Datenschutzbehörde

Rechtssätze

Hinweis: Es wurden keine Rechtssätze für das Dokument 'DSBT_20180528_DSB_D216_471_0001_DSB_2018_00' im RIS-Datenbestand gefunden.

Entscheidungstext DSB-D216.471/0001-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid Beschwerde

Geschäftszahl

DSB-D216.471/0001-DSB/2018

Entscheidungsdatum

28.05.2018

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

DSG §24 Abs5
DSG §69 Abs4
TKG 2003 §92 Abs3 Z3
TKG 2003 §92 Abs3 Z4
TKG 2003 §97 Abs2
TKG 2003 §99 Abs2
BAO §132 Abs1
BAO §207 Abs2
DSGVO Art5 Abs1 lite
DSGVO Art57 Abs1 litf
DSGVO Art58 Abs2 litd
DSGVO Art77 Abs1
DSGVO Art77 Abs2
  1. DSG Art. 2 § 69 heute
  2. DSG Art. 2 § 69 gültig ab 15.07.2024 zuletzt geändert durch BGBl. I Nr. 70/2024
  3. DSG Art. 2 § 69 gültig von 25.05.2018 bis 14.07.2024 zuletzt geändert durch BGBl. I Nr. 24/2018
  4. DSG Art. 2 § 69 gültig von 25.05.2018 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 120/2017
  1. TKG 2003 § 92 gültig von 01.01.2019 bis 31.10.2021 aufgehoben durch BGBl. I Nr. 190/2021
  2. TKG 2003 § 92 gültig von 01.01.2019 bis 30.11.2018 zuletzt geändert durch BGBl. I Nr. 29/2018
  3. TKG 2003 § 92 gültig von 01.12.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 78/2018
  4. TKG 2003 § 92 gültig von 01.07.2014 bis 30.11.2018 zuletzt geändert durch BGBl. I Nr. 44/2014
  5. TKG 2003 § 92 gültig von 22.11.2011 bis 30.06.2014 zuletzt geändert durch BGBl. I Nr. 102/2011
  6. TKG 2003 § 92 gültig von 19.05.2011 bis 21.11.2011 zuletzt geändert durch BGBl. I Nr. 27/2011
  7. TKG 2003 § 92 gültig von 20.08.2003 bis 18.05.2011
  1. TKG 2003 § 92 gültig von 01.01.2019 bis 31.10.2021 aufgehoben durch BGBl. I Nr. 190/2021
  2. TKG 2003 § 92 gültig von 01.01.2019 bis 30.11.2018 zuletzt geändert durch BGBl. I Nr. 29/2018
  3. TKG 2003 § 92 gültig von 01.12.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 78/2018
  4. TKG 2003 § 92 gültig von 01.07.2014 bis 30.11.2018 zuletzt geändert durch BGBl. I Nr. 44/2014
  5. TKG 2003 § 92 gültig von 22.11.2011 bis 30.06.2014 zuletzt geändert durch BGBl. I Nr. 102/2011
  6. TKG 2003 § 92 gültig von 19.05.2011 bis 21.11.2011 zuletzt geändert durch BGBl. I Nr. 27/2011
  7. TKG 2003 § 92 gültig von 20.08.2003 bis 18.05.2011
  1. TKG 2003 § 97 gültig von 01.01.2019 bis 31.10.2021 aufgehoben durch BGBl. I Nr. 190/2021
