Datenschutz: Archivierung „gelöschter“ Daten ist unzulässig

Bereits der Widerspruch eines Betroffenen nach § 28 Abs 2 DSG 2000 verpflichtet den Auftraggeber – im vorliegenden Fall eine Wirtschaftsdatenbank –, die Daten physisch zu löschen, also so unkenntlich zu machen, dass eine Rekonstruktion nicht mehr möglich ist. Eine Änderung der Datenorganisation dahingehend, dass ein gezielter Zugriff auf die betreffenden Daten ausgeschlossen ist, reicht hingegen nicht aus.

Dieser Löschungsverpflichtung ist der Datenbankbetreiber laut OGH (OGH 13. 9. 2012, 6 Ob 107/12x) nicht nachgekommen. Die Daten wurden nur in der öffentlichen, allen Kunden zugänglichen Bonitätsdatenbank physisch gelöscht, nicht jedoch in der interenen „Produktionsdatenbank“, aus der die Bonitätsdatenbank gespeist wird und die nur ausgewählten Mitarbeitern als Arbeitsunterlage für deren Recherchen zur Verfügung steht.

Dass die Bonitätsdatenbank und die Produktionsdatenbank physisch komplett getrennt und auf eigenen Rechnern gespeichert sind, ist laut OGH irrelevant. Dass diese Archivierung bereits von Anfang erfolgte und nicht erst aufgrund des Widerspruchs, spielt ebenso keine Rolle. Maßgeblich ist, dass der Auftraggeber auf die Daten wieder zugreifen und diese rekonstruieren kann.

Entscheidungsgründe

Der OGH hält weiterhin ausdrücklich an seiner ständigen Rechtsprechung fest, wonach eine öffentlich zugängliche Datei iSd DSG 2000 – als Grundvoraussetzung für ein Widerspruchs- und Löschungsbegehren nach § 28 Abs 2 DSG 2000 – auch dann vorliegt, wenn sie einem nicht von vornherein bestimmten, nach außen hin begrenzten Personenkreis zugänglich gemacht wird und der Zugang zur Datei nur von der Entscheidung des Auftraggebers über das ausreichende berechtigte Interesse des Abfragenden abhängig ist.

Es sei nicht erforderlich, dass „jedermann“ im wörtlichen Sinne Einsicht nehmen kann; auch Entgeltpflicht und Erfordernis der Behauptung eines berechtigten Interesses seien kein Hindernis für die Qualifikation als „öffentlich zugängliche Datei“.

Im vorliegenden Fall qualifizierte der OGH sowohl die Bonitätsdatenbank als auch – anders als die Vorinstanzen – die Produktionsdatenbank als öffentlich, weil nach den Feststellungen Auskunftswerber Auskunft auch über Daten erhalten, die in dieser Datenbank gespeichert sind, wenn sie ein rechtliches Interesse an der Auskunft konkret und ausreichend bescheinigen.

Dass die Beklagte im Fall eines Widerspruchs vor Auskunftserteilung besondere Aufmerksamkeit auf eine Bescheinigung des rechtlichen Interesses des Auskunftswerbers legt (in der Regel Übermittlung von Urkunden erforderlich), ändere daran nichts.

Anmerkung

Eine analoge Entscheidung traf der OGH bereits in Bezug auf die Warnliste der österreichischen Kreditinstitute (OGH 11. 10. 2010, 6 Ob 112/10d).

Ist betreffend personenbezogener Daten in dieser Liste bereits durch einen Widerspruch nach § 28 Abs 2 DSG 2000 implizit ein Löschungsverlangen gestellt, so reicht es nicht aus, wenn diese Daten zwar aus der Warnliste gelöscht, aber archiviert werden und weiterhin auf die ins Archiv gestellten Daten zugegriffen werden kann. Vielmehr ist eine „physische“ Löschung der Daten erforderlich.

(LexisNexis Rechtsredaktion/ KP)

Autoren

Redaktion

Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu ...