GPS-Tracking des Dienstwagens auch in der Freizeit: Arbeitgeber zu Schadenersatz verurteilt

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Arbeitsrecht, Schadenersatz

Ein aufsehenerregender Sachverhalt, mit dem sich der Oberste Gerichtshof kürzlich erst beschäftigen musste, erinnert ein wenig an den dystopischen Klassiker „1984“ von George Orwell. In diesem Buch wird jeder Mensch rund um die Uhr von der Regierung überwacht – Stichwort „Big Brother is watching you“. Im vorliegenden OGH-Fall wurde der Kläger jedoch nicht von Beamten überwacht, sondern von seinen Vorgesetzten.

Der Kläger war beim beklagten Unternehmen im Außendienst beschäftigt und durfte seinen Dienstwagen auch für private Fahrten verwenden. Eines Tages erfuhr er durch Zufall, dass sein Dienstwagen gegen seinen Willen und bis dahin ohne seine Kenntnis überwacht wurde. Der Geschäftsführer, der Vertriebsleiter, der Produktionsleiter und die Innendienstleiterin konnten jederzeit die GPS-Daten und den Batteriestand des Autos einsehen und bekamen auch angezeigt, wann die Zündung betätigt wurde. Ein Vorgesetzter rief den Kläger oft an und fragte, warum dieser so spät von daheim weggefahren sei. Der Kläger wandte sich schließlich an den Vertriebsleiter mit der Bitte, die Überwachung vor allem bzw zumindest in der Freizeit zu unterlassen. Diese sowie weitere mündliche und schriftliche Aufforderungen stießen aber beim Arbeitgeber auf taube Ohren.

Als der Kläger nach etwa einem halben Jahr gekündigt wurde, begehrte er vor Gericht ca. EUR 1.000,- ideellen Schadenersatz pro Monat, in dem er beim Dienstgeber gearbeitet hatte. Die erste und zweite Instanz sprachen ihm (nur) EUR 400,- pro Monat zu, was vom OGH bestätigt wurde. Der Arbeitgeber habe nämlich durch die Überwachungsmaßnahmen in der Freizeit rechtswidrig und schuldhaft eine erhebliche Verletzung der Privatsphäre des Klägers herbeigeführt, die dessen Menschenwürde berührt.

Kontrollmaßnahmen – wie in diesem Fall – sind zwar zulässig, allerdings nur, wenn ihnen durch Betriebsvereinbarung bzw Arbeitsvertrag zugestimmt wurde und auch nur während der Arbeitszeit.

Eine Überwachung durch den Arbeitgeber außerhalb der Dienstzeiten ist – auch mit Zustimmung – jedenfalls rechtswidrig.

(OGH 22. 1. 2020, 9 ObA 120/19s)

OLG Innsbruck: Kein automatischer Anspruch auf Schadenersatz bei DSGVO-Verletzung

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, Schadenersatz

Mehr als einenhalb Jahre nach Inkrafttreten der DSGVO klären sich immer mehr offene Fragen zu diesem Thema. So hat jüngst das Oberlandesgericht Innsbruck in einem Verfahren gegen die österreichische Post entschieden, dass ein Verstoß gegen die DSGVO nicht zwingend mit einem Anspruch auf Schadenersatz seitens der betroffenen Person einhergeht. Verletzungen der DSGVO können natürlich Ursache für Schadenersatzansprüche sein, diese aber allein noch nicht begründen. Außerdem ist der durch den Verstoß entstandene Schaden ausreichend zu behaupten und zu beweisen.

Beklagte Partei war die österreichische Post AG. Diese hatte wegen ihres datenschutzwidrigen Werbe-Profilings für Aufsehen gesorgt. Dabei wurden anhand der vorhandenen Kundendaten (Wohnsitz, Geschlecht, Alter, Bildung, etc.) Statistiken bezüglich Kaufverhalten und Parteiaffinität erstellt. Für diese DSGVO-Verletzung wurde die Post zu einer Verwaltungsstrafe von 18 Millionen Euro verurteilt. Dieses Urteil ist jedoch noch nicht rechtskräftig, die Post AG will dagegen berufen. Mehr dazu unter: https://www.diepresse.com/5713847/post-in-datenskandal-zu-18-millionen-euro-strafe-verurteilt

Ein von diesem Werbe-Profiling betroffener vorarlberger Rechtsanwalt klagte daraufhin die Post auf Schadenersatz. Ihm sei durch die Errechnung und Speicherung seiner Parteiäffinität ein immaterieller Schaden entstanden. Das Bezirksgericht gab dem Kläger zwar Recht, jedoch scheiterte er jüngst in der zweiten Instanz. Das OLG Innsbruck sprach aus, dass der Kläger den ihm entstandenen immateriellen Schaden nicht ausreichend behauptet und bewiesen hat.

