Kategorie: DSGVO

Unerlaubte Videoüberwachung – Geldstrafe für Kebab-Stand

am von Alix Frank Rechtsanwälte GmbHin Allgemein, DSGVOHinterlasse einen Kommentar

Von Franz J Heidinger / Laurin Maran – Der Betreiber eines Imbisslokales in Niederösterreich beschwerte sich bei der Bezirkshauptmannschaft über einen Polizeiinspektor, der ihn schikanieren würde und legte zum Beweis dafür zwei Videos vor, die Einätze eben jenes Polizeiinspektors zeigen sollten. Zu diesem Zweck sei extra eine Kamera für EUR 2.500,- installiert worden.

Von dieser Kamera erfuhr in weiterer Folge die Datenschutzbehörde, die prompt eine Geldstrafe in Höhe von EUR 1.800,- über den Imbissbetreiber verhängte. Ihm wurde vorgeworfen, dass seine Videokamera Bereiche gefilmt hätte, die nicht in seiner Verfügungsbefugnis stünden. Überdies sei die Speicherdauer der Aufnahmen mit 15 Tagen unverhältnismäßig hoch festgelegt worden. Vorgeschriebene Hinweisschilder würden gänzlich fehlen.

Mit der Erkenntnis vom 25.11.2019, W211 2210458-1, bestätigte das Bundesverwaltungsgericht im Wesentlichen die Entscheidung der Datenschutzbehörde. Lediglich die Höhe der Geldstrafe wurde auf EUR 1.500,- reduziert. Bei einem möglichen Strafrahmen von bis zu EUR 20 Millionen scheint dies durchaus milde.

Diese Entscheidung zeigt zwei Dinge deutlich:

  1. Vor der Inbetriebnahme von Überwachungskameras sollte man sich über die rechtlichen Voraussetzungen informieren und bestenfalls den Rat von Experten einholen.
  2. Es kann durchaus nach hinten losgehen, einem Polizisten Schikane vorzuwerfen, insbesondere wenn man sich selbst nicht tadelfrei verhält.

 

Entscheidung: Immobilientreuhänder dürfen personenbezogene Daten aus dem Grundbuch zur Kontaktaufnahme mit Grundeigentümern verwenden

am von Alix Frank Rechtsanwälte GmbHin Allgemein, DSGVO

Von Franz J Heidinger / Laurin Maran – Der Eigentümer einer Liegenschaft (Beschwerdeführer) hat sich bei der Datenschutzbehörde darüber beschwert, dass eine Immobiliengesellschaft (Beschwerdegegnerin) sein Recht auf Geheimhaltung verletzt hätte, indem sie seine personenbezogenen Daten aus dem Grundbuch erhoben und verwendet hätte, um ihn postalisch zu kontaktieren.

Die Beschwerdegegnerin erwiderte, dass es sich bei personenbezogenen Daten aus dem Grundbuch um Daten handele, die aufgrund ihrer allgemeinen Verfügbarkeit vom Schutzbereich des § 1 DSG ausgenommen seien. Der Beschwerdeführe könne somit auch nicht in seinem Recht auf Geheimhaltung verletzt sein (Argument 1).

§ 1 Abs 1 DSG: Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Außerdem hätte die Beschwerdeführerin ein berechtigtes Interesse an der Verarbeitung dieser Daten zum Zwecke der Direktwerbung, da der Ankauf von Liegenschaften zu ihrem Geschäftszweig zähle (Argument 2).

Die Datenschutzbehörde hat dazu festgestellt: Das Grundbuch ist zwar grundsätzlich öffentlich zugänglich, dies bedeutet aber nicht, dass die darin enthaltenen Daten allgemein verfügbare Daten im Sinne des § 1 DSG sind und man deshalb kein diesbezügliches Geheimhaltungsinteresse haben könne. Doch selbst wenn dies der Fall wäre, hat die Beschwerdegegnerin die Daten aus dem Grundbuch ja nicht nur eingesehen, sondern auch zur Liegenschaftsaquise verwendet. Diese Verwendung ist jedenfalls eine Verarbeitung gemäß Art 4 Abs 2 DSGVO und bedarf stets einen Erlaubnistatbestand bzw. einer Rechtfertigung nach Art. 6, 9 oder 10 DSGVO. Das erste Argument der Beschwerdegegnerin hat die Datenschutzbehörde somit nicht gelten lassen.

