unsere Branche sehr bedenklich werden kann, weil wir in rasch in Beweisnot kommen könnten.
Daher hoffen viele, dass dieses Urteil nicht als „Blaupause“ für andere Unternehmen herangezogen wird, weil es nämlich dann keine Chance gebe, um sich nach einigen Jahren gegen behauptete Vorwürfe wehren und freibeweisen zu können.

Worum ging es in dem Verfahren?
Eine einstige Kundin einer Telekom-Firma verlangte Auskunft, welche Daten von ihr nach ihrer Kündigung noch gespeichert seien. Dadurch erfuhr sie, dass die Firma neben Name, Adresse, SIM-Daten u.a. auch Geburtsdatum, Pass- und Kontodaten, etc. nach wie vor gespeichert hat. Daraufhin brachte sie eine Beschwerde bei der Datenschutzbehörde ein. Und das Ergebnis der Prüfung ist nun die erste Entscheidung der DSB zur Dauer der Datenspeicherung, seitdem die DSGVO in Kraft getreten ist.

Zwar nimmt die Behörde auf die speziellen Bestimmungen des Telekommunikationsgesetzes (TKG) Bezug, verweist aber ausdrücklich auch auf die DSGVO und das dort definierte Prinzip der Speicherbegrenzung. Und kommt zum Schluss, dass die Datenverarbeitung (und damit die Speicherung) rechtswidrig seien.
Ein Urteil, das für unsere Branche große Probleme verursachen könnte, wenn es 1:1 angewendet würde.

Konkret steht im Urteil:
„Wenn sich die Beschwerdegegnerin (Anmerkung Redaktion: also die Telekom-Firma) bei der Speicherung von Stammdaten auf die zehnjährige Frist des § 207 Abs. 2 BAO beruft (Anmerkung: BAO ist die Bundesabgabenordnung und regelt u.a. die Verjährung von Abgaben), so verkennt sie, dass hierbei lediglich eine Verjährungsfrist, jedoch keine konkrete Verpflichtung zur Aufbewahrung von Daten normiert wird. Eine gesetzliche Verpflichtung, Stammdaten über die Frist nach § 97 Abs. 2 TKG 2003 aufzubewahren, kann aus § 207 Abs. 2 BAO nicht abgeleitet werden. Auch der Verfassungsgerichtshof geht in seiner jüngeren Rechtsprechung davon aus, dass die weitere Aufbewahrung von Daten durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein muss. Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus (siehe dazu das Erkenntnis vom 12. Dezember 2017, GZ E3249/2016).“

Es ist schwer abzuschätzen, ob die DSB eine andere Entscheidung getroffen hätte, wenn sich die Telekom-Firma nicht ausdrücklich auf die 10-jährige Frist des §207 BAO berufen hätte.

Denn an anderer Stelle des Urteils steht:
„Anders verhält es sich mit § 132 Abs. 1 BAO, welcher eine Aufbewahrungspflicht von Büchern und Aufzeichnungen für sieben Jahren normiert und somit auch den datenschutzrechtlichen Vorgaben des Art. 5 Abs. 1 lit. e DSGVO bzw. von § 97 Abs. 2 TKG 2003 entspricht. Die Beschwerdegegnerin ist daher befugt, Stammdaten gemäß § 132 Abs. 1 BAO für die Dauer von sieben Jahren aufzubewahren.“

Diese Passage im Urteil bedeutet, dass Sie personenbezogen Daten u.a. für Steuerzwecke 7 Jahre aufbewahren dürfen, weil Sie die Daten (für Kontrollen) aufbewahren MÜSSEN.

Beweisnotstand nach 7 Jahren?
Speziell für unsere Branche ergibt sich das Problem, dass Prozesse erst viele Jahre später eintreten. Denken Sie an die letzten 10 Jahre, wo zahlreiche (etwa über schlechte Performance) verärgerte Kunden zu Recht oder Unrecht Jahre später eine unvollständige / falsche Beratung behaupteten und Klagen einbrachten. Und sich für die „beteiligten Firmen“ daher die Notwendigkeit des Freibeweisens stellte und künftig weiter stellen wird.
Denn: Wie soll man Beweise für ein korrektes Arbeiten vorlegen, wenn man alle personenbezogenen Daten (etwa das Beratungsprotokoll) nach Ablauf der gesetzlich vorgesehenen Aufbewahrungspflicht – also der 7 Jahre – löschen muss?
Sollte also obiges Urteil der Datenschutzbehörde als Blaupause für weitere Verfahren dienen, dann drohen große Probleme für die Vermittler, aber auch Banken, Versicherungen, Wertpapierfirmen, etc.