Das Gericht betonte die Bedeutung des Rechts auf Wahrung der Geheimsphäre und auf Datenschutz. Es hielt auch fest, dass die Verletzung von Persönlichkeitsrechten einen immateriellen Schaden darstellen kann. Derartige Schäden könnten aber nur dann geltend gemacht werden, wenn sie „sicher und tatsächlich“ eingetreten sind. Für hypothetische und unbestimmte Schäden gibt es keinen Schadenersatz. Es muss zu einer nachweisbaren Beeinträchtigung in der Gefühlswelt des Betroffenen kommen. Darunter fallen nach Unionsrechtsprechung unter anderem jene Situationen, wenn jemand einem Zustand der Angst ausgesetzt wird, die Integrität einer Person in Zweifel gestellt wird, seine sozialen oder familiären Beziehungen beeinträchtigt werden oder man einen Schock erleidet.

Als Beispiel hierfür nennt das OLG Innsbruck die „Bloßstellung“ der betroffenen Person, wenn Daten unrechtmäßig Dritten zugänglich gemacht werden. Eine solche oder eine ähnliche Auswirkung behauptete der Kläger aber nicht einmal. Er verwies nur rudimentär auf ein entstandenes „Ungemach“, erbrachte jedoch nicht den geforderten genauen Beweis von entstandenen Schäden. Außerdem wies das Gericht auf andere dem Kläger offenstehende Sanktionsmöglichkeiten hin. Der Kläger habe nämlich einen Unterlassungs- und Beseitigungsanspruch gegen die Post AG, den er jedoch in diesem Verfahren nicht geltend gemacht hatte.

Unerlaubte Videoüberwachung – Geldstrafe für Kebab-Stand

am von Alix Frank Rechtsanwälte GmbHin Allgemein, DSGVOHinterlasse einen Kommentar

Von Franz J Heidinger / Laurin Maran – Der Betreiber eines Imbisslokales in Niederösterreich beschwerte sich bei der Bezirkshauptmannschaft über einen Polizeiinspektor, der ihn schikanieren würde und legte zum Beweis dafür zwei Videos vor, die Einätze eben jenes Polizeiinspektors zeigen sollten. Zu diesem Zweck sei extra eine Kamera für EUR 2.500,- installiert worden.

Von dieser Kamera erfuhr in weiterer Folge die Datenschutzbehörde, die prompt eine Geldstrafe in Höhe von EUR 1.800,- über den Imbissbetreiber verhängte. Ihm wurde vorgeworfen, dass seine Videokamera Bereiche gefilmt hätte, die nicht in seiner Verfügungsbefugnis stünden. Überdies sei die Speicherdauer der Aufnahmen mit 15 Tagen unverhältnismäßig hoch festgelegt worden. Vorgeschriebene Hinweisschilder würden gänzlich fehlen.

Mit der Erkenntnis vom 25.11.2019, W211 2210458-1, bestätigte das Bundesverwaltungsgericht im Wesentlichen die Entscheidung der Datenschutzbehörde. Lediglich die Höhe der Geldstrafe wurde auf EUR 1.500,- reduziert. Bei einem möglichen Strafrahmen von bis zu EUR 20 Millionen scheint dies durchaus milde.

Diese Entscheidung zeigt zwei Dinge deutlich:

  1. Vor der Inbetriebnahme von Überwachungskameras sollte man sich über die rechtlichen Voraussetzungen informieren und bestenfalls den Rat von Experten einholen.
  2. Es kann durchaus nach hinten losgehen, einem Polizisten Schikane vorzuwerfen, insbesondere wenn man sich selbst nicht tadelfrei verhält.

