Datenschutzbehörde (vor 2014: Datenschutzkommission)

Entscheidungstext DSB-D216.471/0001-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid Beschwerde

Geschäftszahl

DSB-D216.471/0001-DSB/2018

Entscheidungsdatum

28.05.2018

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

DSG §24 Abs5
DSG §69 Abs4
TKG 2003 §92 Abs3 Z3
TKG 2003 §92 Abs3 Z4
TKG 2003 §97 Abs2
TKG 2003 §99 Abs2
BAO §132 Abs1
BAO §207 Abs2
DSGVO Art5 Abs1 lite
DSGVO Art57 Abs1 litf
DSGVO Art58 Abs2 litd
DSGVO Art77 Abs1
DSGVO Art77 Abs2

Text

GZ: DSB-D216.471/0001-DSB/2018 vom 28.5.2018

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der Alice A*** (Beschwerdeführerin) vom 6. Juli 2017 gegen die N***-Telecom GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung in Folge Speicherung von personenbezogenen Daten über einen gesetzlich zulässigen Zeitraum wie folgt:

1.    Der Beschwerde wird stattgegeben und festgestellt, dass die Beschwerdegegnerin die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung verletzte, indem sie deren personenbezogene Daten über einen zulässigen Zeitraum hinaus verarbeitete.

2.    Der Beschwerdegegnerin wird aufgetragen, binnen einer Frist von zwei Wochen bei sonstiger Exekution

a)    die Speicherung von Stammdaten der Beschwerdeführerin auf einen Zeitraum von höchstens sieben Jahren zu beschränken;

b)    Verkehrsdaten der Beschwerdeführerin zu löschen;

c)    alle personenbezogenen Daten der Beschwerdeführerin, welche keine Stamm- oder Verkehrsdaten sind, zu löschen.

Rechtsgrundlagen: § 132 Abs. 1, § 207 Abs. 2 der Bundesabgabenordnung (BAO), BGBl Nr. 194/1961 idgF; §§ 24 und 69 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; §§ 92 Abs. 3 Z 3 und Z 4, 97 Abs. 2 und 99 Abs. 2 des Telekommunikationsgesetzes 2003 (TKG 2003), BGBl I Nr. 70/2003 idgF; Art. 5 Abs. 1 lit. e, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 2 lit. d und Art. 77 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 S. 1.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

Die Beschwerdeführerin brachte in ihrer Eingabe nach § 30 Abs. 1 DSG 2000 vom 6. Juli 2017 sowie einer weiteren Stellungnahme vom 17. Juli 2017 an die Datenschutzbehörde im Wesentlichen vor, dass die Beschwerdegegnerin ihre personenbezogenen Daten über einen gesetzlich zulässigen Zeitraum hinaus speichere. So sei ihr im Zuge eines Auskunftsbegehrens nach § 26 Abs. 1 DSG 2000 von der Beschwerdegegnerin mitgeteilt worden, dass Stammdaten auf der Grundlage von § 132 BAO und § 212 UGB für einen Zeitraum von zehn Jahren gespeichert würden. Davon umfasst seien jedoch nicht nur Stammdaten nach § 92 Abs. 3 Z 3 TKG 2003, sondern auch weitere personenbezogene Daten wie etwa Geburtsdatum, Geburtsort und Nationalität. Zudem habe die Beschwerdegegnerin auch in unzulässiger Weise Verkehrsdaten für einen Zeitraum von sechs Monaten gespeichert.

Die Beschwerdegegnerin erwiderte in ihrer Stellungnahme vom 13. Juli 2017 zusammengefasst, die Speicherung von Stammdaten für einen Zeitraum von zehn Jahren habe aufgrund der gesetzlichen Bestimmungen des § 207 Abs. 2 BAO zu erfolgen und sei daher die Einschreiterin in ihrem Grundrecht auf Datenschutz nicht verletzt.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin personenbezogenen Daten der Beschwerdeführerin über einen gesetzlich zulässigen Zeitraum hinaus gespeichert und dadurch die Beschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt hat.

