Sanfte Entwarnung für Unternehmen: Strafen erst nach mehrmaligen Verstößen

Von Franz J Heidinger / Laurin Maran: Wie sich mittlerweile herumgesprochen haben sollte, drohen bei Verstößen gegen die EU-Datenschutzgrundverordnung (EU-DSGVO) Geldbußen von bis zu EUR 20.000.000,- oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Diese existenzvernichtende Drohung des europäischen Gesetzgebers hat ihre Wirkung nicht verfehlt: Die europäischen Unternehmen wurden in helle Aufregung versetzt und bemühen sich seit Monaten intensiv, nicht zuletzt um solche Geldbußen zu vermeiden, ihre Geschäftsmodelle bis zum 25.05.2018 fit für die EU-DSGVO zu machen.

Für österreichische Unternehmen kann nun teilweise Entwarnung gegeben werden. Am 20.04.2018 wurde das „Bundesgesetz, mit dem das Datenschutzgesetz geändert wird (Datenschutz-Deregulierungs-Gesetz 2018)“ im Nationalrat angenommen. Der neu verfasste § 11 DSG sieht nun vor, dass die Datenschutzbehörde die Bestimmungen des Art 83 DSGVO, wo die oben erwähnte Geldbußen festgelegt sind, so anzuwenden hat, dass die Verhältnismäßigkeit gewahrt wird. Bei erstmaligen Verstößen wird die Datenschutzbehörde von ihren Abhilfebefugnissen insbesondere durch Verwarnungen Gebrauch machen.

Somit gilt, dass grundsätzlich erst eine Verwarnung auszusprechen ist, bevor es zu einer Strafe kommt. Und selbst wenn eine Strafe ausgesprochen werden sollte, dann sicher nicht in einer Höhe, die ein Unternehmen in die Insolvenz treiben könnte. Die Höhe der Geldbuße muss verhältnismäßig sein und sich an der Schwere des Verstoßes und an der Größe des Unternehmens orientieren.

Es besteht somit kein Grund, dem 25. Mai 2018 sorgenvoll entgegen zu blicken. Die EU-DSGVO wird wohl nicht so heiß gegessen werden, wie es der Aufruhr um sie in den letzten Monaten vermuten lässt. Dies ist jedoch kein Grund, nun die Füße hochzulegen und die DSGVO zu ignorieren. Auch eine Verwarnung kann sehr unangenehme Folgen haben und sich negativ auf das Image des Unternehmens auswirken. Außerdem drohen bei Verstößen nicht nur Geldbußen der Behörde, sondern auch Schadenersatzansprüche der Betroffenen. Außerdem könnte ein Verstoß gegen eine Bestimmung des Datenschutzgesetzes als unlauterer Wettbewerb betrachtet werden und entsprechende Unterlassungsklagen von Konkurrenten nach sich ziehen.

Verzeichnis von Verarbeitungstätigkeiten

Von Franz J Heidinger / Laurin Maran: Art. 30 EU-DSGVO verpflichtet Unternehmen, ein sogenanntes Verarbeitungsverzeichnis zu führen. Darin sind alle Verarbeitungstätigkeiten aufzunehmen, die der jeweiligen Zuständigkeit unterliegen. Das Verfahrensverzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen und die Aufsichtsbehörde muss mit Hilfe des Verfahrensverzeichnisses in der Lage sein, alle Verarbeitungstätigkeiten kontrollieren zu können.

Wer muss ein Verarbeitungsverzeichnis führen?

Die Verordnung nimmt Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, von dieser Pflicht aus. Allerdings nur, sofern die von ihnen vorgenommene Verarbeitung nicht

  • ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • die Verarbeitung nicht die Verarbeitung besonderer Datenkategorien (früher: „sensible Daten“) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt.

Diese Ausnahmetatbestände sind derart engmaschig gestaltet, dass sie wohl nur in äußersten Ausnahmefällen zur Anwendung kommen und wohl 99% aller Unternehmen, die auch nur einen einzigen Mitarbeiter beschäftigen, ein Verarbeitungsverzeichnis benötigen.

Welchen Zweck hat das Verarbeitungsverzeichnis?