 

Brexit: Bislang keine Einschränkungen des Datentransfers

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Brexit, EU-DSGVO

Von Franz J Heidinger / Laurin Maran – Seit dem 01.02.2020 ist das Vereinigte Königreich kein Mitglied der Europäischen Union mehr und somit ein Drittland im Sinne der Datenschutzgrundverordnung. Die Übermittlung personenbezogener Daten an ein Drittland darf zwar grundsätzlich vorgenommen werden, allerdings nur unter bestimmten Voraussetzungen. Ein harter Brexit hätte somit – auch aus datenschutzrechtlicher Sicht – erhebliche Probleme bereitet.

Der Austritt wurde nun aber mit dem „Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft“ geregelt, das auch Bestimmungen zum Thema Datenschutz enthält. In Artikel 71 ist festgehalten, dass das Unionsrecht über den Schutz personenbezogener Daten im Vereinigten  Königreich  für die Verarbeitung der personenbezogenen Daten betroffener Personen außerhalb des Vereinigten Königreichs gilt, sofern die personenbezogenen Daten vor dem Ablauf des Übergangszeitraums im Vereinigten Königreich gemäß dem Unionsrecht verarbeitet wurden.

Das bedeutet, dass die EU-DSGVO zumindest bis zum Ende des Übergangszeitraumes – also bis 31.12.2020 – weiterhin im Vereinigten Königreichs Großbritannien und Nordirland gilt. Somit können personenbezogene Daten weiterhin über den Ärmelkanal transferiert werden, ohne dass besondere Voraussetzungen zu beachten wären. Beschwerden wegen Datenschutzverletzungen von Unternehmen mit Sitz in Großbritannien können weiterhin bei der österreichischen Datenschutzbehörde eingebracht werden.

Es ist davon auszugehen, dass die Europäische Kommission während des Übergangszeitraumes einen Angemessenheitsbeschluss gemäß Artikel 45 EU-DSGVO fassen wird, wonach Großbritannien ein angemessenes Schutzniveau bietet.

„Eine  Übermittlung personenbezogener  Daten an  ein  Drittland oder  eine  internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren  in  diesem Drittland oder  die  betreffende  internationale Organisation ein  angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.“

Es ist somit wohl auch nach Ablauf der Übergangsfrist mit keinen größeren Einschränkungen zu rechnen.

Entscheidung: Immobilientreuhänder dürfen personenbezogene Daten aus dem Grundbuch zur Kontaktaufnahme mit Grundeigentümern verwenden

am von Alix Frank Rechtsanwälte GmbHin Allgemein, DSGVO

Von Franz J Heidinger / Laurin Maran – Der Eigentümer einer Liegenschaft (Beschwerdeführer) hat sich bei der Datenschutzbehörde darüber beschwert, dass eine Immobiliengesellschaft (Beschwerdegegnerin) sein Recht auf Geheimhaltung verletzt hätte, indem sie seine personenbezogenen Daten aus dem Grundbuch erhoben und verwendet hätte, um ihn postalisch zu kontaktieren.

Die Beschwerdegegnerin erwiderte, dass es sich bei personenbezogenen Daten aus dem Grundbuch um Daten handele, die aufgrund ihrer allgemeinen Verfügbarkeit vom Schutzbereich des § 1 DSG ausgenommen seien. Der Beschwerdeführe könne somit auch nicht in seinem Recht auf Geheimhaltung verletzt sein (Argument 1).

§ 1 Abs 1 DSG: Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Außerdem hätte die Beschwerdeführerin ein berechtigtes Interesse an der Verarbeitung dieser Daten zum Zwecke der Direktwerbung, da der Ankauf von Liegenschaften zu ihrem Geschäftszweig zähle (Argument 2).