C. Sachverhaltsfeststellungen

Die Beschwerdegegnerin betreibt einen Telekommunikationsdienst. Zwischen der Beschwerdeführerin und der Beschwerdegegnerin bestand ein Vertragsverhältnis, welches September 2015 beendet wurde. Ein Auskunftsersuchen der Beschwerdeführerin im Frühjahr 2017 ergab, dass die Beschwerdegegnerin auch nach Beendigung des Vertragsverhältnisses gewisse Daten speichert. Die Beschwerdegegnerin speichert (neben weiteren personenbezogenen Daten, siehe nächsten Absatz) Stammdaten für die Dauer von 10 Jahren und Verkehrsdaten für die Dauer von 6 Monaten.

Konkret sind folgende personenbezogene Daten der Beschwerdeführerin auch nach Beendigung der Vertragsverhältnisse gespeichert:

Vertragsname:

Alice A***

Anschrift:

***dorf *4, A-*45* ***dorf

Anschrift:

***dorf *4, A-*45* O**markt-***wang

Geburtsdatum:

**.**.199*

Geburtsort:

H**stadt

Ausweistyp:

Reisepass

Ausweisnummer:

*2*4*56*0

Behörde:

BH R***

Nat.:

AT

IBAN:

AT8xxxxxxxxxxxxxx4*5

BIC:

R**4*5U

Bank:

RAIFFEISENBANK ***** EGEN

Kontoinhaber:

Peter Z***

Anmerkung:

Der IBAN wird aus Sicherheitsgründen nur verkürzt dargestellt.

Werbung:

Ja

 

Vertragsart:

 

mobil

Kundennummer:

*5*8**33*27

Rufnummer:

+43 6** 5*4*8*3**

SIM Tausch:

**.**.2013

SIM alt:

A*4*76**2*6****

SIM neu:

A74*77*1*6*8**5

Erste Aktivierung:

**,**,2009

Tarif:

*****

Status:

**.**.2015 gekündigt / Port Out

Hilfs-Rufnummer für Port-Out:

+43 6** *78*3**1 – geheim

SIM:

A74*77*1*6*8**5

Erste Aktivierung:

**.**.2015

Tarif:

*****

Status:

**.**.2015 gekündigt

 

Andere Verfahren, als jenes vor der Datenschutzbehörde, in welchem die genannten Daten verfahrensrelevant sind, sind nicht aktenkundig.

Beweiswürdigung: Die Feststellungen beruhen auf dem Vorbringen der Beschwerdeführerin vom 6. Juli 2017 und den dortigen Beilagen, insbesondere der Beantwortung des Auskunftsersuchens durch die Beschwerdegegnerin, sowie der Stellungnahme der Beschwerdegegnerin vom 13. Juli 2017.

D. In rechtlicher Hinsicht folgt daraus:

Allgemeines:

Entsprechend der ab 25. Mai 2018 geltenden Rechtslage war das bisher nach § 30 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, geführte Verfahren als Beschwerdeverfahren nach § 24 DSG, BGBl. I Nr. 165/1999 idgF, fortzuführen (vgl. dazu § 69 Abs. 4 DSG).

Gemäß Art. 5 Abs. 1 lit. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer oder organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“) (Hervorhebungen durch die Datenschutzbehörde).

In der gegenständlichen Rechtssache stellt sich die Frage, ob eine längere Aufbewahrungsdauer der personenbezogenen Daten, auch über die Beendigung der Vertragsverhältnisse und somit über die Zweckerreichung hinaus, gerechtfertigt ist.

Zu den Stammdaten:

Gemäß § 97 Abs. 2 TKG 2003 sind Stammdaten spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen.

Wenn sich die Beschwerdegegnerin bei der Speicherung von Stammdaten auf die zehnjährige Frist des § 207 Abs. 2 BAO beruft, so verkennt sie, dass hierbei lediglich eine Verjährungsfrist, jedoch keine konkrete Verpflichtung zur Aufbewahrung von Daten normiert wird. Eine gesetzliche Verpflichtung, Stammdaten über die Frist nach § 97 Abs. 2 TKG 2003 aufzubewahren, kann aus § 207 Abs. 2 BAO nicht abgeleitet werden. Auch der Verfassungsgerichtshof geht in seiner jüngeren Rechtsprechung davon aus, dass die weitere Aufbewahrung von Daten durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein muss. Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus (siehe dazu das Erkenntnis vom 12. Dezember 2017, GZ E3249/2016).

