Datenschutz-Anpassungsgesetz 2018 – Ministerialentwurf liegt vor (Teil 2)

Von Franz J Heidinger / Laurin Maran – Der zweite Teil unseres Beitrags zum Datenschutz-Anpassungsgesetz 2018, in dem wir die weiteren Ziele des Gesetzes vorstellen möchten.

Anpassung des Grundrechts auf Datenschutz

Das verfassungsrechtlich verankerte Grundrecht auf Datenschutz soll nach Vorgabe der EU-DSGVO angepasst und verständlicher werden. So ist beispielsweise die Drittwirkung des Grundrechtes derzeit  nicht  ausdrücklich geregelt. Der eigentliche Zweck von Grundrechten ist es, die Bürger vor staatlicher Willkür zu schützen. Von einer Drittwirkung von Grundrechten spricht man dann, wenn sich die Schutzwirkung eines Grundrechtes nicht nur zwischen Staat und Bürger entfaltet, sondern auch zwischen Bürgern untereinander. Das Grundrecht auf Datenschutz ist das einzige verfassungsrechtliche gewährleistete Recht mit unmittelbarer Drittwirkung. Dies ist zwar unter Juristen bekannt, wurde aber noch nirgends in eine Norm gegossen. Bis jetzt, denn § 1 Abs 3 DSG 18 lautet wie folgt: „Das Grundrecht auf Datenschutz verpflichtet auch Private.“

Im noch aktuellen Datenschutzgesetz 2000 sind auch personenbezogene Daten juristischer Personen, also von Unternehmen, Vereinen, Stiftungen etc. geschützt. Dieser Schutz ist in der EU-DSGVO nicht mehr vorgesehen. Zukünftig haben nur noch natürliche Personen Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten.

Regelung von Datenverarbeitungen zu spezifischen Zwecken

Die Datenverarbeitungen zu spezifischen Zwecken (zum Beispiel zum Zwecke der wissenschaftlichen Forschung und Statistik oder die Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen) sollen verständlicher ausgestaltet und an die Terminologie der EU-DSGVO angepasst werden.

Regelung der Bildverarbeitung

Zahlreiche Regelungen im DSG 2000 zum Thema Videoüberwachung haben sich in der Praxis nicht bewährt. Daher sollen diese Bestimmungen nun modernisiert und angepasst werden. Zu finden sind die neuen Bestimmungen im 6. Abschnitt des DSG 2018. Da hier allerdings ganz allgemein von Bildaufnahmen gesprochen wird, ist wohl davon auszugehen, dass nicht nur Videoaufnahmen, sondern auch Fotos geregelt werden sollen. Wie genau der 6. Abschnitt zu verstehen ist und welchen Einfluss das Gesetz auf spontane Schnappschüsse haben wird, werden wir in einem eigenen Blog-Beitrag erörtern.

20170608_120014

Soweit die sechs großen Ziele des geplanten neuen Datenschutzgesetzes. In wie weit der Entwurf noch überarbeitet wird, bleibt abzuwarten. Die Verhandlungen zur EU-DSGVO wurden zur größten Lobbyisten-Schlacht in der Geschichte der europäischen Union. Zwar geht es bei den verschiedenen nationalen Anpassungsgesetzen nur noch um Feinjustierungen, es ist aber wohl zu erwarten, dass sich die großen datenverarbeitenden Konzerne und ihre Interessensverbände diese Chance nicht entgehen lassen und nochmal versuchen werden, Einfluss zu nehmen. Es wird sich zeigen, welches Gesetz am Ende dabei herauskommen. Wir werden den Prozess jedenfalls aufmerksam beobachten und auf www.eu-dsgvo.at berichten.

Teil 1 dieses Beitrages finden Sie hier.

Datenschutz-Anpassungsgesetz 2018 – Ministerialentwurf liegt vor (Teil 1)

Von Franz J Heidinger / Laurin Maran – Am 12. Mai 2017 ist der erste Entwurf des Datenschutz-Anpassungsgesetzes 2018 (DSG 2018) im Nationalrat eingelangt. Diverse Institutionen haben nun bis zum 23.06.2017 Zeit, ihre Stellungnahmen dazu abzugeben. Das mit diesem Gesetz verfolgte Hauptanliegen ist natürlich die Durchführung der ab 25. Mai 2018 geltenden EU-DSGVO.