  2. TKG 2003 § 97 gültig von 01.01.2019 bis 30.11.2018 zuletzt geändert durch BGBl. I Nr. 29/2018
  3. TKG 2003 § 97 gültig von 01.12.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 78/2018
  4. TKG 2003 § 97 gültig von 19.05.2011 bis 30.11.2018 zuletzt geändert durch BGBl. I Nr. 27/2011
  5. TKG 2003 § 97 gültig von 20.08.2003 bis 18.05.2011
  1. TKG 2003 § 99 gültig von 01.12.2021 bis 31.10.2021 aufgehoben durch BGBl. I Nr. 190/2021
  2. TKG 2003 § 99 gültig von 01.12.2018 bis 31.10.2021 aufgehoben durch BGBl. I Nr. 190/2021
  3. TKG 2003 § 99 gültig von 01.06.2018 bis 30.11.2018 zuletzt geändert durch BGBl. I Nr. 27/2018
  4. TKG 2003 § 99 gültig von 01.07.2016 bis 31.05.2018 zuletzt geändert durch BGBl. I Nr. 6/2016
  5. TKG 2003 § 99 gültig von 01.07.2014 bis 30.06.2016 zuletzt geändert durch BGBl. I Nr. 44/2014
  6. TKG 2003 § 99 gültig von 22.11.2011 bis 30.06.2014 zuletzt geändert durch BGBl. I Nr. 102/2011
  7. TKG 2003 § 99 gültig von 19.05.2011 bis 21.11.2011 zuletzt geändert durch BGBl. I Nr. 27/2011
  8. TKG 2003 § 99 gültig von 20.08.2003 bis 18.05.2011
  1. BAO § 132 heute
  2. BAO § 132 gültig ab 13.01.1999 zuletzt geändert durch BGBl. I Nr. 28/1999
  3. BAO § 132 gültig von 10.01.1998 bis 12.01.1999 zuletzt geändert durch BGBl. I Nr. 9/1998
  4. BAO § 132 gültig von 19.04.1980 bis 09.01.1998 zuletzt geändert durch BGBl. Nr. 151/1980
  1. BAO § 207 heute
  2. BAO § 207 gültig ab 01.03.2014 zuletzt geändert durch BGBl. I Nr. 13/2014
  3. BAO § 207 gültig von 15.12.2010 bis 28.02.2014 zuletzt geändert durch BGBl. I Nr. 105/2010
  4. BAO § 207 gültig von 26.03.2009 bis 14.12.2010 zuletzt geändert durch BGBl. I Nr. 20/2009
  5. BAO § 207 gültig von 01.01.2005 bis 25.03.2009 zuletzt geändert durch BGBl. I Nr. 57/2004
  6. BAO § 207 gültig von 30.12.2000 bis 31.12.2004 zuletzt geändert durch BGBl. I Nr. 142/2000
  7. BAO § 207 gültig von 10.01.1998 bis 29.12.2000 zuletzt geändert durch BGBl. I Nr. 9/1998
  8. BAO § 207 gültig von 27.08.1994 bis 09.01.1998 zuletzt geändert durch BGBl. Nr. 681/1994
  9. BAO § 207 gültig von 01.12.1993 bis 26.08.1994 zuletzt geändert durch BGBl. Nr. 818/1993
  10. BAO § 207 gültig von 19.04.1980 bis 30.11.1993 zuletzt geändert durch BGBl. Nr. 151/1980

