DATENSCHUTZ – Frühstück am 19.09.2018

Business Breakfast @ Schottengasse 10

Expert_innen von Alix Frank Rechtsanwälte liefern kompakte Informationen zum Thema Datenschutz und die Verantwortung von Geschäftsführer_innen, Vorstand oder Vereinsobleuten:

  • Welche Risiken bestehen für Unternehmen?
  • Welche Haftung haben die Organe?
  • Welche Maßnahmen können zur Haftungsvermeidung ergriffen werden?
  • und vieles mehr

Ort: Schottengasse 10, 1010 Wien
Einlass und Frühstück: 19.09.2018, 8 Uhr
Vortrag: 8:30 – 9:30 Uhr
anschließend Diskussion und Gedankenaustausch

Die Teilnahme ist kostenlos!

Bitte um Anmeldung an austrolaw@alix-frank.co.at bis 17. 9. 2018

Datenschutzverstöße und die persönliche Haftung von Geschäftsführern

Von Franz J Heidinger / Thomas Kowatsch: Die DSGVO hat den Umgang mit personenbezogen Daten verändert und den Rechtsgütern Daten- und Persönlichkeitsschutz einen neuen Stellenwert eingeräumt. Dies führt natürlich zu höheren Sorgfaltspflichten und größeren Risiken für Unternehmen und ihre Leitungsorgane:

Risiken für Unternehmen

Abgesehen von Schadenersatzforderungen von Betroffen sieht die DSGVO bei Datenschutzverletzungen Strafen von bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes vor. Das klingt zunächst drakonisch, zeigt aber, dass das Thema von allen Unternehmen ernst zu nehmen ist. Allerdings muss die Strafe auch einzelfallabhängig und verhältnismäßig sein. Dabei sind Faktoren wie Vorsatz/Fahrlässigkeit, Ausmaß des Schadens, usw. bei der Strafbemessung zu berücksichtigen. Mit anderen Worten: Wer sich zumindest um die Einhaltung der Regeln bemüht hatte, könnte noch mit einem blauen Auge davonkommen.

Risiken für Organe

Das Strafpotential für ein Unternehmen stellt jedoch auch für die verantwortlichen Organe – Vorstand, Aufsichtsrat oder Geschäftsführer – ein Risiko dar. Wenn auch die Erledigung einzelner Aufgaben delegiert wird; für Planung, Überwachung und Prüfung der Umsetzung der Aufgaben im Bereich des Datenschutzes bleiben die Leitungsorgane verantwortlich. Kommt es zu Schadensfällen für das Unternehmen, kann oder muss sich die Gesellschaft an den verantwortlichen Organen regressieren. Die Risiken für das Unternehmen schlagen gewissermaßen auf die Organwalter des Unternehmens durch.

Maßnahmen zur Haftungsvermeidung

Wie erwähnt sind mit der neuen Regelung Angelegenheiten des Datenschutzes in hohem Maße ernst zu nehmen. Nun liegt es an den Leitungsorganen der Unternehmen, nicht zuletzt um sich selbst abzusichern, eine laufende, regelmäßige Kontrolle der Umsetzung der Vorschriften der DSGVO als wesentliche Compliance-Aufgabe wahrzunehmen.

Die Datenschutzexperten der Alix Frank Rechtsanwälte GmbH unterstützen Sie gerne dabei.

Sanfte Entwarnung für Unternehmen: Strafen erst nach mehrmaligen Verstößen

Von Franz J Heidinger / Laurin Maran: Wie sich mittlerweile herumgesprochen haben sollte, drohen bei Verstößen gegen die EU-Datenschutzgrundverordnung (EU-DSGVO) Geldbußen von bis zu EUR 20.000.000,- oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Diese existenzvernichtende Drohung des europäischen Gesetzgebers hat ihre Wirkung nicht verfehlt: Die europäischen Unternehmen wurden in helle Aufregung versetzt und bemühen sich seit Monaten intensiv, nicht zuletzt um solche Geldbußen zu vermeiden, ihre Geschäftsmodelle bis zum 25.05.2018 fit für die EU-DSGVO zu machen.