In erster Linie sollten Unternehmen natürlich alleine schon deshalb ein Verzeichnis aller Verarbeitungstätigkeiten führen, um der gesetzlichen Verpflichtung gemäß Art. 30 EU-DSGVO nachzukommen. Davon abgesehen kann das Verzeichnis aber durchaus auch für interne Zwecke genutzt werden und die gesamte Unternehmensorganisation verbessern. Die Erstellung des Verzeichnisses sollte daher nicht nur als Pflicht verstanden werden, sondern kann auch eine Chance sein, die im Unternehmen vorhandenen Daten und Informationen zu strukturieren und optimal zu nutzen.

Ferner kann das Verarbeitungsverzeichnis als Grundlage für die Erfüllung alle weiteren datenschutzrechtlichen Verpflichtungen herangezogen werden. Wendet sich beispielsweise ein Betroffener an das Unternehmen und ersucht gemäß Art. 15 EU-DSGVO um Auskunft über die von ihm vorhandenen Daten, kann diese Anfrage mit Hilfe eines Verzeichnisses deutlich einfacher beantwortet werden. Müssten erst alle vorhandenen Daten nach den personenbezogenen Daten des Betroffenen durchforstet werden, kann es schwierig werden, die Anfrage innerhalb der gesetzlichen Frist von einem Monat zu beantworten. Ganz zu schweigen von den damit verbundenen Personalaufwand.

Welche Angabe muss das Verzeichnis enthalten?

Der Gesetzgeber hat klar vorgegeben, welche Informationen das Verzeichnis enthalten muss: Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, soweit einer bestellt wurde. Zwecke und Beschreibung der Datenverarbeitung, eine Beschreibung der Kategorie der betroffenen Personen und der personenbezogenen Daten, die Kategorie von Empfängern, denen die Daten übermittelt werden, gegebenenfalls die Übermittlungen von Daten an ein Land außerhalb der EU und wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Außerdem sollten die technischen und organisatorischen Maßnahmen aufgezählt werden, die ergriffen wurden, um personenbezogene Daten zu schützen.

Die Rechtsgrundlagen für die Datenverarbeitungen müssen grundsätzlich nicht in das Verzeichnis aufgenommen werden. Das Unternehmen muss allerdings jederzeit nachweisen können, dass eine Datenverarbeitung nach den in der EU-DSGVO normierten Grundsätzen erfolgt ist. Es ist daher empfehlenswert, bei den jeweiligen Datenverarbeitungszwecken anzuführen, auf welcher Rechtsgrundlage die Daten verarbeitet werden. Ferner können sich Mitarbeiter durch Einsicht in das Verzeichnis vergewissern, ob eine spezielle Datenverarbeitung rechtskonform ist.

Die jeweils gespeicherten Daten müssen nicht im Verzeichnis aufgezählt werden. Wird als Verarbeitungszweck beispielsweise die Lohnverrechnung genannt, wäre als Kategorie der betroffenen Personen „Mitarbeiter“ zu nennen. Bei der Datenkategorie müssen dann aber nicht alle Daten der Mitarbeiter des Unternehmens aufgezählt werden, sondern eben nur die jeweilige Kategorie der Daten wie zum Beispiel: Name, Anschrift, Bankverbindung. Es wäre keine Datenkategorie, wenn man schreiben würde: Hans Müller, Müllerweg 1, IBAN: AT91 (…).

Form und Aufbau des Verzeichnisses

Der Gesetzgeber schreibt lediglich vor, dass das Verzeichnis schriftlich zu führen ist und auch in einem elektronischen Format erfolgen kann. Somit scheint die Struktur des Verzeichnisses völlig unerheblich. Es kann eine einfache Exceltabelle sein oder können die Daten auch in eine Software eingespeist werden. Wichtig ist, dass die Aufsichtsbehörde bei der Einsicht einen umfassenden und abschließenden Überblick über die Tätigkeit des Unternehmens und die damit verbundenen Datenverarbeitungen erhält.