Text

GZ: DSB-D216.471/0001-DSB/2018 vom 28.5.2018

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der Alice A*** (Beschwerdeführerin) vom 6. Juli 2017 gegen die N***-Telecom GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung in Folge Speicherung von personenbezogenen Daten über einen gesetzlich zulässigen Zeitraum wie folgt:

1.   Der Beschwerde wird stattgegeben und festgestellt, dass die Beschwerdegegnerin die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung verletzte, indem sie deren personenbezogene Daten über einen zulässigen Zeitraum hinaus verarbeitete.

2.   Der Beschwerdegegnerin wird aufgetragen, binnen einer Frist von zwei Wochen bei sonstiger Exekution

a)   die Speicherung von Stammdaten der Beschwerdeführerin auf einen Zeitraum von höchstens sieben Jahren zu beschränken;

b)   Verkehrsdaten der Beschwerdeführerin zu löschen;

c)   alle personenbezogenen Daten der Beschwerdeführerin, welche keine Stamm- oder Verkehrsdaten sind, zu löschen.

Rechtsgrundlagen: Paragraph 132, Absatz eins,, Paragraph 207, Absatz 2, der Bundesabgabenordnung (BAO), Bundesgesetzblatt Nr. 194 aus 1961, idgF; Paragraphen 24 und 69 des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF; Paragraphen 92, Absatz 3, Ziffer 3 und Ziffer 4,, 97 Absatz 2 und 99 Absatz 2, des Telekommunikationsgesetzes 2003 (TKG 2003), Bundesgesetzblatt Teil eins, Nr. 70 aus 2003, idgF; Artikel 5, Absatz eins, Litera e,, Artikel 57, Absatz eins, Litera f,, Artikel 58, Absatz 2, Litera d und Artikel 77, der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 S. 1.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

Die Beschwerdeführerin brachte in ihrer Eingabe nach Paragraph 30, Absatz eins, DSG 2000 vom 6. Juli 2017 sowie einer weiteren Stellungnahme vom 17. Juli 2017 an die Datenschutzbehörde im Wesentlichen vor, dass die Beschwerdegegnerin ihre personenbezogenen Daten über einen gesetzlich zulässigen Zeitraum hinaus speichere. So sei ihr im Zuge eines Auskunftsbegehrens nach Paragraph 26, Absatz eins, DSG 2000 von der Beschwerdegegnerin mitgeteilt worden, dass Stammdaten auf der Grundlage von Paragraph 132, BAO und Paragraph 212, UGB für einen Zeitraum von zehn Jahren gespeichert würden. Davon umfasst seien jedoch nicht nur Stammdaten nach Paragraph 92, Absatz 3, Ziffer 3, TKG 2003, sondern auch weitere personenbezogene Daten wie etwa Geburtsdatum, Geburtsort und Nationalität. Zudem habe die Beschwerdegegnerin auch in unzulässiger Weise Verkehrsdaten für einen Zeitraum von sechs Monaten gespeichert.

Die Beschwerdegegnerin erwiderte in ihrer Stellungnahme vom 13. Juli 2017 zusammengefasst, die Speicherung von Stammdaten für einen Zeitraum von zehn Jahren habe aufgrund der gesetzlichen Bestimmungen des Paragraph 207, Absatz 2, BAO zu erfolgen und sei daher die Einschreiterin in ihrem Grundrecht auf Datenschutz nicht verletzt.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin personenbezogenen Daten der Beschwerdeführerin über einen gesetzlich zulässigen Zeitraum hinaus gespeichert und dadurch die Beschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt hat.

C. Sachverhaltsfeststellungen

Die Beschwerdegegnerin betreibt einen Telekommunikationsdienst. Zwischen der Beschwerdeführerin und der Beschwerdegegnerin bestand ein Vertragsverhältnis, welches September 2015 beendet wurde. Ein Auskunftsersuchen der Beschwerdeführerin im Frühjahr 2017 ergab, dass die Beschwerdegegnerin auch nach Beendigung des Vertragsverhältnisses gewisse Daten speichert. Die Beschwerdegegnerin speichert (neben weiteren personenbezogenen Daten, siehe nächsten Absatz) Stammdaten für die Dauer von 10 Jahren und Verkehrsdaten für die Dauer von 6 Monaten.

Konkret sind folgende personenbezogene Daten der Beschwerdeführerin auch nach Beendigung der Vertragsverhältnisse gespeichert:

Vertragsname:

Alice A***

Anschrift:

***dorf *4, A-*45* ***dorf

Anschrift:

***dorf *4, A-*45* O**markt-***wang

Geburtsdatum:

**.**.199*

Geburtsort:

H**stadt

Ausweistyp:

Reisepass

Ausweisnummer:

*2*4*56*0

Behörde:

BH R***

Nat.:

AT

IBAN:

AT8xxxxxxxxxxxxxx4*5

BIC:

R**4*5U

Bank:

RAIFFEISENBANK ***** EGEN

Kontoinhaber:

Peter Z***

Anmerkung:

Der IBAN wird aus Sicherheitsgründen nur verkürzt dargestellt.