Die Datenschutzbehörde hat dazu festgestellt: Das Grundbuch ist zwar grundsätzlich öffentlich zugänglich, dies bedeutet aber nicht, dass die darin enthaltenen Daten allgemein verfügbare Daten im Sinne des § 1 DSG sind und man deshalb kein diesbezügliches Geheimhaltungsinteresse haben könne. Doch selbst wenn dies der Fall wäre, hat die Beschwerdegegnerin die Daten aus dem Grundbuch ja nicht nur eingesehen, sondern auch zur Liegenschaftsaquise verwendet. Diese Verwendung ist jedenfalls eine Verarbeitung gemäß Art 4 Abs 2 DSGVO und bedarf stets einen Erlaubnistatbestand bzw. einer Rechtfertigung nach Art. 6, 9 oder 10 DSGVO. Das erste Argument der Beschwerdegegnerin hat die Datenschutzbehörde somit nicht gelten lassen.

Die Beschwerdegegnerin hat argumentiert, dass eine Datenverarbeitung gemäß Art 6 Abs 1 lit f DSGVO gerechtfertigt sei.

Art 6 Abs 1 lit f DSGVO: Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: f) die  Verarbeitung ist  zur  Wahrung  der  berechtigten Interessen  des  Verantwortlichen oder  eines  Dritten  erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personen­bezogener  Daten erfordern,  überwiegen, insbesondere dann,  wenn  es  sich  bei  der  betroffenen Person um  ein  Kind handelt.

Beruft sich ein für eine Datenverarbeitung Verantwortlicher auf Art 6 Abs 1 lit f DSGVO, ist stets eine Interessensabwägung zwischen den Interessen Unternehmens, das die Daten verarbeiten möchte, und den Interessen des Betroffenen auf Geheimhaltung durchzuführen. Die Datenschutzbehörde ist in diesem Fall zu dem Ergebnis gekommen, dass die Interessen der Beschwerdegegnerin als Immobilientreuhänderin überwiegen.

Bei den Daten im Grundbuch handelt es sich nach Ansicht der Datenschutzbehörde um Daten, die lediglich eine geringe Schutzwürdigkeit haben. Die Interessen des Betroffenen auf Geheimhaltung dieser Daten wiegen daher nicht so schwer wie das Interesse einer Immobilientreuhänderin, die zur Erfüllung des Unternehmenszweckes auf diese Daten angewiesen ist. Das zweite Argument der Beschwerdegegnerin war somit erfolgreich und die Beschwerde wurde abgewiesen (Vgl. DSB-D123.626/0006-DSB/2018 vom 23.04.2019).

Diese Entscheidung zeigt wieder einmal, wie wichtig eine professionelle Reaktion ist, wenn man mit datenschutzrechtlichen Anfragen oder Beschwerden konfrontiert wird. Hätte die Beschwerdegegnerin keine umfassenden Kenntnisse der datenschutzrechtlichen Bestimmungen gehabt und derart fachkundig repliziert, hätte die Entscheidung der Datenschutzbehörde auch anders ausgehen können.

Recht auf Löschung – Bewerbungsunterlagen dürfen 7 Monate aufbewahrt werden

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, DSGVO

Von Franz J Heidinger / Laurin Maran – Der Beschwerdeführer behauptete eine Verletzung im Recht auf Löschung und brachte vor, dass er per E-Mail die Löschung seiner personenbezogenen Daten aus der Bewerberdatenbank der Beschwerdegegnerin beantragt habe. Die Beschwerdegegnerin hätte jedoch mitgeteilt, dass sie diesem Antrag auf Löschung nicht entsprechen werde. Zwar werde die gegenständliche Bewerbung des Beschwerdeführers nicht mehr für die ausgeschriebene Stellen der Beschwerdegegnerin in Erwägung gezogen, doch ergebe sich eine gesetzliche Aufbewahrungspflicht nach dem Gleichbehandlungsgesetz (GlBG) von sechs Monaten. Das Recht auf Löschung bestehe gemäß Art 17 Abs 3 lit e DSGVO nämlich dann nicht, soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sei. Die Bewerbungsunterlagen könnten daher erst nach 7 Monaten gelöscht werden, da noch ein Monat für den Postweg einer potentiellen Klage eingerechnet wurde.