Im Hinblick auf den erwähnten Nutzen für das Unternehmen, den ein gutes Verzeichnis mitbringen kann, empfiehlt es sich allerdings, bei der Strukturierung und der jeweiligen Kategorisierung mehr Aufwand zu investieren, als gesetzlich vorgeschrieben ist. So spart man sich einerseits viel Zeit, bei der Bearbeitung von Anfragen von Betroffenen und andererseits lassen sich die Daten so besser auswerten.

Sollten Sie Hilfe bei der Erstellung eines Verarbeitungsverzeichnisses haben, stehen Ihnen die Datenschutzexperten der Alix Frank Rechtsanwälte GmbH jederzeit tatkräftig zur Seite.

 

 

Rechte der Betroffenen (Teil 4): Recht auf Vergessenwerden

Von Franz J Heidinger / Laurin Maran: Mario ist eitel. Als sein Haus in El Escorial nahe Madrid gepfändet wurde, war es für ihn schlimmer, davon in der Zeitung zu lesen, als die Pfändung an sich. „Schwamm drüber“, dachte er sich dann aber, „ich werde meine Schulden tilgen und an den Zeitungsartikel mit den Pfändungen wird sich in zwei Wochen niemand mehr erinnern“. Mario sollte recht behalten. Er bezahlte und der unangenehme Zeitungsartikel geriet schnell in Vergessenheit. Mario erinnert sich nicht gerne an diese schwere Zeit.

 Einige Jahre später in einem Redaktionsgebäude in Barcelona: In der Chefetage beschließt man, dass es Zeit ist, mit der Zeit zu gehen. Und wer mit der Zeit geht, muss Online gehen. Dafür werden alle Zeitungen der letzten Jahre eingescannt und auf der Homepage veröffentlicht.

Zur etwa selben Zeit im kalifornischen Ort Mountain View. Die beiden Google-Gründer Larry Page und Sergey Brin werden Sponsor von GeoEye-1, einem Satelliten, der hochauflösende Bilder für Google Maps liefern soll. Als GeoEye-1 am 6. September 2008 mit einer Delta-II-Rakete auf die Reise geschickt wird, sind Page und Brin vor Ort. Stolz blicken sie der Rakete nach. „Jetzt also auch der Weltraum“, denken sie wohl.

Drei Geschichten, die auf den ersten Blick nichts miteinander zu tun haben und doch zu einer Gerichtsentscheidung führten, die das europäische Datenschutzrecht nachhaltig geprägt hat:

Der längst vergessene Zeitungsartikel landete im Internet und wurde jedem angezeigt, der Mario bei Google gesucht hat. Mario passte das gar nicht. Er fühlte sich dadurch in seinen Persönlichkeitsrechten verletzt und wollte Google per Gericht verbieten lassen, dieses konkrete Suchergebnis mit der alten Geschichte anzuzeigen.

Der Fall landete schließlich vor dem Europäischen Gerichtshof und der stellte im Mai 2014 völlig überraschend fest, dass es im Internet ein Recht auf Vergessenwerden gibt. Das bedeutet, dass Suchmaschinen unerwünschte Suchergebnisse löschen müssen, wenn diese Persönlichkeitsrechte der Betroffenen verletzen. Der Inhalt verschwindet dadurch zwar nicht aus dem Internet, ist aber sehr viel schwerer zu finden.

Mit der Datenschutzgrundverordnung wurde dieses Recht in weiterentwickelter Form gesetzlich verankert. Nach Art. 17 DSGVO kann man von dem für die Datenverarbeitung Verantwortlichen verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, wenn einer der in Absatz 1 genannten Voraussetzungen erfüllt ist. Dies ist beispielsweise der Fall, wenn die Einwilligung der Datenverarbeitung widerrufen wurde, die Daten unrechtmäßig verarbeitet wurden oder für den Zweck, für die sie ursprünglich erhoben wurden, nicht mehr notwendig sind.

Hat der Verantwortliche die Daten bereits veröffentlicht, müssen sie das jeweilige Löschungsgesuch an andere Stellen weiterleiten und darüber informieren, dass eine betroffene Person die Löschung aller Links zu diesen Daten oder von Kopien verlangt hat.

Hat ein Kind (Personen unter 16 Jahre) in die Datenverarbeitung eingewilligt, muss der Verantwortliche die Daten unverzüglich löschen, wenn das Kind oder dessen Eltern das verlangen. Dieser Löschungsanspruch kann nicht abgewehrt werden und steht selbstverständlich auch dann noch zu, wenn das Kind bereits volljährig ist. Diese auf Facebook, YouTube und Co. zugeschnittene Regelung wird wohl viele junge Menschen davor bewahren, von Jugendsünden eingeholt zu werden, die sie auch nach vielen Jahren noch um einen Job bringen könnten.

Wenn es auch Ihnen wie Mario geht und Sie unliebsame Inhalte nicht mehr im Internet sehen wollen, müssen Sie sich glücklicherweise nicht mehr bis zum EuGH durchkämpfen. Die Experten der Alix Frank Rechtsanwälte GmbH unterstützen Sie gerne bei der Durchsetzung Ihrer Rechte.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

TEIL 2: Recht auf Auskunft

TEIL 3: Berichtigung

Rechte der Betroffenen (Teil 2): Auskunft

Von Franz J Heidinger / Laurin Maran – Nachdem der letzte Blog-Beitrag die Pflicht vorstellte, Betroffene aktiv und unaufgefordert über eine Datenverarbeitung zu informieren, widmet sich dieser Artikel dem Recht der Betroffenen, auf Antrag vom Verantwortlichen Auskunft über die von ihm verarbeitenden Daten zu verlangen.

Dieses Auskunftsrecht findet sich in Art. 15 der ab Mai 2018 geltenden Datenschutzgrundverordnung (EU-DSGVO) und bietet Betroffenen, also Personen, deren Daten verarbeitet werden, die Möglichkeit zu überprüfen, ob ihre Daten rechtmäßig verarbeitet werden. So müssen Sie beispielsweise über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die verarbeitet werden, die Empfänger, gegenüber denen die Daten offengelegt werden und die geplante Dauer, für die die Daten gespeichert werden, informiert werden. Wurden die Daten nicht von demjenigen erhoben, an den das Auskunftsersuchen gerichtet wurde, müssen alle Informationen über die Herkunft der Daten mitgeteilt werden. Ferner muss der Verantwortliche darüber informieren, ob sich der Betroffene bei einer Aufsichtsbehörde über ihn beschweren kann.

Nutzt der Verantwortliche ein Programm zur automatisierten Entscheidungsfindung, muss er aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person bereitstellen.

Beispiel für eine automatisierte Entscheidungsfindung: Einer Person, die mit einem teuren Handy einen Flug bucht, wird ein anderer Preis angeboten wird, als einer anderen Person, die den gleichen Flug mit einem billigeren Handy bucht.cropped-20160916_1114211.jpg

Im österreichischen Datenschutz ist dieses Auskunftsrecht nicht völlig fremd, findet sich doch in § 26 DSG 2000 ein sehr ähnliche Regelungen.

Werden Daten an ein Drittland übermittelt, muss die Person, deren Daten übermittelt wurden, über die geeigneten Garantien unterrichtet werden, die sicherstellen müssen, dass seine Daten auch im Ausland geschützt werden. Solche Garantien können beispielsweise darin bestehen, dass auf verbindliche interne Datenschutzvorschriften oder auf von einer Aufsichtsbehörde genehmigte Vertragsklausel zurückgegriffen wird.

Bei all den zu erteilenden Informationen muss der Verantwortliche aber stets darauf achten, dass dabei nicht die Rechte und Freiheiten anderen Personen beeinträchtigt werden (Art. 15 Abs 4 EU-DSGVO).

All die eben beschriebenen Informationen hat der Verantwortliche kostenlos zur Verfügung zu stellen. Nur bei exzessiven Anträgen oder im Fall von Wiederholungen kann der Verantwortliche ein angemessenes Entgelt verlangen oder sich weigern, die Auskünfte zu erteilen. Dieses kostenlose Auskunftsrecht ist natürlich mit einigem Aufwand und Kosten für Unternehmen verbunden. Dennoch sollte diesen Pflichten gewissenhaft und rasch (binnen eines Monats) nachgekommen werden, denn diese Pflichten sind keineswegs nur Leitlinien oder grobe Orientierungshilfen, sondern können bei Verstößen mit erheblichen Geldstrafen sanktioniert werden.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

OGH vom 25.10.16, 4 Ob 165/16t: Wer widerrechtlich erlangte Daten nutzt, verstößt gegen das Gesetz gegen den unlauteren Wettbewerb (UWG)

Von Franz J Heidinger / Laurin Maran – Dieser OGH-Entscheidung liegt folgender Sachverhalt zugrunden: Die streitenden Parteien dieses Verfahrens sind zwei konkurrierende Unternehmen, die Ticket- und Eintrittssysteme, unter anderem für Skigebiete und Stadien, erzeugen und vertreiben. Die Klägerin betreibt zudem Server, auf denen die internen Anwendungen ihrer Kunden installiert sind. Die Kunden können sich mittels Passwort auf diese Server einloggen und ihre Daten abrufen.

Einem Mitarbeiter der beklagten Partei gelang es, den Kennwortschutz dieser Server zu umgehen und auf die Daten zuzugreifen. Er hat bei einer Mitbewerberanalyse den Bildschirm eines Kunden der klagenden Partei fotografiert. Dem Foto konnte eine bestimmte Internetadresse (URL) entnommen werden. Mit dieser URL, Modifikationen der IP-Adresse und bestimmten Programmbefehlen konnten diverse Daten von Kunden des Konkurrenten ausgekundschaftet werden.

Mit diesen Daten konfrontierte der Beklagte in weiterer Folge die Kunden der Klägerin, unterstellte der Klägerin fehlende Datensicherheit und versuchte die Kunden abzuwerben.

Als die Klägerin davon Wind bekam, beantragte sie, das Gericht möge der Beklagten mit einer einstweiligen Verfügung verbieten, „die widerrechtlich aus der Verfügungsmacht der Klägerin erlangten Daten zu nutzen und/oder(…)  gegenüber Dritten zu offenbaren.“  Der Beklagten wurde weiter vorgeworfen, sie habe gegen § 6 Abs 1 und § 7 DSG verstoßen und außerdem sei dieses Verhalten strafbar, sowohl nach dem Strafgesetzbuch als auch nach dem Datenschutzgesetz. Dies begründe einen Anspruch nach § 1 UWG (Wettbewerbsvorsprung durch Rechtsbruch).

Die Beklagte wendete zusammengefasst ein, dass es sich bei den Daten nicht um Geschäftsgeheimnisse der Klägerin gehandelt habe, weil sie einfach (also ohne Passwortschutz) zugänglich gewesen seien und überhaupt sei die Klägerin nicht aktiv legitimiert, weil es sich nicht um ihre eigenen, sondern um die Daten ihrer Kunden gehandelt habe.

Die OGH-Richter haben nun festgestellt, dass es sich bei den Daten sehr wohl um Geschäftsgeheimnisse handelt. Bei Geschäftsgeheimnissen handelt es sich um „Tatsachen und Erkenntnisse kommerzieller oder technischer Art, die bloß einer bestimmten und begrenzen Zahl von Personen bekannt sind, nicht über diesen Kreis hinausdringen sollen und an deren Geheimhaltung ein wirtschaftliches Interesse besteht.“  Mangelhafte Sicherheitsstandards, wie in diesem Fall, erlauben bei aufrechtem Passwortschutz nicht den Schluss, dass der Unternehmer kein Interesse an der Geheimhaltung mehr hätte. Vielmehr muss angenommen werden, dass die Lücken im System nicht bekannt war, sodass aus deren Vorliegen keinesfalls ein Wegfall des Geheimnischarakters abgeleitet werden kann.

Bezüglich der Aktivlegitimation des Klägers führte der Oberste Gerichtshof aus, dass  die „gehackten“ Daten zwar vom Kunden stammen und sich auf deren geschäftliche Verhältnisse beziehen, sie sich allerdings faktisch in der Verfügungsmacht der Klägerin befanden und sehr wohl ein eigenes Interesse an deren Geheimhaltung besteht, droht doch bei Verlust der Daten die Beendigung des Kundenverhältnisses oder Schadenersatzansprüche der Kunden. Somit fallen die Daten für die Klägerin eindeutig in den Schutzbereich des § 11 Abs 2 UWG und die Klägerin war befugt, ihre Ansprüche gerichtlich geltend zu machen.

Rechte der Betroffenen (Teil 1): Information

logoVon Franz J Heidinger / Laurin Maran – Ein Hauptanliegen des europäischen Gesetzgebers war die Stärkung  individueller Rechte von Betroffenen, also von Menschen, deren Daten verarbeitet werden. So wurde in Art. 17 EU-DSGVO erstmals das sogenannte „Recht auf Vergessenwerden“ gesetzlich normiert und mit Art 20 EU-DSGVO das „Recht auf Datenübertragbarkeit“ eingeführt.

Damit ein Betroffener seine Rechte ausüben kann, muss er allerdings darüber informiert sein, welche Daten von ihm auf welche Weise verarbeitet werden.  Daher beginnt Kapitel III der Datenschutzgrundverordnung, in dem die individuellen Rechte von Betroffenen geregelt werden, mit einer allgemeinen Norm, die deutlich zeigt, dass die europäische Datenverarbeitung ab 2018 von mehr Information und Transparenz geprägt sein wird.

Um eine solche transparente Verarbeitung von Daten sicherzustellen, werden die für die Datenverarbeitung Verantwortlichen in Art 13 und 14 EU-DSGVO verpflichtet, aktiv und unaufgefordert zu informieren. Nur so können Betroffene ihre Rechte effektiv wahrnehmen und durchsetzen. Ob und in welcher Form informiert werden muss, hängt davon ab, ob die Daten direkt bei der betroffenen Person erhoben werden oder aus anderen Quellen stammen.

Grundsätzlich muss jeder Betroffene bei jeder Verarbeitung über den Zweck und die Rechtsgrundlage der Verarbeitung, die Kontaktdaten des Verantwortlichen, ggf. die Kontaktdaten des Datenschutzbeauftragten  und die unter Umständen beabsichtigte Übermittlung in Drittstaaten informiert werden. Erfolgt die Verarbeitung auf Grund eines „berechtigten Interesses“ und nicht aufgrund einer Einwilligung der betroffenen Person, muss mitgeteilt werden, welche berechtigten Interessen vom Verantwortlichen verfolgt werden.

Manche Informationen müssen nur in bestimmten Situationen mitgeteilt werden. So muss ein Betroffener beispielsweise darüber informiert werden, dass über ihn im Zuge von Profiling-Prozessen Entscheidungen  automationsunterstützt getroffen werden.

Sollen Daten zu einem anderen Zweck verarbeitet werden, als für den sie ursprünglich gesammelt wurden, muss der Betroffene über diese Zweckänderung informiert werden und auch bezüglich des „neuen“ Zweckes erneut alle Informationen bekanntgeben.

Werden die Daten direkt beim Betroffenen erhoben, muss dieser bereits zum Zeitpunkt der Datenerhebung mit allen relevanten Informationen versorgt werden. Werden die Daten nicht beim Betroffenen erhoben, sondern stammen von einer anderen Quelle, muss der Betroffene spätestens nach einem Monat informiert werden.

Von diesen sehr umfangreichen Informationspflichten gibt es jedoch auch Ausnahmen. So muss ein Betroffener nicht informiert werden, wenn er die nötigen Informationen bereits kennt oder die Erlangung durch Rechtsvorschriften der Union oder eines Mitgliedstaates ausdrücklich geregelt ist. Zudem darf die Benachrichtigung ausbleiben, wenn die Daten nicht direkt beim Betroffenen erhoben werden und die Unterrichtung für den Verantwortlichen unmöglich ist oder zumindest einen unverhältnismäßigen Aufwand erfordern würde. Dieser Aufwand kann beispielsweise dann unverhältnismäßig sein, wenn die Daten zur Archivzwecken im öffentlichen Interesse oder zu Zwecken der Forschung und Statistik verarbeitet werden. Die Frage der Auslegung des doch recht vagen Begriffes des „unverhältnismäßigen Aufwandes“ wird in Zukunft wohl noch das ein oder andere Gericht beschäftigen. Grundsätzlich wird in diese Verhältnismäßigkeitsprüfung noch einfließen, ob die Daten aus einer allgemein zugänglichen Quelle stammen, für sie ein besonderes Geheimhaltungsinteresse besteht und welche Bedeutung der „Aufwand“ für das Unternehmen hat.

Unterliegt der Verantwortliche nach dem Recht des Staates, dem er unterliegt oder nach Unionsrecht einem Berufsgeheimnis, wird die Informationspflicht aufgehoben.

In allen anderen Fällen ist eine Benachrichtigung des Betroffenen unumgänglich. Damit die Informationspflicht auch ihren gewünschten Zweck erfüllt, sind bestimmte Formvorschriften einzuhalten. So sind die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erteilen. Weiters muss dies in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch und unentgeltlich erfolgen.

Dies alles klingt nach sehr viel Aufwand und Kosten für datenverarbeitende Unternehmen. Es wird jedoch, in Anbetracht der Folgen für Verstöße, dringend davon abgeraten, hier nicht rechtzeitig die nötigen Maßnahmen zu ergreifen. Spart man doch bei drohenden Bußgeldern von bis zu EUR 20.000.000,–  und Schadenersatzansprüche der Betroffenen hier sicherlich an der falschen Stelle.

Der nächste Beitrag widmet sich dem Recht der Betroffenen, von Verantwortlichen Auskunft zu verlangen. Bis dahin kann nur empfohlen werden, dass Unternehmer ihre Datenschutzerklärung unter die Lupe nehmen und prüfen, ob die Pflichten der EU-DSGVO eingehalten werden. Die Profis der Alix Frank Rechtsanwälte GmbH unterstützt Sie dabei gerne!

Grundprinzipien des Datenschutzrechts (Teil 4): Integrität und Vertraulichkeit

Von Franz J. Heidinger / Laurin Maran – Im letzten Teil unseren kleinen Serie zu den Grundprinzipien des Datenschutzrechts behandeln wir heute Art 5 Abs 1 lit f EU-DSGVO und erklären das Prinzip der Integrität und Vertraulichkeit:

„Persönliche Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.“

Damit wird die Gewährleistung von Datensicherheit als zentrales Prinzip des Datenschutzrechts gesetzlich verankert. Wenn personenbezogene Daten verarbeitet werden, hat der dafür Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu sicherzustellen.

Daraus ergeben sich unterschiedliche Schutzniveaus für unterschiedliche Datenanwendungen. So muss beispielsweise ein Arzt oder eine Anwaltskanzlei, die teilweise im Besitz von hochsensiblen Daten sind, mehr Geld und Zeit in den Schutz dieser Daten investieren, als ein Friseursalon, der personenbezogene Daten nur mit dem Zweck verwendet, jährlich Weihnachtskarten an seine Kunden zu verschicken.

Art 32 EU-DSGVO bietet ein paar Maßnahmen an, wie dieses Schutzniveau hergestellt werden kann. So können die Daten beispielsweise pseudonymisiert oder verschlüsselt werden. Weiters sollten die für die Verarbeitung Verantwortlichen die Fähigkeit haben, die Verfügbarkeit der Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen. Außerdem empfiehlt sich ein Verfahren zur regelmäßigen Kontrolle der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit und der Verarbeitung zu entwickeln. Falls das Unternehmen über ein internes Kontrollsystem verfügt, könnte dies auf die Kontrolle von Datenschutzmaßnahmen erweitert werden.

Mehr zur Sicherheit der Datenverarbeitung folgt in einem eigenen Kapitel.