Anders verhält es sich mit § 132 Abs. 1 BAO, welcher eine Aufbewahrungspflicht von Büchern und Aufzeichnungen für sieben Jahren normiert und somit auch den datenschutzrechtlichen Vorgaben des Art. 5 Abs. 1 lit. e DSGVO bzw. von § 97 Abs. 2 TKG 2003 entspricht.

Die Beschwerdegegnerin ist daher befugt, Stammdaten gemäß § 132 Abs. 1 BAO für die Dauer von sieben Jahren aufzubewahren.

Zu den Verkehrsdaten:

Gemäß § 99 Abs. 2 TKG 2003 hat der Betreiber eines öffentlichen Kommunikationsnetzes oder –dienstes Verkehrsdaten zu speichern, sofern dies für Zwecke der Verrechnung von Endkunden- oder Vorleistungsentgelten erforderlich ist. Die Verkehrsdaten sind zu löschen oder zu anonymisieren, sobald der Bezahlvorgang durchgeführt wurde und innerhalb einer Frist von drei Monaten die Entgelte nicht schriftlich beeinsprucht wurden.

Die Datenschutzbehörde versteht zwar, dass die Beschwerdegegnerin im Hinblick auf den entsprechenden Postlauf bzw. interne Prozesse eine pauschale sechsmonatige Speicherdauer für Verkehrsdaten willkommen heißt, jedoch entspricht auch dies nicht den gesetzlichen Vorgaben des Art. 5 Abs. 1 lit. e DSGVO und stellt somit eine Verletzung des Grundrechtes auf Datenschutz dar.

Die Beschwerdegegnerin ist daher auch hier nur befugt, Verkehrsdaten gemäß § 99 Abs. 2 TKG 2003 für die Dauer von längstens drei Monaten bzw. entsprechend der im TKG 2003 normierten Einspruchsfrist zu speichern.

Da das Vertragsverhältnis zwischen der Beschwerdeführerin und Beschwerdegegnerin bereits im September 2015 beendet wurde, ist zum jetzigen Zeitpunkt die Frist von drei Monaten gemäß § 99 Abs. 2

TKG 2003 jedenfalls abgelaufen und hat die Beschwerdegegnerin somit sämtliche Verkehrsdaten der Beschwerdeführerin zu löschen.

Zu den sonstigen Daten:

Wie ausgeführt, ist daher die Speicherung von Stamm- als auch Verkehrsdaten für gewisse Zeiträume nach Beendigung des Vertragsverhältnisses gesetzlich zulässig.

Die Beschwerdegegnerin speichert jedoch nach eigenen Angaben darüberhinausgehende, personenbezogene Daten, wie sich aus der oben angeführten Tabelle zu entnehmen lässt. Die Datenschutzbehörde konnte im Zuge des Verfahrens keine besondere gesetzliche Vorschrift ermitteln, wonach eine längere Speicherung von personenbezogenen Daten, als für den Zweck, für welchen sie ermittelt wurden, erforderlich erscheint.

Die über den Vertragszeitraum hinausgehende Speicherung von personenbezogenen Daten, die keine Stamm- oder Verkehrsdaten nach dem TKG 2003 sind, widerspricht daher ebenfalls dem Prinzip der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO und ist von der Beschwerdegegnerin zu unterlassen.

Schlussfolgerung:

Die Datenverarbeitung erweist sich im spruchmäßigen Umfang als rechtswidrig.

Für die Widerherstellung des datenschutzkonformen Zustandes war die Datenschutzbehörde daher gemäß Art. 58 Abs. 2 lit. d DSGVO iVm § 24 Abs. 5 DSG berechtigt, die Beschwerdegegnerin binnen einer gesetzten Frist spruchgemäß anzuweisen den rechtskonformen Zustand herzustellen.

Schlagworte

Geheimhaltung, Rechtmäßigkeit der Verarbeitung, Speicherdauer, Telekom-Unternehmen, Mobilfunk, Vertragskündigung, Stammdaten, Verkehrsdaten, Löschungsauftrag, Übergangsfall (§ 30 DSG 2000)

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2018:DSB.D216.471.0001.DSB.2018

Zuletzt aktualisiert am

24.07.2018

Dokumentnummer

DSBT_20180528_DSB_D216_471_0001_DSB_2018_00