Die Beschwerdegegnerin hat argumentiert, dass eine Datenverarbeitung gemäß Art 6 Abs 1 lit f DSGVO gerechtfertigt sei.

Art 6 Abs 1 lit f DSGVO: Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: f) die  Verarbeitung ist  zur  Wahrung  der  berechtigten Interessen  des  Verantwortlichen oder  eines  Dritten  erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personen­bezogener  Daten erfordern,  überwiegen, insbesondere dann,  wenn  es  sich  bei  der  betroffenen Person um  ein  Kind handelt.

Beruft sich ein für eine Datenverarbeitung Verantwortlicher auf Art 6 Abs 1 lit f DSGVO, ist stets eine Interessensabwägung zwischen den Interessen Unternehmens, das die Daten verarbeiten möchte, und den Interessen des Betroffenen auf Geheimhaltung durchzuführen. Die Datenschutzbehörde ist in diesem Fall zu dem Ergebnis gekommen, dass die Interessen der Beschwerdegegnerin als Immobilientreuhänderin überwiegen.

Bei den Daten im Grundbuch handelt es sich nach Ansicht der Datenschutzbehörde um Daten, die lediglich eine geringe Schutzwürdigkeit haben. Die Interessen des Betroffenen auf Geheimhaltung dieser Daten wiegen daher nicht so schwer wie das Interesse einer Immobilientreuhänderin, die zur Erfüllung des Unternehmenszweckes auf diese Daten angewiesen ist. Das zweite Argument der Beschwerdegegnerin war somit erfolgreich und die Beschwerde wurde abgewiesen (Vgl. DSB-D123.626/0006-DSB/2018 vom 23.04.2019).

Diese Entscheidung zeigt wieder einmal, wie wichtig eine professionelle Reaktion ist, wenn man mit datenschutzrechtlichen Anfragen oder Beschwerden konfrontiert wird. Hätte die Beschwerdegegnerin keine umfassenden Kenntnisse der datenschutzrechtlichen Bestimmungen gehabt und derart fachkundig repliziert, hätte die Entscheidung der Datenschutzbehörde auch anders ausgehen können.

Recht auf Löschung – Bewerbungsunterlagen dürfen 7 Monate aufbewahrt werden

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, DSGVO

Von Franz J Heidinger / Laurin Maran – Der Beschwerdeführer behauptete eine Verletzung im Recht auf Löschung und brachte vor, dass er per E-Mail die Löschung seiner personenbezogenen Daten aus der Bewerberdatenbank der Beschwerdegegnerin beantragt habe. Die Beschwerdegegnerin hätte jedoch mitgeteilt, dass sie diesem Antrag auf Löschung nicht entsprechen werde. Zwar werde die gegenständliche Bewerbung des Beschwerdeführers nicht mehr für die ausgeschriebene Stellen der Beschwerdegegnerin in Erwägung gezogen, doch ergebe sich eine gesetzliche Aufbewahrungspflicht nach dem Gleichbehandlungsgesetz (GlBG) von sechs Monaten. Das Recht auf Löschung bestehe gemäß Art 17 Abs 3 lit e DSGVO nämlich dann nicht, soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sei. Die Bewerbungsunterlagen könnten daher erst nach 7 Monaten gelöscht werden, da noch ein Monat für den Postweg einer potentiellen Klage eingerechnet wurde.

