2023-03-27

Löschbegehren - Game Over?

Der Kunde stellt ein Löschbegehren - Game Over? Muss ich alle Daten löschen?

Wenn ich als Unternehmer mit einem Löschbegehren konfrontiert werde, kann eine unüberlegte Handhabung desselbigen behördliche Strafen und die juristische Wehrlosigkeit in einem Rechtsstreit zur Folge haben!

Die Handhabung eines Löschbegehrens am Beispiel eines handwerklichen Betriebes:

Die erste Überlegung betrifft die Identität des Begehrenden - Kann ich die Identität zweifelsfrei feststellen?
Wenn dies nicht der Fall ist, habe ich das Recht einen Identitätsnachweis zu verlangen. Dieser kann beispielsweise durch die Übermittlung einer Ausweiskopie erfolgen.

Ist die Identität zweifelsfrei festgestellt, muss ich mir folgende Frage stellen: Welche Daten des Kunden speichere ich? Auf welcher Rechtsgrundlage speichere ich diese Daten?
Beispiel: Ein Holzbau-Meister plant und montiert einen Dachstuhl für seinen Kunden. Name, Adresse, Telefonnummer, E-Mail etc. werden gespeichert. Diese Daten speichert der Unternehmer um den Auftrag ausführen zu können - in den Worten des Art. 6 Abs. 1 lit. b DSGVO - zur Erfüllung des Vertrages. Eine Einwilligung zur Speicherung des Kunden ist hier nicht erforderlich.

In einem nächsten Schritt muss sich der Unternehmer die Frage stellen, ob er diese Daten weiterhin speichern muss bzw. ob er die Daten in Zukunft noch benötigt! Die Antwort ist eindeutig: Ja!
§ 132 Abs. 1 BAO und §§ 190, 212 UGB normieren die steuerrechtliche und unternehmensrechtliche Aufbewahrungspflicht: 7 Jahre! Vorsicht - Von diesen Fristen sind nicht alle Datensätze betroffen, sondern nur jene, welche der Unternehmer aufgrund der gesetzlichen Bestimmungen aufbewahren muss!

Als Handwerker bin ich potentiellen Gewährleistungs-, Produkthaftungs- und Schadenersatzansprüchen ausgesetzt! Jene Datensätze, welche ich benötige, um bei derartigen zivilrechtlichen Haftungsfragen in einem Beweiswürdigungsverfahren Stand zu halten, können weiterhin gespeichert werden! Hier kann als Grundlage die längste zivilrechtliche Haftungs- und Verjährungsfrist, 30 Jahre, herangezogen werden - allerdings entspricht dies nicht dem Grundsatz der Datenminimierung! Um die Daten auf diese Dauer speichern zu können, gibt es aus meiner Sicht zwei Möglichkeiten: Entweder lege ich in meinem Betrieb ein entsprechendes Löschkonzept fest oder ich nutze die bestehenden TOM’s und pseudonymisiere und verschlüssle die Datensätze auf eine Weise, dass sie betriebsintern nicht mehr “für jeden” abrufbar sind.

Habe ich diese Fragen beantwortet, kann ich dem Löschbegehren antworten! Jene Daten, welche ich nicht mehr benötige, werden gelöscht und jene Daten, welche nach obigen Überlegungen weiterhin betriebsrelevant bzw. gesetzlich verpflichtend sind, werden weiterhin verarbeitet! Hinsichtlich dieser Daten gebe ich dem Begehrenden eine negative Rückmeldung!

Ein Löschbegehren ist ein aufwendiges und zeitintensives Unterfangen, kann den Unternehmer bei unüberlegter Handhabung allerdings Kopf und Kragen kosten! Meine Empfehlung: Nehmen Sie sich die Zeit, analysieren Sie alle Datensätze und die dazugehörigen Speicher- und Aufbewahrungspflichten und überlegen Sie sich, welche Daten Sie bei allfälligen Rechtsstreitigkeiten zur Beweiswürdigung benötigen.

Omnia tempus habent - zumindest bis zum Ablauf eines Monats! Das im Verordnungswortlaut verwendete Adjektiv “unverzüglich” kann in den seltensten Fällen erfüllt werden!

Ein Löschbegehren ist immer im Einzelfall zu prüfen und kann je nach Umfang der verarbeiteten Daten intensiver ausfallen!