Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 ist die Unsicherheit bei Unternehmen groß. Datenverarbeiter haben sich mit zahlreichen neuen Fragen zu beschäftigen: Neben der Frage der Gestaltung von Einwilligungsformularen wird aktuell die Begrenzung der Speicherzeit thematisiert.

Aufgrund des in der DSGVO verankerten sinnvollen Ansatzes, dass Daten nicht grundlos lange gespeichert werden dürfen, wird bei den Unternehmen nunmehr die Angst geschürt, dass auch das Speichern von Daten verboten ist, auch wenn eine Verjährungsfrist noch läuft.

Diese Angst ist unbegründet: Daten dürfen zwar nur so lange gespeichert werden, solange dies für den Verarbeitungszweck notwendig ist; die konkrete Abwehr von Ansprüchen rechtfertigt eine längere Speicherung. Die Abwehr von Ansprüchen eines Kunden kann einem Unternehmer etwa nur gelingen, wenn in einem Prozess die entsprechenden Unterlagen (Daten) als Beweise vorgelegt werden können.

In der Praxis muss sohin auf die langen österreichischen Verjährungsfristen Rücksicht genommen werden. Unabhängig davon bleibt zu hoffen, dass die Reformbestrebungen betreffend das Verjährungsregime rasch umgesetzt werden.

Dreijährige Verjährungsfrist

Zunächst ist für jeden Sachverhalt zu prüfen, welche Daten für die konkrete Abwehr von Ansprüchen benötigt werden und welche Verjährungsfrist (drei oder 30 Jahre) denkbar ist. Auch wenn die 30-jährige Verjährungsfrist zwar die Ausnahme darstellt, können in einem Verfahren schon zum Beweis dafür, ob die dreijährige Verjährungsfrist zur Anwendung gelangt, bestimmte Daten benötigt werden: Konkret muss z. B. einem Kunden eine Vereinbarung vorgehalten werden können, wenn er behauptet, dass er eine Zahlung rechtsgrundlos geleistet hat; hier käme nämlich die 30-jährige Verjährungsfrist zur Anwendung.

In einem solchen Fall müssen die relevanten Unterlagen vorgelegt werden können und müssen daher auch entsprechend aufbewahrt werden dürfen, um zu beweisen, dass die Zahlung vertragsmäßig geleistet wurde – und sohin der dreijährigen Verjährungsfrist unterliegt.

Die teilweise verbreitete Ansicht, wonach Daten nach Ablauf der kurzen dreijährigen Verjährungsfrist jedenfalls zu löschen sind, ist verfehlt. Diese Ansicht würde zu folgendem groteskem Ergebnis führen: In einem gerichtlichen Verfahren könnte ein Kunde nach Ablauf der dreijährigen Verjährungsfrist einen Anspruch geltend machen, der erst nach 30 Jahren verjährt, z. B. weil er eine rechtsgrundlose Zahlung behauptet.

Unter der Annahme, dass das Unternehmen alle Daten nach drei Jahren gelöscht hat, könnte der Unternehmer im Verfahren nicht beweisen, dass die Zahlung aufgrund einer vertraglichen Verpflichtung erfolgte. Dieses Ergebnis kann vom Verordnungsgeber nicht gewünscht sein.

In der Praxis sollte in jedem Unternehmen eine klare Vorgehensweise definiert werden, wann welche Daten zu löschen sind, also ein konkretes Löschkonzept erstellt werden. Dabei muss differenziert werden, welche Daten aufbewahrt werden dürfen und welche gelöscht werden müssen. Zu viel und zu wenig zu löschen ist falsch! (Katrin Chladek, Wolfgang Stenzel, Thomas Seeber, 4.2.2019)