§ 29 Abs 1 GlBG: Ansprüche nach § 26 Abs. 1 und 5 sind binnen sechs Monaten gerichtlich geltend zu machen. Die Frist zur Geltendmachung der Ansprüche nach § 26 Abs. 1 und 5 beginnt mit der Ablehnung der Bewerbung.“

Die Datenschutzbehörde hat dazu ausgeführt, dass der allgemeine Hinweis auf potenziell zukünftige, noch nicht anhängige bzw. nicht sicher bevorstehenden (Gerichts-) Verfahren nicht ausreichend ist, um dem Löschbegehren nicht entsprechen zu müssen. Vielmehr muss der Verantwortliche darlegen, welche konkreten zukünftigen Verfahren auf welcher Grundlage anhängig gemacht werden könnten und inwiefern durch derartige Verfahren eine Notwendigkeit zur weiteren Speicherung der personenbezogenen Daten begründet wird.

Im vorliegenden Fall bezog sich die Beschwerdegegnerin  aber nicht allgemein auf ein potenziell zukünftiges Verfahren, sondern benannte einen konkreten Anspruch, der ihr gegenüber innerhalb eines konkreten Zeitraumes geltend gemacht werden könnte. Ferner benannte die Beschwerdegegnerin einen konkreten Zeitpunkt, ab wann sie die Bewerberdaten löschen werde. Für den Beschwerdeführer war somit klar erkennbar, ab welchem Zeitpunkt seine Bewerberdaten gelöscht werden. Der zusätzliche Monat zur Einberechnung eines Klageweges ist angemessen. Die Frist von 7 Monaten beginnt mit der Ablehnung der Bewerbung.

TIPP: Unternehmen sollten bei einem Löschungsantrag zuerst prüfen, ob eine der Ausnahmebestimmungen des Art 17 Abs 3 DSGVO greift. Sollte dies der Fall sein, ist dem Antragsteller genau mitzuteilen, weshalb dem Löschungsbegehren nicht entsprochen werden kann und wie lange die Daten noch gespeichert werden müssen. Beruft man sich beispielsweise darauf, dass die Daten noch zur Verteidigung von Rechtsansprüchen gebraucht werden könnten, ist auszuführen, welche konkreten Rechtsansprüche gemeint sind.

Immaterieller Schadenersatz bei Verstößen gegen die Datenschutzgrundverordnung

am von Alix Frank Rechtsanwälte GmbHin Allgemein, DSGVO, EU-DSGVO

Von Franz J Heidinger / Laurin Maran: Vom 21. August bis zum 5. September 2018 hatten Cyberkriminelle Zugriff auf personenbezogene Daten von Kunden der britischen Fluggesellschaft British Airways, die in diesem Zeitraum Flüge über die Homepage oder die App gebucht hatten. Es seien rund 380.000 Bank- und Kreditkartenzahlungen betroffen, aber auch Namen, Rechnungsanschriften und E-Mail-Adressen.

Einer von vielen Datenskandalen in den letzten Jahren. Einer dieser Datenskandale, bei dem sich das Unternehmen reumütig entschuldigt und verspricht, dass so etwas nie wieder vorkommen wird: „Please accept our deepest apologies for the worry and inconvenience that this criminal activity has caused,” heißt es in einer Mail an die betroffenen Kunden von British Airways. In der Regel hörte man dann nichts weiter davon.

Seit 25. Mai 2018 ist allerdings die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, die zumindest derzeit auch noch im Vereinigten Königreich anzuwenden ist und die bei Verstößen drakonische Geldbußen der Behörden vorsieht (Mehr zum Thema Brexit und die damit verbundenen rechtlichen Folgen auf: http://www.brexit-alixfrank.at/). British Airways muss nun aber nicht nur die britische Datenschutzbehörde fürchten, sondern auch die 380.000 Kunden, deren Daten gestohlen wurden. Gemäß Art. 82 EU-DSGVO hat nämlich jede Person, der wegen eines Verstoßes gegen die EU-DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Mehrere britische Rechtsanwaltskanzleien sind derzeit auf der Suche nach betroffenen Kunden und bereiten Sammelklagen gegen die Fluggesellschaft vor. Das Bemerkenswerte daran ist, dass nicht die finanziellen Schäden geltend gemacht werden sollen, die beispielsweise durch den Missbrauch von Kreditkartendaten entstehen können, sondern immaterielle Schäden. Man möchte also eine Entschädigung für die mit dem Data Breach erlittenen Unannehmlichkeiten, Sorgen und Ärgernisse durchsetzen. Aus Insiderkreisen hört man, dass bis zu GBP 5.000,- pro Person eingeklagt werden sollen. Geht man davon aus, dass sich 200.000 Geschädigte dem Verfahren anschließen, ergibt das einen Streitwert von GBP 1 Milliarde (rund EUR 1.142.665.000,-), zuzüglich Verfahrenskosten. Ein Betrag, den British Airways unter Umständen für das mulmige Gefühl der Kunden bezahlen muss, die ihre personenbezogenen Daten in den falschen Händen wissen. Sollten Sie tatsächlich Opfer eines Kreditkartenbetruges werden, wäre dieser Schaden natürlich zusätzlich von Britisch Airways zu bezahlen