§ 29 Abs 1 GlBG: Ansprüche nach § 26 Abs. 1 und 5 sind binnen sechs Monaten gerichtlich geltend zu machen. Die Frist zur Geltendmachung der Ansprüche nach § 26 Abs. 1 und 5 beginnt mit der Ablehnung der Bewerbung.“

Die Datenschutzbehörde hat dazu ausgeführt, dass der allgemeine Hinweis auf potenziell zukünftige, noch nicht anhängige bzw. nicht sicher bevorstehenden (Gerichts-) Verfahren nicht ausreichend ist, um dem Löschbegehren nicht entsprechen zu müssen. Vielmehr muss der Verantwortliche darlegen, welche konkreten zukünftigen Verfahren auf welcher Grundlage anhängig gemacht werden könnten und inwiefern durch derartige Verfahren eine Notwendigkeit zur weiteren Speicherung der personenbezogenen Daten begründet wird.

Im vorliegenden Fall bezog sich die Beschwerdegegnerin  aber nicht allgemein auf ein potenziell zukünftiges Verfahren, sondern benannte einen konkreten Anspruch, der ihr gegenüber innerhalb eines konkreten Zeitraumes geltend gemacht werden könnte. Ferner benannte die Beschwerdegegnerin einen konkreten Zeitpunkt, ab wann sie die Bewerberdaten löschen werde. Für den Beschwerdeführer war somit klar erkennbar, ab welchem Zeitpunkt seine Bewerberdaten gelöscht werden. Der zusätzliche Monat zur Einberechnung eines Klageweges ist angemessen. Die Frist von 7 Monaten beginnt mit der Ablehnung der Bewerbung.

TIPP: Unternehmen sollten bei einem Löschungsantrag zuerst prüfen, ob eine der Ausnahmebestimmungen des Art 17 Abs 3 DSGVO greift. Sollte dies der Fall sein, ist dem Antragsteller genau mitzuteilen, weshalb dem Löschungsbegehren nicht entsprochen werden kann und wie lange die Daten noch gespeichert werden müssen. Beruft man sich beispielsweise darauf, dass die Daten noch zur Verteidigung von Rechtsansprüchen gebraucht werden könnten, ist auszuführen, welche konkreten Rechtsansprüche gemeint sind.

Business Breakfast am 15.05.2019 – 1 Jahr DSGVO Datenschutz

am von Alix Frank Rechtsanwälte GmbHin Allgemein

image002

Die DSGVO hat den Umgang mit personenbezogenen Daten verändert und den Rechtsgütern Daten- und Persönlichkeitsschutz einen neuen, deutlich erhöhten, Stellenwert eingeräumt.

Ein Jahr nach dem Inkrafttreten wollen wir Erfahrungswerte austauschen und Sie auf dem Laufenden halten.

Als besonderen Service laden wir Sie daher zu einem Fachvortrag im Rahmen eines Business Breakfast ein. Du erhältst ein kompaktes Update zum Thema Datenschutz und was im abgelaufenen Jahr geschah.

Mittwoch, 15.05.2019, 08:00 – ca. 10:00 Uhr in den
gemeinsamen Räumlichkeiten der Crowe SOT GmbH Wirtschaftsprüfungs-
und Steuerberatungsgesellschaft und Alix Frank Rechtsanwälte GmbH,
1010 Wien, Schottengasse 10/3. Stock

Im Rahmen eines Business Breakfast laden wir Sie gerne zu einem kleinen Frühstück ein. Den Flyer zur Veranstaltung finden Sie hier:  Flyer – Business Breakfast – Datenschutz

Teilnahmegebühr samt Tagungsunterlagen EUR 24 (inkl. USt.).

Anmeldungen bitte bis 08.05.2019 per Mail an austrolaw@alix-frank.co.at. Wegen der beschränkten Teilnehmerzahl empfehlen wir eine rasche Anmeldung.

Recht auf Löschung – Anonymisierung ist ausreichend

am von Alix Frank Rechtsanwälte GmbHin Allgemein

Von Franz J Heidinger / Laurin Maran – Die Österreichische Datenschutzbehörde hat in einer Beschwerde wegen Verletzung im Recht auf Löschung von personenbezogen Daten festgehalten, dass die Entfernung des Personenbezuges von personenbezogenen Daten ein mögliches Mittel zur Löschung im Sinne der EU-DSGVO sein kann. Es muss jedoch sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden.

Im vorliegenden Fall hat die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“. Der Anonymisierungsprozess wurde mit folgenden Schritten umgesetzt:

  1. Löschung des Offerts: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt wurde, wurden gelöscht.
  2. Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.
  3. Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse wurden durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben.
  4. Die nun inhaltsleere Kundenverbindung wurde nur mehr Max Mustermann zugeordnet.
  5. Der mit einer Kundenverbindung automatisch gestartete interne Ablauf wurde sofort gestoppt.
  6. Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
  7. Löschen des Kunden im Elektronischen Akt (Historie).

Die Daten des Betroffenen wurden durch einen „Dummy Kunden“ ersetzt. Dieser „Dummy Kunde“ wurde mit einem weiteren, nicht zuordenbaren Eintrag zusammengelegt, wodurch auch der Änderungsverlauf nachhaltig nicht mehr rekonstruierbar ist. Logdaten waren nicht mehr vorhanden.

Bei Papierakten wird auch eine „Schwärzung“ als Form der Löschung angesehen. Durch die Unkenntlichmachung des Namens des Betroffenen sowie aller anderer seine Person betreffende Daten kann einem Löschungsbegehren entsprochen werden.

Durch die Entfernung des Personenbezugs wurde das Löschungsbegehren erfüllt und die Beschwerde somit abgewiesen.

Immaterieller Schadenersatz bei Verstößen gegen die Datenschutzgrundverordnung

am von Alix Frank Rechtsanwälte GmbHin Allgemein, DSGVO, EU-DSGVO

Von Franz J Heidinger / Laurin Maran: Vom 21. August bis zum 5. September 2018 hatten Cyberkriminelle Zugriff auf personenbezogene Daten von Kunden der britischen Fluggesellschaft British Airways, die in diesem Zeitraum Flüge über die Homepage oder die App gebucht hatten. Es seien rund 380.000 Bank- und Kreditkartenzahlungen betroffen, aber auch Namen, Rechnungsanschriften und E-Mail-Adressen.

Einer von vielen Datenskandalen in den letzten Jahren. Einer dieser Datenskandale, bei dem sich das Unternehmen reumütig entschuldigt und verspricht, dass so etwas nie wieder vorkommen wird: „Please accept our deepest apologies for the worry and inconvenience that this criminal activity has caused,” heißt es in einer Mail an die betroffenen Kunden von British Airways. In der Regel hörte man dann nichts weiter davon.

Seit 25. Mai 2018 ist allerdings die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, die zumindest derzeit auch noch im Vereinigten Königreich anzuwenden ist und die bei Verstößen drakonische Geldbußen der Behörden vorsieht (Mehr zum Thema Brexit und die damit verbundenen rechtlichen Folgen auf: http://www.brexit-alixfrank.at/). British Airways muss nun aber nicht nur die britische Datenschutzbehörde fürchten, sondern auch die 380.000 Kunden, deren Daten gestohlen wurden. Gemäß Art. 82 EU-DSGVO hat nämlich jede Person, der wegen eines Verstoßes gegen die EU-DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Mehrere britische Rechtsanwaltskanzleien sind derzeit auf der Suche nach betroffenen Kunden und bereiten Sammelklagen gegen die Fluggesellschaft vor. Das Bemerkenswerte daran ist, dass nicht die finanziellen Schäden geltend gemacht werden sollen, die beispielsweise durch den Missbrauch von Kreditkartendaten entstehen können, sondern immaterielle Schäden. Man möchte also eine Entschädigung für die mit dem Data Breach erlittenen Unannehmlichkeiten, Sorgen und Ärgernisse durchsetzen. Aus Insiderkreisen hört man, dass bis zu GBP 5.000,- pro Person eingeklagt werden sollen. Geht man davon aus, dass sich 200.000 Geschädigte dem Verfahren anschließen, ergibt das einen Streitwert von GBP 1 Milliarde (rund EUR 1.142.665.000,-), zuzüglich Verfahrenskosten. Ein Betrag, den British Airways unter Umständen für das mulmige Gefühl der Kunden bezahlen muss, die ihre personenbezogenen Daten in den falschen Händen wissen. Sollten Sie tatsächlich Opfer eines Kreditkartenbetruges werden, wäre dieser Schaden natürlich zusätzlich von Britisch Airways zu bezahlen

In Österreich wurde bislang kein Fall bekannt, bei dem ein Unternehmen auf Grundlage der EU-DSGVO für einen immateriellen Schaden in Anspruch genommen wurde. Es ist jedoch damit zu rechnen, dass Betroffenen bald auf diversen Internetplattformen angeboten wird, neben ihren Ansprüchen aus verspäteten Flügen oder überhöhten Mietzinsen auch Ansprüche wegen Verstößen gegen die EU-DSGVO durchzusetzen.