Wir haben daher Mag. Stephan Novotny, Rechtsanwalt mit Spezialisierung auf Versicherungsrecht und DSGVO um seine Einschätzung gebeten.
„Nach Studium der Entscheidung, angeführten Gesetzesstellen und zitierten Judikatur des
Verfassungsgerichtshofes ist eine gewisse Tendenz erkennbar, dass Daten nur so lange aufbewahrt werden dürfen, als es dazu eine gesetzliche Verpflichtung gibt.

  1. Im gegenständlichen Fall geht es allerdings um bestimmte im TKG 2003 schon angeführte Aufbewahrungsfristen für Stamm- und Verkehrsdaten, die von der Telekom Gesellschaft nicht eingehalten wurden, insbesondere im Hinblick auf die Verkehrsdaten (sechs statt drei Monate). Ob die Begründung der Entscheidung dann auch für die Versicherungswirtschaft so ausfallen würde, dass personenbezogene Daten nicht länger als in der BAO vorgesehen aufbewahrt werden dürfen, ist die Frage.
    Die Begründung, dass sie nur bei anhängigen oder drohenden Verfahren länger aufbewahrt werden dürfen, als in der Vorschrift zur Aufbewahrungspflicht vorgesehen, ist zumindest „interessant“, falls sie auch für die 30-jährige Frist für Schadenersatzansprüche gegen Versicherungsvermittler verwendet werden sollte.

  1. In der zitierten Entscheidung des Verfassungsgerichtshofes ging es um die Aufbewahrung von personenbezogenen Daten bei einem Finanzamt und die Abwägung zwischen Überwiegens des öffentlichen Interesses an der Aufbewahrung der Akten gegenüber dem Löschungsinteresse der Beschwerdeführerin. Auch hier war die Möglichkeit, dass die Beschwerdeführerin weitere Anträge und Klagen gegen das Finanzamt einbringt, nicht ausreichend, um die Daten weiterhin (also länger) aufbewahren zu dürfen.

  1. Soweit mir ersichtlich liegt NOCH KEINE Entscheidung über personenbezogene Daten von Versicherungskunden vor. Auch Judikatur seitens der DSB habe ich dazu keine gefunden. Es gilt daher noch abzuwarten.

Wenn das obige Urteil „als Blaupause“ für alle Branchen und Unternehmen verwendet werden sollte, dann ist anzunehmen, dass die oftmals im Verfahrensverzeichnis definierte 30-jährige Speicherfrist nicht erlaubt sein wird. Was sehr unbefriedigend wäre, weil sich der Versicherungsvermittler im Einzelfall dann nicht freibeweisen kann, weil er nicht mehr über bestimmte Daten verfügt, die er dazu allenfalls braucht.

Zwar glaube ich nicht, dass dieses Urteil 1:1 auf unsere Branche angewandt werden wird (denn Spätschäden treten oft erst nach vielen Jahren auf), aber mit Sicherheit kann man das erst dann feststellen, wenn weitere Urteile (Datenschutzbehörde und/oder Gerichte) zu diesem Themenkreis gefällt werden. Wahrscheinlich gilt es im Einzelfall abzuwägen: Das Interesse des Einzelnen (auf Löschen) gegenüber den berechtigten Interessen des Versicherungsvermittlers/Versicherers, sich z.B. in Fällen, in denen er wegen falscher Beratung in Anspruch genommen wird, freibeweisen zu können.“ Soweit Mag. Novotny zur Entscheidung der Datenschutzbehörde.

Wie soll man sich also verhalten? Ein paar praktische Überlegungen:
a) So lange es keine weiteren Urteile gibt, die ausdrücklich die Löschpflicht nach 7 Jahren auch für die Finanz- und Versicherungsbranche festlegen, sollte man sich weiterhin für drohende Prozesse rüsten und alles dokumentieren und speichern.

b) Aufgrund der IDD sind Sie verpflichtet die Beratung zu dokumentieren. Dieses sollten Sie daher unbedingt tun (auch um beweisen zu können, dass Sie innerhalb des Zielmarktes vermittelt haben, etc.) und danach abspeichern, um sich künftig freibeweisen zu können.

Auch die unterschriebenen Versicherungsanträge sollten Sie speichern.
Dazu wieder Mag. Novotny:
„Gesetzlich geregelt ist, dass Unterlagen zumindest für die Finanzbehörden 7 Jahre aufbewahrt werden müssen. Hierfür reicht eine elektronische Archivierung aus, sodass der Papierantrag grundsätzlich vernichtet werden kann. Außer es gibt eine anders lautende vertragliche Vereinbarungen mit Versicherer, Kunden etc.
Aber das wäre dann keine gesetzliche Regelung, sondern eine vertragliche Vereinbarung.“

Häufige Frage dazu: Kann ich alle Anträge vernichten, sobald ich diese an die Versicherung weitergeleitet habe? (über das Programm der Versicherung habe ich ohnehin Zugriff auf die Anträge).

Mag. Novotny: „Ich würde aus Beweisgründen selbst eine elektronische Archivierung vornehmen und die Daten auch selbst bei mir speichern. Zwar handelt es sich um sogenannte „gemeinsame Dokumente“, in möglichen Streitfällen könnte drohen, dass die Dokumente nicht auffindbar sind.“

Welche Tipps könnte man noch für die tägliche Praxis geben?

  1. Holen Sie sich vom Kunden – z.B. im Zuge des Ausfüllens des Beratungsprotokoll – die Zustimmung zur Speicherung bis zum Ablauf der absoluten Verjährungsfrist ein. Am besten in jene Passagen einarbeiten, die das Speichern der personenbezogenen Daten betreffen und unterschreiben lassen.

  2. Füllen Sie das Verfahrensverzeichnis korrekt aus und definieren Sie für jede Datenkategorie wie lange sie diese speichern und warum. Es ist anzunehmen, dass die DSB sich bei Prüfungen bzw. Rechtsstreitereien dieses Verzeichnis genau ansehen und die dortigen Begründungen prüfen wird.

  3. Auch eine vorbildliche Umsetzung der DSGVO z.B. in Form eines genau beschriebenen und in der Praxis eingehaltenen Prozesses für Auskunfts- und Löschbegehren sollte Punkte bei der Prüfung bringen. In einem Lösch-Konzept könnten Sie z.B. definieren, welche Daten Sie im Falle eines Löschwunsches löschen können   (z.B. die Telefonnummer, etc.) und welche nicht (z.B. alle steuerrelevanten Daten).

Wir haben auch mit anderen Experten Kontakt aufgenommen, u.a. versuchen wir über diesem Wege heraus zu finden, wie andere Datenschutzbehörden in Europa dieses Urteil bewerten und eventuell anwenden oder zu anderen Beurteilungen kommen.

Wie oben geschrieben: Wahrscheinlich werden in den nächsten Monaten weitere Urteile – auch zu diesem Problemkreis – Klarheit bringen. Wir halten Sie weiter topaktuell informiert.

 
Für Rückfragen:
MAG. STEPHAN M. NOVOTNY
Rechtsanwalt- Attorney at Law / Akademischer Versicherungskaufmann / Collaborative Law Lawyer
 
Weihburggasse 4/2/26, A-1010 Wien
Tel: +43 / 1 / 512 93 37
Fax +43 / 1 / 512 93 37 93
Mob. +43 / 664 / 143 29 11
kanzlei@ra-novotny.at
www.ra-novotny.at
 
Quellen: Mag. Stephan Novotny (Fachanwalt für Versicherungsrecht und DSGVO, Mag. Günter Wagner, B2B-Projekte für Finanz- und Versicherungsbranche, Der Standard, DER TREND
Zurück zum Seiteninhalt