In Österreich wurde bislang kein Fall bekannt, bei dem ein Unternehmen auf Grundlage der EU-DSGVO für einen immateriellen Schaden in Anspruch genommen wurde. Es ist jedoch damit zu rechnen, dass Betroffenen bald auf diversen Internetplattformen angeboten wird, neben ihren Ansprüchen aus verspäteten Flügen oder überhöhten Mietzinsen auch Ansprüche wegen Verstößen gegen die EU-DSGVO durchzusetzen.

Ein Unternehmen wird in einem solchen Fall nur dann von seiner Haftung befreit werden, wenn es nachweist, dass es in keiner Weise für den Schaden verantwortlich ist. Es kommt sozusagen zu einer Beweislastumkehr: Der Betroffene muss lediglich beweisen, dass ein Schaden vorliegt, der vom Unternehmen verursacht wurde. Das Unternehmen muss dann nachweisen, dass es in keiner Weise verantwortlich ist und die Regeln der EU-DSGVO eingehalten hat.

Wer darauf nicht vorbereitet ist, kann massive Probleme bei der Abwehr solcher Ansprüche bekommen. Wenn man bedenkt, dass die Datenschutzbehörde eine Geldbuße verhängt, Betroffene Ansprüche für materielle und immaterielle Schäden geltend machen und aufgrund der hohen Sensibilität der Öffentlichkeit mit Umsatzeinbußen zu rechnen ist, könnte ein kleiner Verstoß gegen die EU-DSGVO Folgen haben, die für ein kleines oder mittelständischen Unternehmen nur schwer zu stemmen sind.

Sanfte Entwarnung für Unternehmen: Strafen erst nach mehrmaligen Verstößen

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, DSGVO, EU-DSGVO, unlauterer Wettbewerb

Von Franz J Heidinger / Laurin Maran: Wie sich mittlerweile herumgesprochen haben sollte, drohen bei Verstößen gegen die EU-Datenschutzgrundverordnung (EU-DSGVO) Geldbußen von bis zu EUR 20.000.000,- oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Diese existenzvernichtende Drohung des europäischen Gesetzgebers hat ihre Wirkung nicht verfehlt: Die europäischen Unternehmen wurden in helle Aufregung versetzt und bemühen sich seit Monaten intensiv, nicht zuletzt um solche Geldbußen zu vermeiden, ihre Geschäftsmodelle bis zum 25.05.2018 fit für die EU-DSGVO zu machen.

Für österreichische Unternehmen kann nun teilweise Entwarnung gegeben werden. Am 20.04.2018 wurde das „Bundesgesetz, mit dem das Datenschutzgesetz geändert wird (Datenschutz-Deregulierungs-Gesetz 2018)“ im Nationalrat angenommen. Der neu verfasste § 11 DSG sieht nun vor, dass die Datenschutzbehörde die Bestimmungen des Art 83 DSGVO, wo die oben erwähnte Geldbußen festgelegt sind, so anzuwenden hat, dass die Verhältnismäßigkeit gewahrt wird. Bei erstmaligen Verstößen wird die Datenschutzbehörde von ihren Abhilfebefugnissen insbesondere durch Verwarnungen Gebrauch machen.

Somit gilt, dass grundsätzlich erst eine Verwarnung auszusprechen ist, bevor es zu einer Strafe kommt. Und selbst wenn eine Strafe ausgesprochen werden sollte, dann sicher nicht in einer Höhe, die ein Unternehmen in die Insolvenz treiben könnte. Die Höhe der Geldbuße muss verhältnismäßig sein und sich an der Schwere des Verstoßes und an der Größe des Unternehmens orientieren.

Es besteht somit kein Grund, dem 25. Mai 2018 sorgenvoll entgegen zu blicken. Die EU-DSGVO wird wohl nicht so heiß gegessen werden, wie es der Aufruhr um sie in den letzten Monaten vermuten lässt. Dies ist jedoch kein Grund, nun die Füße hochzulegen und die DSGVO zu ignorieren. Auch eine Verwarnung kann sehr unangenehme Folgen haben und sich negativ auf das Image des Unternehmens auswirken. Außerdem drohen bei Verstößen nicht nur Geldbußen der Behörde, sondern auch Schadenersatzansprüche der Betroffenen. Außerdem könnte ein Verstoß gegen eine Bestimmung des Datenschutzgesetzes als unlauterer Wettbewerb betrachtet werden und entsprechende Unterlassungsklagen von Konkurrenten nach sich ziehen.

Verzeichnis von Verarbeitungstätigkeiten

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, DSGVO, EU-DSGVO

Von Franz J Heidinger / Laurin Maran: Art. 30 EU-DSGVO verpflichtet Unternehmen, ein sogenanntes Verarbeitungsverzeichnis zu führen. Darin sind alle Verarbeitungstätigkeiten aufzunehmen, die der jeweiligen Zuständigkeit unterliegen. Das Verfahrensverzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen und die Aufsichtsbehörde muss mit Hilfe des Verfahrensverzeichnisses in der Lage sein, alle Verarbeitungstätigkeiten kontrollieren zu können.

Wer muss ein Verarbeitungsverzeichnis führen?

Die Verordnung nimmt Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, von dieser Pflicht aus. Allerdings nur, sofern die von ihnen vorgenommene Verarbeitung nicht

  • ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • die Verarbeitung nicht die Verarbeitung besonderer Datenkategorien (früher: „sensible Daten“) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt.

Diese Ausnahmetatbestände sind derart engmaschig gestaltet, dass sie wohl nur in äußersten Ausnahmefällen zur Anwendung kommen und wohl 99% aller Unternehmen, die auch nur einen einzigen Mitarbeiter beschäftigen, ein Verarbeitungsverzeichnis benötigen.

Welchen Zweck hat das Verarbeitungsverzeichnis?

In erster Linie sollten Unternehmen natürlich alleine schon deshalb ein Verzeichnis aller Verarbeitungstätigkeiten führen, um der gesetzlichen Verpflichtung gemäß Art. 30 EU-DSGVO nachzukommen. Davon abgesehen kann das Verzeichnis aber durchaus auch für interne Zwecke genutzt werden und die gesamte Unternehmensorganisation verbessern. Die Erstellung des Verzeichnisses sollte daher nicht nur als Pflicht verstanden werden, sondern kann auch eine Chance sein, die im Unternehmen vorhandenen Daten und Informationen zu strukturieren und optimal zu nutzen.

Ferner kann das Verarbeitungsverzeichnis als Grundlage für die Erfüllung alle weiteren datenschutzrechtlichen Verpflichtungen herangezogen werden. Wendet sich beispielsweise ein Betroffener an das Unternehmen und ersucht gemäß Art. 15 EU-DSGVO um Auskunft über die von ihm vorhandenen Daten, kann diese Anfrage mit Hilfe eines Verzeichnisses deutlich einfacher beantwortet werden. Müssten erst alle vorhandenen Daten nach den personenbezogenen Daten des Betroffenen durchforstet werden, kann es schwierig werden, die Anfrage innerhalb der gesetzlichen Frist von einem Monat zu beantworten. Ganz zu schweigen von den damit verbundenen Personalaufwand.