Für österreichische Unternehmen kann nun teilweise Entwarnung gegeben werden. Am 20.04.2018 wurde das „Bundesgesetz, mit dem das Datenschutzgesetz geändert wird (Datenschutz-Deregulierungs-Gesetz 2018)“ im Nationalrat angenommen. Der neu verfasste § 11 DSG sieht nun vor, dass die Datenschutzbehörde die Bestimmungen des Art 83 DSGVO, wo die oben erwähnte Geldbußen festgelegt sind, so anzuwenden hat, dass die Verhältnismäßigkeit gewahrt wird. Bei erstmaligen Verstößen wird die Datenschutzbehörde von ihren Abhilfebefugnissen insbesondere durch Verwarnungen Gebrauch machen.

Somit gilt, dass grundsätzlich erst eine Verwarnung auszusprechen ist, bevor es zu einer Strafe kommt. Und selbst wenn eine Strafe ausgesprochen werden sollte, dann sicher nicht in einer Höhe, die ein Unternehmen in die Insolvenz treiben könnte. Die Höhe der Geldbuße muss verhältnismäßig sein und sich an der Schwere des Verstoßes und an der Größe des Unternehmens orientieren.

Es besteht somit kein Grund, dem 25. Mai 2018 sorgenvoll entgegen zu blicken. Die EU-DSGVO wird wohl nicht so heiß gegessen werden, wie es der Aufruhr um sie in den letzten Monaten vermuten lässt. Dies ist jedoch kein Grund, nun die Füße hochzulegen und die DSGVO zu ignorieren. Auch eine Verwarnung kann sehr unangenehme Folgen haben und sich negativ auf das Image des Unternehmens auswirken. Außerdem drohen bei Verstößen nicht nur Geldbußen der Behörde, sondern auch Schadenersatzansprüche der Betroffenen. Außerdem könnte ein Verstoß gegen eine Bestimmung des Datenschutzgesetzes als unlauterer Wettbewerb betrachtet werden und entsprechende Unterlassungsklagen von Konkurrenten nach sich ziehen.

Verzeichnis von Verarbeitungstätigkeiten

Von Franz J Heidinger / Laurin Maran: Art. 30 EU-DSGVO verpflichtet Unternehmen, ein sogenanntes Verarbeitungsverzeichnis zu führen. Darin sind alle Verarbeitungstätigkeiten aufzunehmen, die der jeweiligen Zuständigkeit unterliegen. Das Verfahrensverzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen und die Aufsichtsbehörde muss mit Hilfe des Verfahrensverzeichnisses in der Lage sein, alle Verarbeitungstätigkeiten kontrollieren zu können.

Wer muss ein Verarbeitungsverzeichnis führen?

Die Verordnung nimmt Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, von dieser Pflicht aus. Allerdings nur, sofern die von ihnen vorgenommene Verarbeitung nicht

  • ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • die Verarbeitung nicht die Verarbeitung besonderer Datenkategorien (früher: „sensible Daten“) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt.

Diese Ausnahmetatbestände sind derart engmaschig gestaltet, dass sie wohl nur in äußersten Ausnahmefällen zur Anwendung kommen und wohl 99% aller Unternehmen, die auch nur einen einzigen Mitarbeiter beschäftigen, ein Verarbeitungsverzeichnis benötigen.

Welchen Zweck hat das Verarbeitungsverzeichnis?

In erster Linie sollten Unternehmen natürlich alleine schon deshalb ein Verzeichnis aller Verarbeitungstätigkeiten führen, um der gesetzlichen Verpflichtung gemäß Art. 30 EU-DSGVO nachzukommen. Davon abgesehen kann das Verzeichnis aber durchaus auch für interne Zwecke genutzt werden und die gesamte Unternehmensorganisation verbessern. Die Erstellung des Verzeichnisses sollte daher nicht nur als Pflicht verstanden werden, sondern kann auch eine Chance sein, die im Unternehmen vorhandenen Daten und Informationen zu strukturieren und optimal zu nutzen.