Durchführung der Verordnung der EU-DSGVO

Wie alle Verordnungen der EU ist auch die EU-DSGVO direkt in Österreich anwendbar und müsste eigentlich nicht in ein nationales Gesetz gegossen werden. Allerdings haben die Gesetzgeber in Brüssel den Mitgliedsstaaten in manchen Bereichen einigen Spielraum gelassen („Öffnungsklauseln“). So sieht Art. 8 Abs 1 EU-DSGVO beispielsweise vor, dass die Einwilligung eines Kindes zur Verarbeitung seiner personenbezogenen Daten nur wirksam ist, wenn das Kind bereits das sechzehnte Lebensjahr vollendet hat. Die Mitgliedstaaten können jedoch durch Rechtsvorschriften eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Da sich im DsAnpG keine Regelung zur Altersgrenze findet, wurde von dieser Öffnungsklausel kein Gebrauch gemacht und die Bestimmung in der EU-DSGVO ist anzuwenden.

Generell kann festgehalten werden, dass in weiten Teilen die Bestimmungen der EU-DSGVO übernommen wurden. Dies ist zu begrüßen, da mit der EU-DSGVO versucht wurde, das europäische Datenschutzrecht zu vereinheitlichen. Würde nun jeder Mitgliedsstaat von allen Öffnungsklauseln Gebrauch machen, wäre dieses Ziel verfehlt. Man stelle sich beispielsweise vor, um bei erwähnter Altersgrenze zu bleiben, dass Kinder in Österreich ab 13 Jahren in die Verarbeitung ihrer personenbezogenen Daten einwilligen könnten, in Deutschland ab 14 Jahren und in der Slowakei ab 16 Jahren. So wären grenzüberschreitend tätige Unternehmen nach wie vor mit verschiedenen nationalen Regelungen konfrontiert, trotz einheitlicher EU-Verordnung.

Umsetzung der EU-Richtlinie 2016/680

Im Gegensatz zu EU-Verordnungen gelten EU-Richtlinien nicht unmittelbar in den Mitgliedsstaaten. Daher ist der österreichische Gesetzgeber gezwungen, die Datenschutz-Richtlinie für Polizei und Justiz oder anders ausgedrückt: Die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in nationales Recht umzusetzen. Auch dies soll mit dem nun vorliegenden Entwurf geschehen. In einem weiteren Beitrag werden wir einen genauen Blick auf diese Richtlinie und ihre Umsetzung werfen.

Einheitliche Kompetenz in den allgemeinen Angelegenheiten des Schutzes personenbezogener Daten

Die Gesetzgebungskompetenz und die Vollzugskompetenz sind momentan zwischen Bund und Ländern geteilt. Bundessache ist die Gesetzgebung in Bezug auf den Schutz personenbezogener Daten im automationsunterstützen Datenverkehr. Die Vollziehung dieser Gesetze steht grundsätzlich dem Bund zu, allerdings gibt es Ausnahmen, in denen die Länder diese Bundesgesetze zu vollziehen haben. Für die Gesetzgebung in Bezug auf den Schutz manueller Daten sind generell die Länder zuständig. Ziel des DSG 2018 ist eine einheitliche Gesetzgebungs- und Vollziehungskompetenz des Bundes in allgemeinen Angelegenheit des Schutzes personenbezogener Daten.

In Teil 2 dieses Beitrags werden wir die drei weiteren Ziele des Datenschutz-Anpassungsgesetz 2018 vorstellen.

Rechte der Betroffenen (Teil 3): Berichtigung

Von Franz J Heidinger / Laurin Maran -Im letzten Blog-Beitrag wurde das Recht auf Auskunft vorgestellt. Die von einer Datenverarbeitung betroffene Person sollte nach einem Auskunftsbegehren darüber Bescheid wissen, über welche Daten das jeweilige Unternehmen verfügt. Sollte sich herausstellen, dass gewissen Daten falsch gespeichert wurden, haben Betroffene gemäß Art. 16 EU-DSGVO das Recht, von dem für die Verarbeitung Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Mit dieser Norm soll sich der in Art. 5 Abs 1 lit d EU-DSGVO verankerter Grundsatz der Richtigkeit von personenbezogenen Daten auch von Betroffenen durchsetzen lassen. Denn grundsätzlich müssen Daten stets sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Wenn ein Unternehmen schon Daten speichert und verarbeitet, dann sollen diese Daten den Betroffenen und seine Lebensumstände auch richtig wiederspiegeln.

Ein Unternehmen hat diesem Wunsch innerhalb eines Monats nachzukommen und den Betroffenen über die Änderungen zu informieren. Wenn es die Komplexität des Antrages oder die Anzahl der Anträge erforderlich macht, kann diese Frist um 2 Monate verlängert werden.

Neben der Berichtigung kann eine betroffene Person auch die Vervollständigung unvollständiger, personenbezogener Daten verlangen.