Abschließend bleibt zu sagen, dass der Verantwortliche für die Einhaltung all dieser Grundsätze verantwortlich ist und dessen Einhaltung auf Verlangen nachweisen können muss. Diese Rechenschaftspflicht könnte von den Gericht zukünftig dahingehend ausgelegt werden, dass natürliche Personen, denen aufgrund einer Verletzung des Rechts auf Schutz ihrer persönlichen Daten ein Schaden entsteht, für eine Schadenersatzklage gegen den Verantwortlichen nur das Vorliegen eines Schadens nachweisen müssen. Es läge dann am Verantwortlichen zu beweisen, dass er alle rechtlichen Verpflichtungen eingehalten hat und ihn kein Verschulden trifft. Juristisch ausgedrückt kommt es zu einer Beweislastumkehr: Der Geschädigte hat nur den Schaden und die Kausalität zu beweisen, der für die Datenverarbeitung Verantwortliche muss beweisen, dass er nicht rechtswidrig und schuldhaft gehandelt hat.

Verwaltungsgerichtshof verbietet Dashcams

Von Franz J. Heidinger / Laurin MaranVideoaufzeichnungen während der Autofahrt verstoßen gegen das Datenschutzgesetz.

Als Dashcam wird eine Videokamera bezeichnet, die meist auf dem Armaturenbrett oder an der Windschutzscheibe eines Fahrzeugs angebracht ist und während der Fahrt fortwährend aufzeichnet. Die aufgezeichneten Daten sollen bei Verkehrsunfällen als Beweismittel dienen, doch laut Verwaltungsgerichtshof (VwGH) verstößt dies gegen das geltende österreichische Datenschutzgesetzt.

Der Antragsteller hat sich redlich bemüht, seine Kamera so datenschutzfreundlich wie möglich zu gestalten. Es sollte ein Bereich vor und hinter dem Auto verschlüsselt aufgezeichnet werden, diese Aufnahmen aber immer nach 60 Sekunden gelöscht werden. Nur im „Anlassfall“ – bei Betätigung eines SOS-Knopfes oder bei einem Verkehrsunfall – sollte eine Speicherung erfolgen. Eine Entschlüsselung der Daten wäre nur im Zusammenhang mit behördlichen Ermittlungen, Gerichtsverfahren oder zu Klärung von Versicherungsfragen erfolgt. Dennoch verweigerte die Datenschutzbehörde die Registrierung dieser Datenanwendung. Es handle sich um eine Videoüberwachung des öffentlichen Raumes und dafür habe eine Privatperson keine Berechtigung.

Die Beschwerde gegen die Entscheidung der Datenschutzbehörde wurde vom Bundesverwaltungsgericht als unbegründet abgewiesen. Die Richter begründeten dies damit, dass es sich eindeutig um die Verarbeitung personenbezogener Daten handle, der Zweck der Verarbeitung die Identifizierung von Personen sei und eine Identifikation mit rechtlichen Mitteln möglich sei. Es liege nicht nur eine Speicherung im Anlassfall vor, sondern eine systematische, fortlaufende Feststellung des öffentlichen Raumes. Private dürften nur jene Bereiche überwachen, an denen ihnen ein hausrechtsähnliches Verfügungsrecht zukomme und daher seien die Dashcams rechtswidrig.

Gegen die Entscheidung des Verwaltungsgerichts war eine ordentliche Revision an den Verwaltungsgerichtshof zulässig. Doch auch dieser enttäuschte den Autofahrer und wies die Revision ab (Ro 2015/04/00117). Entgegen der Auffassung der Vorinstanzen ist die Dashcam zwar nicht schon deshalb unzulässig, weil es an einer Befugnis zur Überwachung mangelt. Weiters muss aber der Eingriff in das Grundrecht auf Datenschutz unter Anwendung der gelindesten zur Verfügung stehenden Mitteln erfolgen.  Der Eingriff muss demnach verhältnismäßig sein. Die Verhältnismäßigkeit sah der VwGH aber als nicht gegeben an, da der Fahrer jederzeit durch Drücken des SOS-Knopfes selbst bestimmen kann, wann eine dauerhafte Speicherung stattfinden soll.

Somit ist die Benutzung von Dashcams in Österreich verboten. Verstöße könnten von der Datenschutzbehörde sanktioniert werden und die durch sie gewonnenen Aufzeichnungen könnten unter Umständen im zivilgerichtlichen Verfahren nicht als Beweis zugelassen werden.