Ferner kann das Verarbeitungsverzeichnis als Grundlage für die Erfüllung alle weiteren datenschutzrechtlichen Verpflichtungen herangezogen werden. Wendet sich beispielsweise ein Betroffener an das Unternehmen und ersucht gemäß Art. 15 EU-DSGVO um Auskunft über die von ihm vorhandenen Daten, kann diese Anfrage mit Hilfe eines Verzeichnisses deutlich einfacher beantwortet werden. Müssten erst alle vorhandenen Daten nach den personenbezogenen Daten des Betroffenen durchforstet werden, kann es schwierig werden, die Anfrage innerhalb der gesetzlichen Frist von einem Monat zu beantworten. Ganz zu schweigen von den damit verbundenen Personalaufwand.

Welche Angabe muss das Verzeichnis enthalten?

Der Gesetzgeber hat klar vorgegeben, welche Informationen das Verzeichnis enthalten muss: Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, soweit einer bestellt wurde. Zwecke und Beschreibung der Datenverarbeitung, eine Beschreibung der Kategorie der betroffenen Personen und der personenbezogenen Daten, die Kategorie von Empfängern, denen die Daten übermittelt werden, gegebenenfalls die Übermittlungen von Daten an ein Land außerhalb der EU und wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Außerdem sollten die technischen und organisatorischen Maßnahmen aufgezählt werden, die ergriffen wurden, um personenbezogene Daten zu schützen.

Die Rechtsgrundlagen für die Datenverarbeitungen müssen grundsätzlich nicht in das Verzeichnis aufgenommen werden. Das Unternehmen muss allerdings jederzeit nachweisen können, dass eine Datenverarbeitung nach den in der EU-DSGVO normierten Grundsätzen erfolgt ist. Es ist daher empfehlenswert, bei den jeweiligen Datenverarbeitungszwecken anzuführen, auf welcher Rechtsgrundlage die Daten verarbeitet werden. Ferner können sich Mitarbeiter durch Einsicht in das Verzeichnis vergewissern, ob eine spezielle Datenverarbeitung rechtskonform ist.

Die jeweils gespeicherten Daten müssen nicht im Verzeichnis aufgezählt werden. Wird als Verarbeitungszweck beispielsweise die Lohnverrechnung genannt, wäre als Kategorie der betroffenen Personen „Mitarbeiter“ zu nennen. Bei der Datenkategorie müssen dann aber nicht alle Daten der Mitarbeiter des Unternehmens aufgezählt werden, sondern eben nur die jeweilige Kategorie der Daten wie zum Beispiel: Name, Anschrift, Bankverbindung. Es wäre keine Datenkategorie, wenn man schreiben würde: Hans Müller, Müllerweg 1, IBAN: AT91 (…).

Form und Aufbau des Verzeichnisses

Der Gesetzgeber schreibt lediglich vor, dass das Verzeichnis schriftlich zu führen ist und auch in einem elektronischen Format erfolgen kann. Somit scheint die Struktur des Verzeichnisses völlig unerheblich. Es kann eine einfache Exceltabelle sein oder können die Daten auch in eine Software eingespeist werden. Wichtig ist, dass die Aufsichtsbehörde bei der Einsicht einen umfassenden und abschließenden Überblick über die Tätigkeit des Unternehmens und die damit verbundenen Datenverarbeitungen erhält.

Im Hinblick auf den erwähnten Nutzen für das Unternehmen, den ein gutes Verzeichnis mitbringen kann, empfiehlt es sich allerdings, bei der Strukturierung und der jeweiligen Kategorisierung mehr Aufwand zu investieren, als gesetzlich vorgeschrieben ist. So spart man sich einerseits viel Zeit, bei der Bearbeitung von Anfragen von Betroffenen und andererseits lassen sich die Daten so besser auswerten.

Sollten Sie Hilfe bei der Erstellung eines Verarbeitungsverzeichnisses haben, stehen Ihnen die Datenschutzexperten der Alix Frank Rechtsanwälte GmbH jederzeit tatkräftig zur Seite.

 

 

Rechte der Betroffenen (Teil 4): Recht auf Vergessenwerden

Von Franz J Heidinger / Laurin Maran: Mario ist eitel. Als sein Haus in El Escorial nahe Madrid gepfändet wurde, war es für ihn schlimmer, davon in der Zeitung zu lesen, als die Pfändung an sich. „Schwamm drüber“, dachte er sich dann aber, „ich werde meine Schulden tilgen und an den Zeitungsartikel mit den Pfändungen wird sich in zwei Wochen niemand mehr erinnern“. Mario sollte recht behalten. Er bezahlte und der unangenehme Zeitungsartikel geriet schnell in Vergessenheit. Mario erinnert sich nicht gerne an diese schwere Zeit.

 Einige Jahre später in einem Redaktionsgebäude in Barcelona: In der Chefetage beschließt man, dass es Zeit ist, mit der Zeit zu gehen. Und wer mit der Zeit geht, muss Online gehen. Dafür werden alle Zeitungen der letzten Jahre eingescannt und auf der Homepage veröffentlicht.

Zur etwa selben Zeit im kalifornischen Ort Mountain View. Die beiden Google-Gründer Larry Page und Sergey Brin werden Sponsor von GeoEye-1, einem Satelliten, der hochauflösende Bilder für Google Maps liefern soll. Als GeoEye-1 am 6. September 2008 mit einer Delta-II-Rakete auf die Reise geschickt wird, sind Page und Brin vor Ort. Stolz blicken sie der Rakete nach. „Jetzt also auch der Weltraum“, denken sie wohl.

Drei Geschichten, die auf den ersten Blick nichts miteinander zu tun haben und doch zu einer Gerichtsentscheidung führten, die das europäische Datenschutzrecht nachhaltig geprägt hat:

Der längst vergessene Zeitungsartikel landete im Internet und wurde jedem angezeigt, der Mario bei Google gesucht hat. Mario passte das gar nicht. Er fühlte sich dadurch in seinen Persönlichkeitsrechten verletzt und wollte Google per Gericht verbieten lassen, dieses konkrete Suchergebnis mit der alten Geschichte anzuzeigen.

Der Fall landete schließlich vor dem Europäischen Gerichtshof und der stellte im Mai 2014 völlig überraschend fest, dass es im Internet ein Recht auf Vergessenwerden gibt. Das bedeutet, dass Suchmaschinen unerwünschte Suchergebnisse löschen müssen, wenn diese Persönlichkeitsrechte der Betroffenen verletzen. Der Inhalt verschwindet dadurch zwar nicht aus dem Internet, ist aber sehr viel schwerer zu finden.

Mit der Datenschutzgrundverordnung wurde dieses Recht in weiterentwickelter Form gesetzlich verankert. Nach Art. 17 DSGVO kann man von dem für die Datenverarbeitung Verantwortlichen verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, wenn einer der in Absatz 1 genannten Voraussetzungen erfüllt ist. Dies ist beispielsweise der Fall, wenn die Einwilligung der Datenverarbeitung widerrufen wurde, die Daten unrechtmäßig verarbeitet wurden oder für den Zweck, für die sie ursprünglich erhoben wurden, nicht mehr notwendig sind.

Hat der Verantwortliche die Daten bereits veröffentlicht, müssen sie das jeweilige Löschungsgesuch an andere Stellen weiterleiten und darüber informieren, dass eine betroffene Person die Löschung aller Links zu diesen Daten oder von Kopien verlangt hat.

Hat ein Kind (Personen unter 16 Jahre) in die Datenverarbeitung eingewilligt, muss der Verantwortliche die Daten unverzüglich löschen, wenn das Kind oder dessen Eltern das verlangen. Dieser Löschungsanspruch kann nicht abgewehrt werden und steht selbstverständlich auch dann noch zu, wenn das Kind bereits volljährig ist. Diese auf Facebook, YouTube und Co. zugeschnittene Regelung wird wohl viele junge Menschen davor bewahren, von Jugendsünden eingeholt zu werden, die sie auch nach vielen Jahren noch um einen Job bringen könnten.

Wenn es auch Ihnen wie Mario geht und Sie unliebsame Inhalte nicht mehr im Internet sehen wollen, müssen Sie sich glücklicherweise nicht mehr bis zum EuGH durchkämpfen. Die Experten der Alix Frank Rechtsanwälte GmbH unterstützen Sie gerne bei der Durchsetzung Ihrer Rechte.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

TEIL 2: Recht auf Auskunft

TEIL 3: Berichtigung

WhatsApp illegal?

Von Franz J Heidinger / Laurin Maran – Georg ist frustriert. Er ist ein Mensch, der nie ohne Ticket U-Bahn fährt, an jeder roten Ampel stehen bleibt und die grünen Flaschen in den Container für die grünen Flaschen wirft. Kurzum, Georg ist ein Mensch, der sich an Gesetze hält. Und da Georg sich auch in Zukunft an die Gesetze halten will, muss er heute noch 189 Menschen um eine Unterschrift bitten. Darunter seinen Friseur, seine Exfreundin Tina und einen Richard123, von dem er gar nicht genau weiß, wer das eigentlich ist.

Das Amtsgericht Bad Hersfeld (Deutschland) hat Georg dieses Schlamassel eingebrockt. Dies hat nämlich mit Beschluss vom 15.05.2017 festgestellt, dass ein WhatsApp-Nutzer von jeder Person, die er in seinem Handy gespeichert hat, eine Erlaubnis einholen muss. Wer den Nachrichtendienst nutzen will, muss nämlich zuvor einwilligen, dass die App auf die gespeicherten Kontakte zugreifen kann. Die Daten im Adressbuch werden dann automatisch an den Mutterkonzern Facebook übermittelt und mit anderen Nutzer abgeglichen. Was jedoch technisch nötig ist, ist rechtlich verboten.

„Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“ (AG Bad Hersfeld, 15.05.2017 – F 120/17 EASO, Leitsatz 5)

„Kostenpflichtig abgemahnt zu werden“ klingt wie eine Einladung an die Gattung von Rechtsanwälten, die ihr Geld gewöhnlich damit verdienen, den kleinen Timmy abzumahnen, weil er sich das neuste Lied von Tokio Hotel heruntergeladen hat. Für alle anderen klingt es wie das, was es ist: Eine Drohung.

Laut Gericht ist somit von jeder Person, deren Nummer man gespeichert hat, eine schriftliche Einverständniserklärung einzuholen. Sollte dies nicht gelingen, werden drei Lösungen angeboten, wie WhatsApp-Nutzer trotzdem wieder auf den Pfad der Rechtschaffenheit gelangen können:

  1. Möglichkeit: Alle Kontakte vom Handy löschen.
  2. Möglichkeit: Die App daran hindern, auf das Adressbuch zuzugreifen.
  3. Möglichkeit: WhatsApp löschen.

Sollte man herausgefunden haben, wie die 2. Möglichkeit funktioniert, hat dies den nicht unerheblichen Nebeneffekt, dass anstelle der Namen nurmehr die Telefonnummern aufscheinen. Somit führen alle Tipps des Gerichts zum selben Ergebnis: WhatsApp wird völlig unbrauchbar.

Eine Lösung aus dieser Bredouille bietet die ab Mai 2018 geltende Datenschutzgrundverordnung. In Art 2 Abs 2 lit c EU-DSGVO findet das Datenschutzgesetz keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Georg hat somit Glück, wenn er sein Handy ausschließlich für private Zwecke nutzt.

Handlungsbedarf besteht allerdings bei solchen Personen, die ihr Handy sowohl privat als auch geschäftlich nutzen und WhatsApp installiert haben. In diesen Fällen liegt eine eindeutige Verletzung des Datenschutzgesetzes vor. Selbst wenn das Handy grundsätzlich nur privat genutzt wird, allerdings auch Kontaktdaten von Kollegen, Mitarbeitern oder Geschäftspartnern gespeichert werden, kann von keiner ausschließlichen persönlichen Nutzung mehr gesprochen werden. Die Behörde kann in solchen Fällen Geldbußen verhängen und die im Handy gespeicherten Personen haben unter Umständen einen Anspruch auf Schadenersatz.

Unternehmen, die ihre Mitarbeiter mit Firmenhandys ausstatten, sollten daher dringend darauf achten, die Nutzung von WhatsApp mit diesen Geräten strikt zu untersagen.

Eine Frage muss hingegen offen bleiben: Wer ist eigentlich dieser Richard123

Datenschutz-Anpassungsgesetz 2018 – Ministerialentwurf liegt vor (Teil 2)

Von Franz J Heidinger / Laurin Maran – Der zweite Teil unseres Beitrags zum Datenschutz-Anpassungsgesetz 2018, in dem wir die weiteren Ziele des Gesetzes vorstellen möchten.

Anpassung des Grundrechts auf Datenschutz

Das verfassungsrechtlich verankerte Grundrecht auf Datenschutz soll nach Vorgabe der EU-DSGVO angepasst und verständlicher werden. So ist beispielsweise die Drittwirkung des Grundrechtes derzeit  nicht  ausdrücklich geregelt. Der eigentliche Zweck von Grundrechten ist es, die Bürger vor staatlicher Willkür zu schützen. Von einer Drittwirkung von Grundrechten spricht man dann, wenn sich die Schutzwirkung eines Grundrechtes nicht nur zwischen Staat und Bürger entfaltet, sondern auch zwischen Bürgern untereinander. Das Grundrecht auf Datenschutz ist das einzige verfassungsrechtliche gewährleistete Recht mit unmittelbarer Drittwirkung. Dies ist zwar unter Juristen bekannt, wurde aber noch nirgends in eine Norm gegossen. Bis jetzt, denn § 1 Abs 3 DSG 18 lautet wie folgt: „Das Grundrecht auf Datenschutz verpflichtet auch Private.“

Im noch aktuellen Datenschutzgesetz 2000 sind auch personenbezogene Daten juristischer Personen, also von Unternehmen, Vereinen, Stiftungen etc. geschützt. Dieser Schutz ist in der EU-DSGVO nicht mehr vorgesehen. Zukünftig haben nur noch natürliche Personen Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten.

Regelung von Datenverarbeitungen zu spezifischen Zwecken

Die Datenverarbeitungen zu spezifischen Zwecken (zum Beispiel zum Zwecke der wissenschaftlichen Forschung und Statistik oder die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen) sollen verständlicher ausgestaltet und an die Terminologie der EU-DSGVO angepasst werden.

Regelung der Bildverarbeitung

Zahlreiche Regelungen im DSG 2000 zum Thema Videoüberwachung haben sich in der Praxis nicht bewährt. Daher sollen diese Bestimmungen nun modernisiert und angepasst werden. Zu finden sind die neuen Bestimmungen im 6. Abschnitt des DSG 2018. Da hier allerdings ganz allgemein von Bildaufnahmen gesprochen wird, ist wohl davon auszugehen, dass nicht nur Videoaufnahmen, sondern auch Fotos geregelt werden sollen. Wie genau der 6. Abschnitt zu verstehen ist und welchen Einfluss das Gesetz auf spontane Schnappschüsse haben wird, werden wir in einem eigenen Blog-Beitrag erörtern.

20170608_120014

Soweit die sechs großen Ziele des geplanten neuen Datenschutzgesetzes. In wie weit der Entwurf noch überarbeitet wird, bleibt abzuwarten. Die Verhandlungen zur EU-DSGVO wurden zur größten Lobbyisten-Schlacht in der Geschichte der europäischen Union. Zwar geht es bei den verschiedenen nationalen Anpassungsgesetzen nur noch um Feinjustierungen, es ist aber wohl zu erwarten, dass sich die großen datenverarbeitenden Konzerne und ihre Interessensverbände diese Chance nicht entgehen lassen und nochmal versuchen werden, Einfluss zu nehmen. Es wird sich zeigen, welches Gesetz am Ende dabei herauskommen. Wir werden den Prozess jedenfalls aufmerksam beobachten und auf www.eu-dsgvo.at berichten.

Teil 1 dieses Beitrages finden Sie hier.

Datenschutz-Anpassungsgesetz 2018 – Ministerialentwurf liegt vor (Teil 1)

Von Franz J Heidinger / Laurin Maran – Am 12. Mai 2017 ist der erste Entwurf des Datenschutz-Anpassungsgesetzes 2018 (DSG 2018) im Nationalrat eingelangt. Diverse Institutionen haben nun bis zum 23.06.2017 Zeit, ihre Stellungnahmen dazu abzugeben. Das mit diesem Gesetz verfolgte Hauptanliegen ist natürlich die Durchführung der ab 25. Mai 2018 geltenden EU-DSGVO.

Durchführung der Verordnung der EU-DSGVO

Wie alle Verordnungen der EU ist auch die EU-DSGVO direkt in Österreich anwendbar und müsste eigentlich nicht in ein nationales Gesetz gegossen werden. Allerdings haben die Gesetzgeber in Brüssel den Mitgliedsstaaten in manchen Bereichen einigen Spielraum gelassen („Öffnungsklauseln“). So sieht Art. 8 Abs 1 EU-DSGVO beispielsweise vor, dass die Einwilligung eines Kindes zur Verarbeitung seiner personenbezogenen Daten nur wirksam ist, wenn das Kind bereits das sechzehnte Lebensjahr vollendet hat. Die Mitgliedstaaten können jedoch durch Rechtsvorschriften eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Da sich im DsAnpG keine Regelung zur Altersgrenze findet, wurde von dieser Öffnungsklausel kein Gebrauch gemacht und die Bestimmung in der EU-DSGVO ist anzuwenden.

Generell kann festgehalten werden, dass in weiten Teilen die Bestimmungen der EU-DSGVO übernommen wurden. Dies ist zu begrüßen, da mit der EU-DSGVO versucht wurde, das europäische Datenschutzrecht zu vereinheitlichen. Würde nun jeder Mitgliedsstaat von allen Öffnungsklauseln Gebrauch machen, wäre dieses Ziel verfehlt. Man stelle sich beispielsweise vor, um bei erwähnter Altersgrenze zu bleiben, dass Kinder in Österreich ab 13 Jahren in die Verarbeitung ihrer personenbezogenen Daten einwilligen könnten, in Deutschland ab 14 Jahren und in der Slowakei ab 16 Jahren. So wären grenzüberschreitend tätige Unternehmen nach wie vor mit verschiedenen nationalen Regelungen konfrontiert, trotz einheitlicher EU-Verordnung.

Umsetzung der EU-Richtlinie 2016/680

Im Gegensatz zu EU-Verordnungen gelten EU-Richtlinien nicht unmittelbar in den Mitgliedsstaaten. Daher ist der österreichische Gesetzgeber gezwungen, die Datenschutz-Richtlinie für Polizei und Justiz oder anders ausgedrückt: Die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in nationales Recht umzusetzen. Auch dies soll mit dem nun vorliegenden Entwurf geschehen. In einem weiteren Beitrag werden wir einen genauen Blick auf diese Richtlinie und ihre Umsetzung werfen.

Einheitliche Kompetenz in den allgemeinen Angelegenheiten des Schutzes personenbezogener Daten

Die Gesetzgebungskompetenz und die Vollzugskompetenz sind momentan zwischen Bund und Ländern geteilt. Bundessache ist die Gesetzgebung in Bezug auf den Schutz personenbezogener Daten im automationsunterstützen Datenverkehr. Die Vollziehung dieser Gesetze steht grundsätzlich dem Bund zu, allerdings gibt es Ausnahmen, in denen die Länder diese Bundesgesetze zu vollziehen haben. Für die Gesetzgebung in Bezug auf den Schutz manueller Daten sind generell die Länder zuständig. Ziel des DSG 2018 ist eine einheitliche Gesetzgebungs- und Vollziehungskompetenz des Bundes in allgemeinen Angelegenheit des Schutzes personenbezogener Daten.

In Teil 2 dieses Beitrags werden wir die drei weiteren Ziele des Datenschutz-Anpassungsgesetz 2018 vorstellen.

Rechte der Betroffenen (Teil 3): Berichtigung

Von Franz J Heidinger / Laurin Maran -Im letzten Blog-Beitrag wurde das Recht auf Auskunft vorgestellt. Die von einer Datenverarbeitung betroffene Person sollte nach einem Auskunftsbegehren darüber Bescheid wissen, über welche Daten das jeweilige Unternehmen verfügt. Sollte sich herausstellen, dass gewissen Daten falsch gespeichert wurden, haben Betroffene gemäß Art. 16 EU-DSGVO das Recht, von dem für die Verarbeitung Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Mit dieser Norm soll sich der in Art. 5 Abs 1 lit d EU-DSGVO verankerter Grundsatz der Richtigkeit von personenbezogenen Daten auch von Betroffenen durchsetzen lassen. Denn grundsätzlich müssen Daten stets sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Wenn ein Unternehmen schon Daten speichert und verarbeitet, dann sollen diese Daten den Betroffenen und seine Lebensumstände auch richtig wiederspiegeln.