Ein Unternehmen wird in einem solchen Fall nur dann von seiner Haftung befreit werden, wenn es nachweist, dass es in keiner Weise für den Schaden verantwortlich ist. Es kommt sozusagen zu einer Beweislastumkehr: Der Betroffene muss lediglich beweisen, dass ein Schaden vorliegt, der vom Unternehmen verursacht wurde. Das Unternehmen muss dann nachweisen, dass es in keiner Weise verantwortlich ist und die Regeln der EU-DSGVO eingehalten hat.

Wer darauf nicht vorbereitet ist, kann massive Probleme bei der Abwehr solcher Ansprüche bekommen. Wenn man bedenkt, dass die Datenschutzbehörde eine Geldbuße verhängt, Betroffene Ansprüche für materielle und immaterielle Schäden geltend machen und aufgrund der hohen Sensibilität der Öffentlichkeit mit Umsatzeinbußen zu rechnen ist, könnte ein kleiner Verstoß gegen die EU-DSGVO Folgen haben, die für ein kleines oder mittelständischen Unternehmen nur schwer zu stemmen sind.

Pflicht zur kostenlosen Zurverfügungstellung historischer Bankbelege

am von Alix Frank Rechtsanwälte GmbHin Allgemein

Von Franz J Heidinger / Laurin Maran: Eine Person verlangte von seiner Bank, ihm seine Überweisungsauszüge von 2013 bis heute zur Verfügung zu stellen. Er selbst hatte nur Zugriff auf die Überweisungsauszüge für das letzte Jahr. Die Bank verlangte dafür EUR 30,- pro Jahr. Darauf stellte der Bankkunde ein datenschutzrechtliches Auskunftsbegehren, das die Bank jedoch nicht beantwortete.

Art. 15 DSGVO regelt das Recht eines Betroffenen, auf Antrag vom Verantwortlichen Auskunft zu verlangen. Dies dient in erster Linie zu Überprüfung, ob die Daten rechtmäßig verarbeitet wurden. Bezüglich des Umfangs ist der Verantwortliche verpflichtet, die wesentlichen Elemente der Verarbeitung, wie deren Zweck, Dauer, die Kategorien und Empfänger der Daten sowie deren Herkunft zur Verfügung zu stellen. Der Betroffene kann eine Kopie der personenbezogenen Daten kostenfrei verlangen.

Die Bank argumentierte, dass die Auskunft personelle Ressourcen binden würde und dort, wo man auf Drittdienstleiter angewiesen sei, mit Kosten verbunden sei. Außerdem sei das Auskunftsbegehren schikanös.

Der Bank wurde von der Behörde aufgetragen, dem Beschwerdeführer die begehrte Auskunft innerhalb von zwei Wochen zu erteilen. Zum von der Bank verlangten Entgelt  stellte die Behörde fest, dass bei offenkundig unbegründeter bzw exzessiver Rechtsausübung ein Anspruch auf Vorschreibung von Kosten oder ein „Verweigerungsrecht“ für den Auskunftspflichtigen besteht, hierfür aber eine gewissen Intensität vorliegen muss, die es dem Verantwortlichen unzumutbar machen würde, das grundsätzlich anlasslose subjektive Kontrollrecht gegen sich gelten lassen zu müssen. Dies war allerdings nicht der Fall.

Das Begehren nach einer kostenlosen Auskunft über seine historischen Bankbelege war somit berechtigt.

Quintessenz: Auskunft- und Löschungsbegehren nehmen stark. Es ist damit zu rechnen. Aufgrund der unterschiedlichen Ausgangslage muss jedoch jeder Einzelfall geprüft werden. Für Verantwortliche ist es daher unerlässlich, klare und strukturierte Prozesse zur Erfüllung der Betroffenenrechte aufzustellen.