Der Antrag kann völlig formfrei gestellt werden, ein Identitätsnachweis ist nur in Zweifelsfällen notwendig. Wie beim Auskunftsrecht kann der Verantwortliche nur bei exzessiven Anträgen oder im Fall von Wiederholungen ein angemessenes Entgelt verlangen.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

TEIL 2: Recht auf Auskunft

Rechte der Betroffenen (Teil 2): Auskunft

Von Franz J Heidinger / Laurin Maran – Nachdem der letzte Blog-Beitrag die Pflicht vorstellte, Betroffene aktiv und unaufgefordert über eine Datenverarbeitung zu informieren, widmet sich dieser Artikel dem Recht der Betroffenen, auf Antrag vom Verantwortlichen Auskunft über die von ihm verarbeitenden Daten zu verlangen.

Dieses Auskunftsrecht findet sich in Art. 15 der ab Mai 2018 geltenden Datenschutzgrundverordnung (EU-DSGVO) und bietet Betroffenen, also Personen, deren Daten verarbeitet werden, die Möglichkeit zu überprüfen, ob ihre Daten rechtmäßig verarbeitet werden. So müssen Sie beispielsweise über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die verarbeitet werden, die Empfänger, gegenüber denen die Daten offengelegt werden und die geplante Dauer, für die die Daten gespeichert werden, informiert werden. Wurden die Daten nicht von demjenigen erhoben, an den das Auskunftsersuchen gerichtet wurde, müssen alle Informationen über die Herkunft der Daten mitgeteilt werden. Ferner muss der Verantwortliche darüber informieren, ob sich der Betroffene bei einer Aufsichtsbehörde über ihn beschweren kann.

Nutzt der Verantwortliche ein Programm zur automatisierten Entscheidungsfindung, muss er aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person bereitstellen.

Beispiel für eine automatisierte Entscheidungsfindung: Einer Person, die mit einem teuren Handy einen Flug bucht, wird ein anderer Preis angeboten wird, als einer anderen Person, die den gleichen Flug mit einem billigeren Handy bucht.cropped-20160916_1114211.jpg

Im österreichischen Datenschutz ist dieses Auskunftsrecht nicht völlig fremd, findet sich doch in § 26 DSG 2000 ein sehr ähnliche Regelungen.

Werden Daten an ein Drittland übermittelt, muss die Person, deren Daten übermittelt wurden, über die geeigneten Garantien unterrichtet werden, die sicherstellen müssen, dass seine Daten auch im Ausland geschützt werden. Solche Garantien können beispielsweise darin bestehen, dass auf verbindliche interne Datenschutzvorschriften oder auf von einer Aufsichtsbehörde genehmigte Vertragsklausel zurückgegriffen wird.

Bei all den zu erteilenden Informationen muss der Verantwortliche aber stets darauf achten, dass dabei nicht die Rechte und Freiheiten anderen Personen beeinträchtigt werden (Art. 15 Abs 4 EU-DSGVO).

All die eben beschriebenen Informationen hat der Verantwortliche kostenlos zur Verfügung zu stellen. Nur bei exzessiven Anträgen oder im Fall von Wiederholungen kann der Verantwortliche ein angemessenes Entgelt verlangen oder sich weigern, die Auskünfte zu erteilen. Dieses kostenlose Auskunftsrecht ist natürlich mit einigem Aufwand und Kosten für Unternehmen verbunden. Dennoch sollte diesen Pflichten gewissenhaft und rasch (binnen eines Monats) nachgekommen werden, denn diese Pflichten sind keineswegs nur Leitlinien oder grobe Orientierungshilfen, sondern können bei Verstößen mit erheblichen Geldstrafen sanktioniert werden.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

OGH vom 25.10.16, 4 Ob 165/16t: Wer widerrechtlich erlangte Daten nutzt, verstößt gegen das Gesetz gegen den unlauteren Wettbewerb (UWG)

Von Franz J Heidinger / Laurin Maran – Dieser OGH-Entscheidung liegt folgender Sachverhalt zugrunden: Die streitenden Parteien dieses Verfahrens sind zwei konkurrierende Unternehmen, die Ticket- und Eintrittssysteme, unter anderem für Skigebiete und Stadien, erzeugen und vertreiben. Die Klägerin betreibt zudem Server, auf denen die internen Anwendungen ihrer Kunden installiert sind. Die Kunden können sich mittels Passwort auf diese Server einloggen und ihre Daten abrufen.

Einem Mitarbeiter der beklagten Partei gelang es, den Kennwortschutz dieser Server zu umgehen und auf die Daten zuzugreifen. Er hat bei einer Mitbewerberanalyse den Bildschirm eines Kunden der klagenden Partei fotografiert. Dem Foto konnte eine bestimmte Internetadresse (URL) entnommen werden. Mit dieser URL, Modifikationen der IP-Adresse und bestimmten Programmbefehlen konnten diverse Daten von Kunden des Konkurrenten ausgekundschaftet werden.

Mit diesen Daten konfrontierte der Beklagte in weiterer Folge die Kunden der Klägerin, unterstellte der Klägerin fehlende Datensicherheit und versuchte die Kunden abzuwerben.

Als die Klägerin davon Wind bekam, beantragte sie, das Gericht möge der Beklagten mit einer einstweiligen Verfügung verbieten, „die widerrechtlich aus der Verfügungsmacht der Klägerin erlangten Daten zu nutzen und/oder(…)  gegenüber Dritten zu offenbaren.“  Der Beklagten wurde weiter vorgeworfen, sie habe gegen § 6 Abs 1 und § 7 DSG verstoßen und außerdem sei dieses Verhalten strafbar, sowohl nach dem Strafgesetzbuch als auch nach dem Datenschutzgesetz. Dies begründe einen Anspruch nach § 1 UWG (Wettbewerbsvorsprung durch Rechtsbruch).

Die Beklagte wendete zusammengefasst ein, dass es sich bei den Daten nicht um Geschäftsgeheimnisse der Klägerin gehandelt habe, weil sie einfach (also ohne Passwortschutz) zugänglich gewesen seien und überhaupt sei die Klägerin nicht aktiv legitimiert, weil es sich nicht um ihre eigenen, sondern um die Daten ihrer Kunden gehandelt habe.

Die OGH-Richter haben nun festgestellt, dass es sich bei den Daten sehr wohl um Geschäftsgeheimnisse handelt. Bei Geschäftsgeheimnissen handelt es sich um „Tatsachen und Erkenntnisse kommerzieller oder technischer Art, die bloß einer bestimmten und begrenzen Zahl von Personen bekannt sind, nicht über diesen Kreis hinausdringen sollen und an deren Geheimhaltung ein wirtschaftliches Interesse besteht.“  Mangelhafte Sicherheitsstandards, wie in diesem Fall, erlauben bei aufrechtem Passwortschutz nicht den Schluss, dass der Unternehmer kein Interesse an der Geheimhaltung mehr hätte. Vielmehr muss angenommen werden, dass die Lücken im System nicht bekannt war, sodass aus deren Vorliegen keinesfalls ein Wegfall des Geheimnischarakters abgeleitet werden kann.

Bezüglich der Aktivlegitimation des Klägers führte der Oberste Gerichtshof aus, dass  die „gehackten“ Daten zwar vom Kunden stammen und sich auf deren geschäftliche Verhältnisse beziehen, sie sich allerdings faktisch in der Verfügungsmacht der Klägerin befanden und sehr wohl ein eigenes Interesse an deren Geheimhaltung besteht, droht doch bei Verlust der Daten die Beendigung des Kundenverhältnisses oder Schadenersatzansprüche der Kunden. Somit fallen die Daten für die Klägerin eindeutig in den Schutzbereich des § 11 Abs 2 UWG und die Klägerin war befugt, ihre Ansprüche gerichtlich geltend zu machen.

Rechte der Betroffenen (Teil 1): Information

logoVon Franz J Heidinger / Laurin Maran – Ein Hauptanliegen des europäischen Gesetzgebers war die Stärkung  individueller Rechte von Betroffenen, also von Menschen, deren Daten verarbeitet werden. So wurde in Art. 17 EU-DSGVO erstmals das sogenannte „Recht auf Vergessenwerden“ gesetzlich normiert und mit Art 20 EU-DSGVO das „Recht auf Datenübertragbarkeit“ eingeführt.

Damit ein Betroffener seine Rechte ausüben kann, muss er allerdings darüber informiert sein, welche Daten von ihm auf welche Weise verarbeitet werden.  Daher beginnt Kapitel III der Datenschutzgrundverordnung, in dem die individuellen Rechte von Betroffenen geregelt werden, mit einer allgemeinen Norm, die deutlich zeigt, dass die europäische Datenverarbeitung ab 2018 von mehr Information und Transparenz geprägt sein wird.

Um eine solche transparente Verarbeitung von Daten sicherzustellen, werden die für die Datenverarbeitung Verantwortlichen in Art 13 und 14 EU-DSGVO verpflichtet, aktiv und unaufgefordert zu informieren. Nur so können Betroffene ihre Rechte effektiv wahrnehmen und durchsetzen. Ob und in welcher Form informiert werden muss, hängt davon ab, ob die Daten direkt bei der betroffenen Person erhoben werden oder aus anderen Quellen stammen.

Grundsätzlich muss jeder Betroffene bei jeder Verarbeitung über den Zweck und die Rechtsgrundlage der Verarbeitung, die Kontaktdaten des Verantwortlichen, ggf. die Kontaktdaten des Datenschutzbeauftragten  und die unter Umständen beabsichtigte Übermittlung in Drittstaaten informiert werden. Erfolgt die Verarbeitung auf Grund eines „berechtigten Interesses“ und nicht aufgrund einer Einwilligung der betroffenen Person, muss mitgeteilt werden, welche berechtigten Interessen vom Verantwortlichen verfolgt werden.

Manche Informationen müssen nur in bestimmten Situationen mitgeteilt werden. So muss ein Betroffener beispielsweise darüber informiert werden, dass über ihn im Zuge von Profiling-Prozessen Entscheidungen  automationsunterstützt getroffen werden.

Sollen Daten zu einem anderen Zweck verarbeitet werden, als für den sie ursprünglich gesammelt wurden, muss der Betroffene über diese Zweckänderung informiert werden und auch bezüglich des „neuen“ Zweckes erneut alle Informationen bekanntgeben.

Werden die Daten direkt beim Betroffenen erhoben, muss dieser bereits zum Zeitpunkt der Datenerhebung mit allen relevanten Informationen versorgt werden. Werden die Daten nicht beim Betroffenen erhoben, sondern stammen von einer anderen Quelle, muss der Betroffene spätestens nach einem Monat informiert werden.

Von diesen sehr umfangreichen Informationspflichten gibt es jedoch auch Ausnahmen. So muss ein Betroffener nicht informiert werden, wenn er die nötigen Informationen bereits kennt oder die Erlangung durch Rechtsvorschriften der Union oder eines Mitgliedstaates ausdrücklich geregelt ist. Zudem darf die Benachrichtigung ausbleiben, wenn die Daten nicht direkt beim Betroffenen erhoben werden und die Unterrichtung für den Verantwortlichen unmöglich ist oder zumindest einen unverhältnismäßigen Aufwand erfordern würde. Dieser Aufwand kann beispielsweise dann unverhältnismäßig sein, wenn die Daten zur Archivzwecken im öffentlichen Interesse oder zu Zwecken der Forschung und Statistik verarbeitet werden. Die Frage der Auslegung des doch recht vagen Begriffes des „unverhältnismäßigen Aufwandes“ wird in Zukunft wohl noch das ein oder andere Gericht beschäftigen. Grundsätzlich wird in diese Verhältnismäßigkeitsprüfung noch einfließen, ob die Daten aus einer allgemein zugänglichen Quelle stammen, für sie ein besonderes Geheimhaltungsinteresse besteht und welche Bedeutung der „Aufwand“ für das Unternehmen hat.

Unterliegt der Verantwortliche nach dem Recht des Staates, dem er unterliegt oder nach Unionsrecht einem Berufsgeheimnis, wird die Informationspflicht aufgehoben.

In allen anderen Fällen ist eine Benachrichtigung des Betroffenen unumgänglich. Damit die Informationspflicht auch ihren gewünschten Zweck erfüllt, sind bestimmte Formvorschriften einzuhalten. So sind die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erteilen. Weiters muss dies in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch und unentgeltlich erfolgen.

Dies alles klingt nach sehr viel Aufwand und Kosten für datenverarbeitende Unternehmen. Es wird jedoch, in Anbetracht der Folgen für Verstöße, dringend davon abgeraten, hier nicht rechtzeitig die nötigen Maßnahmen zu ergreifen. Spart man doch bei drohenden Bußgeldern von bis zu EUR 20.000.000,–  und Schadenersatzansprüche der Betroffenen hier sicherlich an der falschen Stelle.

Der nächste Beitrag widmet sich dem Recht der Betroffenen, von Verantwortlichen Auskunft zu verlangen. Bis dahin kann nur empfohlen werden, dass Unternehmer ihre Datenschutzerklärung unter die Lupe nehmen und prüfen, ob die Pflichten der EU-DSGVO eingehalten werden. Die Profis der Alix Frank Rechtsanwälte GmbH unterstützt Sie dabei gerne!

Grundprinzipien des Datenschutzrechts (Teil 3): Datenminimierung und Richtigkeit

Von Franz J. Heidinger / Laurin Maran – In der vierteiligen Serie zu den Grundprinzipien des Datenschutzrechts werden heute in aller Kürze die Prinzipien der Datenminimierung und der Richtigkeit der Daten erklärt.

Art 5 Abs 1 lit c: Datenminimierung

„Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.“

Dies bedeutet, dass nur solche Daten erhoben werden sollen, die für den konkreten Erhebungszweck von direkter Relevanz und für dessen Erfüllung erforderlich sind. Damit in Zusammenhang steht auch der Grundsatz der Speicherbegrenzung, worunter verstanden wird, dass die Identifizierung der betroffenen Personen nur so lange möglich sein soll, wie es für den Zweck, für die sie verarbeitet werden, erforderlich ist.

Der Telos hinter die Bestimmung: Wenn schon in die Grundrechte von natürlichen Personen eingegriffen wird, dann zumindest mit den gelindesten Mitteln.

20160919_141500

Art 5 Abs 1 lit d: Richtigkeit der Daten

„Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.“

Besonderes Augenmerk soll hier auf das Wort „erforderlichenfalls“ gelegt werden. Ein Unternehmen muss sich also nicht monatlich mit allen Kunden in Verbindung setzen und fragen, ob jemand gerade umgezogen ist, sondern nur bei Bedarf das Kundenregister aktualisieren. Dies wäre beispielsweise der Fall, wenn ein Bankkunde aufgrund seiner Hochzeit einen neuen Namen hat und daher eine neue Bankkarte benötigt.

Verwaltungsgerichtshof verbietet Dashcams

Von Franz J. Heidinger / Laurin MaranVideoaufzeichnungen während der Autofahrt verstoßen gegen das Datenschutzgesetz.

Als Dashcam wird eine Videokamera bezeichnet, die meist auf dem Armaturenbrett oder an der Windschutzscheibe eines Fahrzeugs angebracht ist und während der Fahrt fortwährend aufzeichnet. Die aufgezeichneten Daten sollen bei Verkehrsunfällen als Beweismittel dienen, doch laut Verwaltungsgerichtshof (VwGH) verstößt dies gegen das geltende österreichische Datenschutzgesetzt.

Der Antragsteller hat sich redlich bemüht, seine Kamera so datenschutzfreundlich wie möglich zu gestalten. Es sollte ein Bereich vor und hinter dem Auto verschlüsselt aufgezeichnet werden, diese Aufnahmen aber immer nach 60 Sekunden gelöscht werden. Nur im „Anlassfall“ – bei Betätigung eines SOS-Knopfes oder bei einem Verkehrsunfall – sollte eine Speicherung erfolgen. Eine Entschlüsselung der Daten wäre nur im Zusammenhang mit behördlichen Ermittlungen, Gerichtsverfahren oder zu Klärung von Versicherungsfragen erfolgt. Dennoch verweigerte die Datenschutzbehörde die Registrierung dieser Datenanwendung. Es handle sich um eine Videoüberwachung des öffentlichen Raumes und dafür habe eine Privatperson keine Berechtigung.

Die Beschwerde gegen die Entscheidung der Datenschutzbehörde wurde vom Bundesverwaltungsgericht als unbegründet abgewiesen. Die Richter begründeten dies damit, dass es sich eindeutig um die Verarbeitung personenbezogener Daten handle, der Zweck der Verarbeitung die Identifizierung von Personen sei und eine Identifikation mit rechtlichen Mitteln möglich sei. Es liege nicht nur eine Speicherung im Anlassfall vor, sondern eine systematische, fortlaufende Feststellung des öffentlichen Raumes. Private dürften nur jene Bereiche überwachen, an denen ihnen ein hausrechtsähnliches Verfügungsrecht zukomme und daher seien die Dashcams rechtswidrig.

Gegen die Entscheidung des Verwaltungsgerichts war eine ordentliche Revision an den Verwaltungsgerichtshof zulässig. Doch auch dieser enttäuschte den Autofahrer und wies die Revision ab (Ro 2015/04/00117). Entgegen der Auffassung der Vorinstanzen ist die Dashcam zwar nicht schon deshalb unzulässig, weil es an einer Befugnis zur Überwachung mangelt. Weiters muss aber der Eingriff in das Grundrecht auf Datenschutz unter Anwendung der gelindesten zur Verfügung stehenden Mitteln erfolgen.  Der Eingriff muss demnach verhältnismäßig sein. Die Verhältnismäßigkeit sah der VwGH aber als nicht gegeben an, da der Fahrer jederzeit durch Drücken des SOS-Knopfes selbst bestimmen kann, wann eine dauerhafte Speicherung stattfinden soll.

Somit ist die Benutzung von Dashcams in Österreich verboten. Verstöße könnten von der Datenschutzbehörde sanktioniert werden und die durch sie gewonnenen Aufzeichnungen könnten unter Umständen im zivilgerichtlichen Verfahren nicht als Beweis zugelassen werden.