Welche Angabe muss das Verzeichnis enthalten?

Der Gesetzgeber hat klar vorgegeben, welche Informationen das Verzeichnis enthalten muss: Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, soweit einer bestellt wurde. Zwecke und Beschreibung der Datenverarbeitung, eine Beschreibung der Kategorie der betroffenen Personen und der personenbezogenen Daten, die Kategorie von Empfängern, denen die Daten übermittelt werden, gegebenenfalls die Übermittlungen von Daten an ein Land außerhalb der EU und wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Außerdem sollten die technischen und organisatorischen Maßnahmen aufgezählt werden, die ergriffen wurden, um personenbezogene Daten zu schützen.

Die Rechtsgrundlagen für die Datenverarbeitungen müssen grundsätzlich nicht in das Verzeichnis aufgenommen werden. Das Unternehmen muss allerdings jederzeit nachweisen können, dass eine Datenverarbeitung nach den in der EU-DSGVO normierten Grundsätzen erfolgt ist. Es ist daher empfehlenswert, bei den jeweiligen Datenverarbeitungszwecken anzuführen, auf welcher Rechtsgrundlage die Daten verarbeitet werden. Ferner können sich Mitarbeiter durch Einsicht in das Verzeichnis vergewissern, ob eine spezielle Datenverarbeitung rechtskonform ist.

Die jeweils gespeicherten Daten müssen nicht im Verzeichnis aufgezählt werden. Wird als Verarbeitungszweck beispielsweise die Lohnverrechnung genannt, wäre als Kategorie der betroffenen Personen „Mitarbeiter“ zu nennen. Bei der Datenkategorie müssen dann aber nicht alle Daten der Mitarbeiter des Unternehmens aufgezählt werden, sondern eben nur die jeweilige Kategorie der Daten wie zum Beispiel: Name, Anschrift, Bankverbindung. Es wäre keine Datenkategorie, wenn man schreiben würde: Hans Müller, Müllerweg 1, IBAN: AT91 (…).

Form und Aufbau des Verzeichnisses

Der Gesetzgeber schreibt lediglich vor, dass das Verzeichnis schriftlich zu führen ist und auch in einem elektronischen Format erfolgen kann. Somit scheint die Struktur des Verzeichnisses völlig unerheblich. Es kann eine einfache Exceltabelle sein oder können die Daten auch in eine Software eingespeist werden. Wichtig ist, dass die Aufsichtsbehörde bei der Einsicht einen umfassenden und abschließenden Überblick über die Tätigkeit des Unternehmens und die damit verbundenen Datenverarbeitungen erhält.

Im Hinblick auf den erwähnten Nutzen für das Unternehmen, den ein gutes Verzeichnis mitbringen kann, empfiehlt es sich allerdings, bei der Strukturierung und der jeweiligen Kategorisierung mehr Aufwand zu investieren, als gesetzlich vorgeschrieben ist. So spart man sich einerseits viel Zeit, bei der Bearbeitung von Anfragen von Betroffenen und andererseits lassen sich die Daten so besser auswerten.

Sollten Sie Hilfe bei der Erstellung eines Verarbeitungsverzeichnisses haben, stehen Ihnen die Datenschutzexperten der Alix Frank Rechtsanwälte GmbH jederzeit tatkräftig zur Seite.

 

 

Rechte der Betroffenen (Teil 4): Recht auf Vergessenwerden

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, DSGVO, EU-DSGVO

Von Franz J Heidinger / Laurin Maran: Mario ist eitel. Als sein Haus in El Escorial nahe Madrid gepfändet wurde, war es für ihn schlimmer, davon in der Zeitung zu lesen, als die Pfändung an sich. „Schwamm drüber“, dachte er sich dann aber, „ich werde meine Schulden tilgen und an den Zeitungsartikel mit den Pfändungen wird sich in zwei Wochen niemand mehr erinnern“. Mario sollte recht behalten. Er bezahlte und der unangenehme Zeitungsartikel geriet schnell in Vergessenheit. Mario erinnert sich nicht gerne an diese schwere Zeit.

 Einige Jahre später in einem Redaktionsgebäude in Barcelona: In der Chefetage beschließt man, dass es Zeit ist, mit der Zeit zu gehen. Und wer mit der Zeit geht, muss Online gehen. Dafür werden alle Zeitungen der letzten Jahre eingescannt und auf der Homepage veröffentlicht.

Zur etwa selben Zeit im kalifornischen Ort Mountain View. Die beiden Google-Gründer Larry Page und Sergey Brin werden Sponsor von GeoEye-1, einem Satelliten, der hochauflösende Bilder für Google Maps liefern soll. Als GeoEye-1 am 6. September 2008 mit einer Delta-II-Rakete auf die Reise geschickt wird, sind Page und Brin vor Ort. Stolz blicken sie der Rakete nach. „Jetzt also auch der Weltraum“, denken sie wohl.

Drei Geschichten, die auf den ersten Blick nichts miteinander zu tun haben und doch zu einer Gerichtsentscheidung führten, die das europäische Datenschutzrecht nachhaltig geprägt hat:

Der längst vergessene Zeitungsartikel landete im Internet und wurde jedem angezeigt, der Mario bei Google gesucht hat. Mario passte das gar nicht. Er fühlte sich dadurch in seinen Persönlichkeitsrechten verletzt und wollte Google per Gericht verbieten lassen, dieses konkrete Suchergebnis mit der alten Geschichte anzuzeigen.

Der Fall landete schließlich vor dem Europäischen Gerichtshof und der stellte im Mai 2014 völlig überraschend fest, dass es im Internet ein Recht auf Vergessenwerden gibt. Das bedeutet, dass Suchmaschinen unerwünschte Suchergebnisse löschen müssen, wenn diese Persönlichkeitsrechte der Betroffenen verletzen. Der Inhalt verschwindet dadurch zwar nicht aus dem Internet, ist aber sehr viel schwerer zu finden.

Mit der Datenschutzgrundverordnung wurde dieses Recht in weiterentwickelter Form gesetzlich verankert. Nach Art. 17 DSGVO kann man von dem für die Datenverarbeitung Verantwortlichen verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, wenn einer der in Absatz 1 genannten Voraussetzungen erfüllt ist. Dies ist beispielsweise der Fall, wenn die Einwilligung der Datenverarbeitung widerrufen wurde, die Daten unrechtmäßig verarbeitet wurden oder für den Zweck, für die sie ursprünglich erhoben wurden, nicht mehr notwendig sind.

Hat der Verantwortliche die Daten bereits veröffentlicht, müssen sie das jeweilige Löschungsgesuch an andere Stellen weiterleiten und darüber informieren, dass eine betroffene Person die Löschung aller Links zu diesen Daten oder von Kopien verlangt hat.

Hat ein Kind (Personen unter 16 Jahre) in die Datenverarbeitung eingewilligt, muss der Verantwortliche die Daten unverzüglich löschen, wenn das Kind oder dessen Eltern das verlangen. Dieser Löschungsanspruch kann nicht abgewehrt werden und steht selbstverständlich auch dann noch zu, wenn das Kind bereits volljährig ist. Diese auf Facebook, YouTube und Co. zugeschnittene Regelung wird wohl viele junge Menschen davor bewahren, von Jugendsünden eingeholt zu werden, die sie auch nach vielen Jahren noch um einen Job bringen könnten.

Wenn es auch Ihnen wie Mario geht und Sie unliebsame Inhalte nicht mehr im Internet sehen wollen, müssen Sie sich glücklicherweise nicht mehr bis zum EuGH durchkämpfen. Die Experten der Alix Frank Rechtsanwälte GmbH unterstützen Sie gerne bei der Durchsetzung Ihrer Rechte.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

TEIL 2: Recht auf Auskunft

TEIL 3: Berichtigung