Werbung:

Ja

Vertragsart:

mobil

Kundennummer:

*5*8**33*27

Rufnummer:

+43 6** 5*4*8*3**

SIM Tausch:

**.**.2013

SIM alt:

A*4*76**2*6****

SIM neu:

A74*77*1*6*8**5

Erste Aktivierung:

**,**,2009

Tarif:

*****

Status:

**.**.2015 gekündigt / Port Out

Hilfs-Rufnummer für Port-Out:

+43 6** *78*3**1 – geheim

SIM:

A74*77*1*6*8**5

Erste Aktivierung:

**.**.2015

Tarif:

*****

Status:

**.**.2015 gekündigt

Andere Verfahren, als jenes vor der Datenschutzbehörde, in welchem die genannten Daten verfahrensrelevant sind, sind nicht aktenkundig.

Beweiswürdigung: Die Feststellungen beruhen auf dem Vorbringen der Beschwerdeführerin vom 6. Juli 2017 und den dortigen Beilagen, insbesondere der Beantwortung des Auskunftsersuchens durch die Beschwerdegegnerin, sowie der Stellungnahme der Beschwerdegegnerin vom 13. Juli 2017.

D. In rechtlicher Hinsicht folgt daraus:

Allgemeines:

Entsprechend der ab 25. Mai 2018 geltenden Rechtslage war das bisher nach Paragraph 30, DSG 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 83 aus 2013,, geführte Verfahren als Beschwerdeverfahren nach Paragraph 24, DSG, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF, fortzuführen vergleiche dazu Paragraph 69, Absatz 4, DSG).

Gemäß Artikel 5, Absatz eins, Litera e, DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer oder organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89, Absatz eins, verarbeitet werden („Speicherbegrenzung“) (Hervorhebungen durch die Datenschutzbehörde).

In der gegenständlichen Rechtssache stellt sich die Frage, ob eine längere Aufbewahrungsdauer der personenbezogenen Daten, auch über die Beendigung der Vertragsverhältnisse und somit über die Zweckerreichung hinaus, gerechtfertigt ist.

Zu den Stammdaten:

Gemäß Paragraph 97, Absatz 2, TKG 2003 sind Stammdaten spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen.

Wenn sich die Beschwerdegegnerin bei der Speicherung von Stammdaten auf die zehnjährige Frist des Paragraph 207, Absatz 2, BAO beruft, so verkennt sie, dass hierbei lediglich eine Verjährungsfrist, jedoch keine konkrete Verpflichtung zur Aufbewahrung von Daten normiert wird. Eine gesetzliche Verpflichtung, Stammdaten über die Frist nach Paragraph 97, Absatz 2, TKG 2003 aufzubewahren, kann aus Paragraph 207, Absatz 2, BAO nicht abgeleitet werden. Auch der Verfassungsgerichtshof geht in seiner jüngeren Rechtsprechung davon aus, dass die weitere Aufbewahrung von Daten durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein muss. Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus (siehe dazu das Erkenntnis vom 12. Dezember 2017, GZ E3249/2016).

Anders verhält es sich mit Paragraph 132, Absatz eins, BAO, welcher eine Aufbewahrungspflicht von Büchern und Aufzeichnungen für sieben Jahren normiert und somit auch den datenschutzrechtlichen Vorgaben des Artikel 5, Absatz eins, Litera e, DSGVO bzw. von Paragraph 97, Absatz 2, TKG 2003 entspricht.

Die Beschwerdegegnerin ist daher befugt, Stammdaten gemäß Paragraph 132, Absatz eins, BAO für die Dauer von sieben Jahren aufzubewahren.

Zu den Verkehrsdaten:

Gemäß Paragraph 99, Absatz 2, TKG 2003 hat der Betreiber eines öffentlichen Kommunikationsnetzes oder –dienstes Verkehrsdaten zu speichern, sofern dies für Zwecke der Verrechnung von Endkunden- oder Vorleistungsentgelten erforderlich ist. Die Verkehrsdaten sind zu löschen oder zu anonymisieren, sobald der Bezahlvorgang durchgeführt wurde und innerhalb einer Frist von drei Monaten die Entgelte nicht schriftlich beeinsprucht wurden.

Die Datenschutzbehörde versteht zwar, dass die Beschwerdegegnerin im Hinblick auf den entsprechenden Postlauf bzw. interne Prozesse eine pauschale sechsmonatige Speicherdauer für Verkehrsdaten willkommen heißt, jedoch entspricht auch dies nicht den gesetzlichen Vorgaben des Artikel 5, Absatz eins, Litera e, DSGVO und stellt somit eine Verletzung des Grundrechtes auf Datenschutz dar.

Die Beschwerdegegnerin ist daher auch hier nur befugt, Verkehrsdaten gemäß Paragraph 99, Absatz 2, TKG 2003 für die Dauer von längstens drei Monaten bzw. entsprechend der im TKG 2003 normierten Einspruchsfrist zu speichern.

Da das Vertragsverhältnis zwischen der Beschwerdeführerin und Beschwerdegegnerin bereits im September 2015 beendet wurde, ist zum jetzigen Zeitpunkt die Frist von drei Monaten gemäß Paragraph 99, Absatz 2,

TKG 2003 jedenfalls abgelaufen und hat die Beschwerdegegnerin somit sämtliche Verkehrsdaten der Beschwerdeführerin zu löschen.

Zu den sonstigen Daten:

Wie ausgeführt, ist daher die Speicherung von Stamm- als auch Verkehrsdaten für gewisse Zeiträume nach Beendigung des Vertragsverhältnisses gesetzlich zulässig.

Die Beschwerdegegnerin speichert jedoch nach eigenen Angaben darüberhinausgehende, personenbezogene Daten, wie sich aus der oben angeführten Tabelle zu entnehmen lässt. Die Datenschutzbehörde konnte im Zuge des Verfahrens keine besondere gesetzliche Vorschrift ermitteln, wonach eine längere Speicherung von personenbezogenen Daten, als für den Zweck, für welchen sie ermittelt wurden, erforderlich erscheint.

Die über den Vertragszeitraum hinausgehende Speicherung von personenbezogenen Daten, die keine Stamm- oder Verkehrsdaten nach dem TKG 2003 sind, widerspricht daher ebenfalls dem Prinzip der Speicherbegrenzung nach Artikel 5, Absatz eins, Litera e, DSGVO und ist von der Beschwerdegegnerin zu unterlassen.

Schlussfolgerung:

Die Datenverarbeitung erweist sich im spruchmäßigen Umfang als rechtswidrig.

Für die Widerherstellung des datenschutzkonformen Zustandes war die Datenschutzbehörde daher gemäß Artikel 58, Absatz 2, Litera d, DSGVO in Verbindung mit Paragraph 24, Absatz 5, DSG berechtigt, die Beschwerdegegnerin binnen einer gesetzten Frist spruchgemäß anzuweisen den rechtskonformen Zustand herzustellen.

Schlagworte

Geheimhaltung, Rechtmäßigkeit der Verarbeitung, Speicherdauer, Telekom-Unternehmen, Mobilfunk, Vertragskündigung, Stammdaten, Verkehrsdaten, Löschungsauftrag, Übergangsfall (§ 30 DSG 2000)

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2018:DSB.D216.471.0001.DSB.2018

Zuletzt aktualisiert am

24.07.2018

Dokumentnummer

DSBT_20180528_DSB_D216_471_0001_DSB_2018_00