Grundprinzipien des Datenschutzrechts (Teil 1): Rechtmäßigkeit

Von Franz J. Heidinger / Laurin Maran – Nachdem in den letzten beiden Beiträgen schon das erste Grundprinzip des Datenschutzrechts, der Grundsatz des „Verbots mit Erlaubnisvorbehalt“ behandelt wurde, wird in diesem Artikel auf die weiteren Prinzipien des Datenschutzrechts eingegangen. Denn selbst wenn ein Erlaubnisgrund für die Verarbeitung von personenbezogenen Daten gegebene ist, sei es die Einwilligung des Betroffenen, ein berechtigtes Interesse des Verantwortlichen oder ein anderer der in der Verordnung genannten Gründe, darf ein Verantwortlicher dennoch nicht unbeschränkt Daten sammeln und verarbeiten. Er hat sich dabei an die Grundsätze für die Verarbeitung personenbezogener Daten zu halten, die in Art 5 EU-DSGVO zu finden sind und in den folgenden Beiträgen erklärt werden sollen.

20160919_141500

Art 5 Abs 1 lit a: Rechtmäßigkeit, Verarbeitung nach Treu und Glaube, Transparenz

„Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbare Weise verarbeitet werden.“

Rechtmäßig ist eine Verarbeitung nur dann, wenn eine Einwilligung des Betroffenen vorliegt oder eine andere der in Artikel 6 EU-DSGVO normierten Bedingungen erfüllt ist. Dies ist immer die als Erstes zu prüfende Grundvoraussetzung jeder Datenverarbeitung.

Weiters muss eine Datenverarbeitung transparent sein. Dies ist allerdings keine wirkliche Neuerung, da das Transparenzgebot  auch schon im aktuellen österreichischen Datenschutzrecht verankert ist. Es verpflichtet Verantwortliche bei der Erhebung von Daten dazu, die betroffene Person über den Zweck, den Umfang sowie über die künftige weitere Verwendung seiner Daten zu informieren. Erwägungsgrund 39 geht diesbezüglich noch etwas mehr ins Detail und schreibt vor, dass alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abzufassen sind. Dies gilt insbesondere für Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung. Außerdem muss über das Recht der Betroffenen informiert werden, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende Daten verarbeitet werden und wie dieses Recht geltend gemacht werden kann.

Wann Daten  nach Treu und Glaube verarbeitet werden, wird im EU-DSGVO nicht weiter definiert. Der österreichische Verwaltungsgerichtshof definierte diesen Grundsatz in seiner Entscheidung VwGH 15.3.2001, 2001/16/0063 einst so, dass jeder, der am Rechtsleben teilnimmt, zu seinem Verhalten zu stehen hat und sich nicht ohne triftigen Grund in Widerspruch zu dem setzen darf, was er früher vertreten hat und worauf andere vertraut haben. Es werden jedoch die ersten Entscheidungen zur EU-DSGVO abzuwarten sein, um beurteilen zu können, wie dieser Grundsatz im datenschutzrechtlichen Kontext zu sehen ist und welche Pflichten damit einher gehen.

Der nächste Beitrag wird sich um den Grundsatz der Zweckbindung drehen.

Zulässigkeit der Datenverarbeitung (Teil 1): Die Einwilligung der betroffenen Person

Von Franz J. Heidinger / Laurin Maran – Die entscheidende Frage im datenschutzrechtlichen Kontext ist die nach der Zulässigkeit der Verarbeitung personenbezogener Daten. Die EU-DSGVO bringt diesbezüglich keine überraschende Neuerung im Vergleich zur aktuellen Rechtslage, ein paar zusätzliche Bestimmungen gibt es allerdings schon.

Das europäische Datenschutzregime basiert auf dem Grundsatz „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn mindestens eine der in Art. 6 Abs 1 EU-DSGVO aufgezählten Bedingungen erfüllt ist. Die Bedingungen sind die Folgenden:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehreren bestimmte Zwecke gegeben.
  2. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen einer natürlichen Person zu schützen.
  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

20160919_141430.jpg

Die Einwilligung

Die Verarbeitung ist also grundsätzlich verboten, es sei denn, die betroffene Person willigt in die Verwendung ihrer personenbezogenen Daten ein. Dieser Erlaubnisgrund ist wohl die meist gebrauchte Rechtsgrundlage für die Datenverarbeitung. Der Begriff der Einwilligung wird in der EU-DSGVO in Art. 4 wie folgt definiert:

Die Einwilligung der betroffenen Person ist jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden Personenbezogenen Daten einverstanden ist.

Diese Erklärung kann etwa durch das Anklicken eines Kästchens beim Besuch einer Internetseite oder durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft geschehen. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sind keine gültigen Einwilligungen. Die betroffene Person muss also in Kenntnis darüber, zu welchen Zwecken seine Daten verarbeitet werden, selbst und freiwillig aktiv werden.

Gemäß Art 7 Abs 1 EU-DSGVO muss der für die Verarbeitung Verantwortliche nachweisen können, dass die  betroffene Person in die Verarbeitung ihrer Daten eingewilligt hat. Unternehmen haben somit eine Protokollierungspflicht und müssen Einwilligungen bei Bedarf dokumentieren können.

Der Begriff Einwilligung in „informierter Weise“ wird in Art 7 Abs 2 weiter konkretisiert. Erfolgt diese nämlich durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen, und zwar so, dass es von anderen Sachverhalten eindeutig zu unterscheiden ist. Die betroffene Person muss also klar erkennen können, in was sie einwilligt, und zwar ohne davor ein datenschutzrechtliches Studium absolvieren zu müssen.

„Freiwillig“ ist eine Einwilligung nur dann, wenn sie sich nur auf Daten bezieht, die der Verarbeiter für die konkrete Vertragserfüllung benötigt. Lässt sich der Verarbeiter jedoch mit derselben Einwilligung auch die Verarbeitung von Daten erlauben, die für die Vertragserfüllung nicht benötigt werden, spricht das gegen die Freiwilligkeit. Somit gibt es ab 2018 ein sogenanntes Kopplungsverbot.

Beispiel für ein Kopplungsverbot:

Eine Bildbearbeitungs-App fürs Smartphone nimmt sich in seinen Datenschutzbestimmungen das Recht heraus, auf das Telefonbuch des Nutzers, auf die Nutzungsdauer des Handys und auf seine Standortdaten zuzugreifen. Dies sind eindeutig Daten, die nicht zur Bearbeitung von Fotos benötigt werden. Möchte der Nutzer die App jedoch nutzen, muss er den Zugriff vollumfänglich erlauben. Diese Datenschutzbestimmungen widersprechen den Kopplungsverbot und wären gemäß der EU-DSGVO rechtswidrig.

Einwilligung bei Kindern

Artikel 8 behandelt die Bedingungen für die Einwilligung von Kindern im Bezug auf Dienste der Informationsgesellschaft: Eine Person unter 16 Jahren ist nicht fähig, eine gültige Einwilligung zur Verarbeitung von personenbezogenen Daten zu geben. Für Kinder unter 16 Jahren muss die Einwilligung also von den Eltern gegeben werden. Von dieser Altersgrenze kann zwar jeder Mitgliedsstaat mit eigenen Regelungen abweichen, allerdings müssen Kinder mindestens das 13. Lebensjahr vollendet haben.

Wie die für die Datenverarbeitung verantwortlichen Personen diese Regelungen umsetzen sollen, wird im Gesetz nicht beschrieben und wird wohl mit erheblichen Problemen verbunden sein. Mit einem „mit Anklicken des Kästchen bestätige ich, dass ich über 16 Jahre alt bin“ wird es wohl nicht getan sein.

Ein weiteres Problem werden die unterschiedlichen Regelungen bezüglich der Altersgrenze in Europa aufwerfen. Gerade bei der Datenverarbeitung im Internet, das sich bekanntlich nicht an Ländergrenzen hält, werden die verschiedenen Altersgrenzen zur Einwilligungsfähigkeit erhebliche Schwierigkeiten bringen. Man stelle sich vor, die Altersgrenze in Österreich bleibt bei 16 Jahren, in Deutschland wird sie auf 15 Jahre gesenkt und der ungarische Gesetzgeber ist der Meinung, schon mit 13 Jahren könne man eine Einwilligung geben. Ein Betreiber einer Handy-App, dessen Datenverarbeitung auf der Einwilligung beruht, müsste nun für jeden Mitgliedsstaat individuelle Schutzmechanismen entwickeln. Mit einer Harmonisierung des europäischen Datenschutzrechts hat das nicht mehr viel zu tun.

Handlungsbedarf für Unternehmen

Unternehmen sollten jetzt ihre Datenschutzbestimmungen und Zustimmungserklärungen dahingehend überprüfen, ob sie den Regelungen der EU-DSGVO entsprechen. Sollte dies nicht der Fall sein, müssen sie bis zum 25. Mai 2018 überarbeitet und angepasst werden.

Falls nicht schon vorhanden muss eine Infrastruktur geschaffen werden, um abgegebene Einwilligungen individuell nachweisen zu können.

Sollten unter den Kunden auch Personen unter 16 Jahren sein, werden gegebene Einwilligungen ab 2018 wohl unwirksam sein und müssten dann neu eingeholt werden.

In Anbetracht der Strafdrohungen in Höhe von bis zu 20 Millionen Euro für Verstöße gegen die EU-DSGVO sollte unter Umständen die Beiziehung professioneller Unterstützung in Betracht gezogen werden.