Ein Unternehmen hat diesem Wunsch innerhalb eines Monats nachzukommen und den Betroffenen über die Änderungen zu informieren. Wenn es die Komplexität des Antrages oder die Anzahl der Anträge erforderlich macht, kann diese Frist um 2 Monate verlängert werden.

Neben der Berichtigung kann eine betroffene Person auch die Vervollständigung unvollständiger, personenbezogener Daten verlangen.

Der Antrag kann völlig formfrei gestellt werden, ein Identitätsnachweis ist nur in Zweifelsfällen notwendig. Wie beim Auskunftsrecht kann der Verantwortliche nur bei exzessiven Anträgen oder im Fall von Wiederholungen ein angemessenes Entgelt verlangen.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

TEIL 2: Recht auf Auskunft

Rechte der Betroffenen (Teil 2): Auskunft

Von Franz J Heidinger / Laurin Maran – Nachdem der letzte Blog-Beitrag die Pflicht vorstellte, Betroffene aktiv und unaufgefordert über eine Datenverarbeitung zu informieren, widmet sich dieser Artikel dem Recht der Betroffenen, auf Antrag vom Verantwortlichen Auskunft über die von ihm verarbeitenden Daten zu verlangen.

Dieses Auskunftsrecht findet sich in Art. 15 der ab Mai 2018 geltenden Datenschutzgrundverordnung (EU-DSGVO) und bietet Betroffenen, also Personen, deren Daten verarbeitet werden, die Möglichkeit zu überprüfen, ob ihre Daten rechtmäßig verarbeitet werden. So müssen Sie beispielsweise über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die verarbeitet werden, die Empfänger, gegenüber denen die Daten offengelegt werden und die geplante Dauer, für die die Daten gespeichert werden, informiert werden. Wurden die Daten nicht von demjenigen erhoben, an den das Auskunftsersuchen gerichtet wurde, müssen alle Informationen über die Herkunft der Daten mitgeteilt werden. Ferner muss der Verantwortliche darüber informieren, ob sich der Betroffene bei einer Aufsichtsbehörde über ihn beschweren kann.

Nutzt der Verantwortliche ein Programm zur automatisierten Entscheidungsfindung, muss er aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person bereitstellen.

Beispiel für eine automatisierte Entscheidungsfindung: Einer Person, die mit einem teuren Handy einen Flug bucht, wird ein anderer Preis angeboten wird, als einer anderen Person, die den gleichen Flug mit einem billigeren Handy bucht.cropped-20160916_1114211.jpg

Im österreichischen Datenschutz ist dieses Auskunftsrecht nicht völlig fremd, findet sich doch in § 26 DSG 2000 ein sehr ähnliche Regelungen.

Werden Daten an ein Drittland übermittelt, muss die Person, deren Daten übermittelt wurden, über die geeigneten Garantien unterrichtet werden, die sicherstellen müssen, dass seine Daten auch im Ausland geschützt werden. Solche Garantien können beispielsweise darin bestehen, dass auf verbindliche interne Datenschutzvorschriften oder auf von einer Aufsichtsbehörde genehmigte Vertragsklausel zurückgegriffen wird.

Bei all den zu erteilenden Informationen muss der Verantwortliche aber stets darauf achten, dass dabei nicht die Rechte und Freiheiten anderen Personen beeinträchtigt werden (Art. 15 Abs 4 EU-DSGVO).

All die eben beschriebenen Informationen hat der Verantwortliche kostenlos zur Verfügung zu stellen. Nur bei exzessiven Anträgen oder im Fall von Wiederholungen kann der Verantwortliche ein angemessenes Entgelt verlangen oder sich weigern, die Auskünfte zu erteilen. Dieses kostenlose Auskunftsrecht ist natürlich mit einigem Aufwand und Kosten für Unternehmen verbunden. Dennoch sollte diesen Pflichten gewissenhaft und rasch (binnen eines Monats) nachgekommen werden, denn diese Pflichten sind keineswegs nur Leitlinien oder grobe Orientierungshilfen, sondern können bei Verstößen mit erheblichen Geldstrafen sanktioniert werden.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht