Im Zentrum der EU Datenschutz Grundverordnung stehen 7 Grundsätzen zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten. Es kommt darauf an, dass sich Unternehmen und Organisationen diese Prinzipien zu eigen machen.
6 Herausforderungen der DSGVO können für manche Unternehmen durchaus belastend sein, vor allem dann, wenn beispielsweise der Überblick über die Verarbeitung personenbezogener Daten fehlt. Hier kann der Verwaltungsaufwand hoch sein, wenn Betroffene von ihren Rechten nach Artikel 15 bis 21 DSGVO Gebrauch machen. Ganz zu schweigen vom hohen Risiko, das sich daraus für das Unternehmen ergibt.
Zweifelsohne wird die EU Datenschutz Grundverordnung (DSGVO) vor allem die IT und Rechtsabteilungen von Unternehmen beschäftigen und herausfordern. Aber es hieße die DSGVO in ihrer Tragweite völlig zu unterschätzen, blieben die Herausforderungen darauf beschränkt. Marketing und Vertrieb sind ebenso gefordert und in der Pflicht.
Die Prinzipien des Datenschutzgesetzes sind einfach und klar und können daher auch einfach und allgemein verständlich erläutert werden. Lassen Sie sich nicht verwirren von Stimmen, die behaupten, das wäre eine Spezialmaterie ausschließlich verständlich für Fachleute. Der EU Gesetzgeber hat dieses verbindliche EU Datenschutzgesetz zum Schutz der Privatsphäre der Bürger*innen in Europa erlassen, und daher war es auch beabsichtigt, dass es in seinen Grundprinzipien für alle diese Bürger*innen verständlich bleibt.
Die Datenschutz-Grundverordnung spricht in diesem Zusammenhang von Auskunftsrechten Betroffener, woraus sich Auskunftspflichten des Verantwortlichen (d.h. des Verarbeiters) zwangsläufig ergeben.
In Österreich hört man von Konsumentenschützern, dass die EU DSGVO gegenüber der bisherigen EU Richtlinie 95/46/EG teilweise eine gesetzliche Verschlechterung für die schutzwürdigen Interessen von Privatpersonen bringen wird. Als Beispiel werden die sogenannten „berechtigten Interessen” Verantwortlicher angeführt.
Zu den Rechten betroffener Personen, also jener, deren personenbezogene Daten verarbeitet werden, zählt laut Datenschutz Grundverordnung (DSGVO) ein umfangreiches Informationsrecht. Auf Seiten von Unternehmen und Organisationen bedeutet dies umfangreiche Informationspflichten. Diese sind in Artikel 13 und 14 DSGVO geregelt
„Betroffenenrechte” zählen zu den großen Errungenschaften der DSGVO (EU Datenschutz-Grundverordnung). Damit ist die gesetzliche Festschreibung von Rechten Betroffener gemeint, die diese gegenüber all jenen haben, die ihre personenbezogenen Daten verarbeiten (im Gesetz „Verantwortliche” genannt). Zu wenige Menschen wissen um diese Rechte. Am ehesten noch ist aus der medialen Berichterstattung das Recht auf Auskunft (Artikel 15 DSGVO) bekannt. Leider klären viele Unternehmen, Verbände und Organisationen et cetera (also „Verantwortliche”) Betroffene über diese Rechte nicht oder nur unzureichend auf, obwohl sie dazu verpflichtet wären (siehe Informationspflicht nach DSGVO
nach Artikel 13 und 14 DSGVO).
Eine übersichtliche Zusammenstellung der Betroffenenrechte mit Verweis auf die jeweiligen Gesetzestexte:
Die Betroffenenrechte nehmen in der DSGVO einen zentralen Stellenwert ein. In den Artikeln 12 bis 22 sind diese Rechte festgeschrieben. Unantastbar sind diese Rechte allerdings nicht, denn im anschließenden Artikel 23 wird Mitgliedsstaaten das Recht eingeräumt, diese und darüber hinaus auch Artikel 5 einzuschränken. Daran werden zwar Bedingungen geknüpft, aber wie weit diese auslegbar sind, bleibt zunächst Angelegenheit der Datenschutzbehörden oder Gerichte der Mitgliedsstaaten. Man spricht im Zusammenhang mit Artikel 23 gerne von derMutter der Öffnungsklauseln
.
Ein zentrales Anliegen der DSGVO ist die Sicherstellung von Betroffenenrechten, wie sie in Artikel 12 bis Artikel 22 formuliert wurden. Dessen ungeachtet finden sich ein Artikel 23: Beschränkungen. Dieser Artikel kann durchaus als „Mutter aller Öffnungsklauseln” bezeichnet werden. Konkret räumt dieser Artikel die Einschränkung der Betroffenenrechte durch Mitgliedsstaaten ein. Missbrauch durch Mitgliedsstaaten ist dabei nicht ausgeschlossen.
In Österreich wird fallweise dieser Artikel 23 DSGVO genutzt, um Betroffenenrechte ohne ersichtlichen und argumentierten Grund einzuschränken.
Problematisch zeigt sich das im Zusammenhang mit dem EWR Psychotherapiegesetz, in welchem die Artikel 13, 14, 18 und 21 DSGVO ausgeschlossen
wurden. Im Beitrag Psychotherapie: In Österreich sollen Betroffenenrechte massiv eingeschränkt werden
hatten wir auf die entsprechende Gesetzesänderung hingewiesen.
Artikel 15 DSGVO sichert Betroffenen ein weitgehendes Auskunftsrecht zu, was Speicherung, Verarbeitung und Weitergabe ihrer personenbezogenen Daten anbelangt. Regulär hat das angefragte Unternehmen einen Monat Zeit, die entsprechenden Auskünfte zu erteilen. Die meisten Unternehmen sind damit allerdings überfordert, zumindest wenn es darum geht, dem Auskunftsverlangen umfassend und vollständig nachzukommen.
Mit dieser Überforderung gehen Unternehmen unterschiedlich um. Zwei Verhaltensweisen häufen sich. Die eine zielt darauf, das Auskunftsverlangen zu erschweren und die andere nur jene Auskünfte zu geben, die sich ohne großen Aufwand ermitteln lassen.
Das Recht auf Löschung und Vergessenwerden dürfte viele Unternehmen und Organisationen herausfordern. Während beim Recht auf Löschung Betroffene aktiv die Löschung verlangen können, geht es beim Recht auf Löschung im Sinne von Vergessenwerden darum, dass personenbezogene Daten für deren Speicherung und Verarbeitung es keine oder keine ausreichende gesetzliche Grundlage gibt auch ohne Löschanforderung gelöscht werden müssen.
Artikel 17 DSGVO sieht in Absatz 1 lit a vor, dass personenbezogene Daten zu löschen sind, sofern diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden nicht mehr notwendig [sind]
und sofern diese für die Verarbeitung nicht erforderlich sind (Artikel 17 Abs. 3 DSGVO). Das ist soweit unstrittig.
Durchaus strittig ist die Frage, ob Verantwortliche in solchen Fällen zu einer selbstständigen Löschung verpflichtet sind, also unabhängig von Löschanträgen Betroffener. Nicht weniger strittig ist, ob Verantwortliche, die der Löschpflicht nicht nachkommen, das Recht Betroffener auf Löschung verletzen und ob sich daraus ein Beschwerdegrund ableiten lässt.
Bei Cookies scheiden sich die Geister. Wann ist eine Einwilligung zum Setzen von Cookies zwingend erforderlich? Wann genügt eine Information und wann kann man auf den sogenannten Cookie-Banner überhaupt verzichten? Ist das Thema „Cookie” eines, das die DSGVO regelt oder gilt im Wesentlichen noch die EU Cookie Richtlinie aus dem Jahr 2009? Welches Gesetz, beziehungsweise welche Gesetze regeln den Gebrauch von Cookies? Gibt es dazu eine Europäische Judikatur? Und nicht zuletzt: wann wird die EU ePrivacy Verordnung, die ursprünglich zusammen mit der DSGVO im Mai 2018 wirksam werden sollte, beschlossen und in Kraft gesetzt?
Zahllose Unternehmen und Organisationen sind verunsichert, was den rechtskonformen Gebrauch von Cookies und die Nutzung von Cookie-Bannern anbetrifft. Nutzer, die Webseiten aufrufen, wissen zum Großteil nicht, was es überhaupt mit diesen Cookie-Bannern auf sich hat. Die überwiegende Zahl dieser Nutzer empfindet die Banner als Störung und klickt „OK” oder „Akzeptieren”, um die störenden Balken los zu werden, ohne sich damit auseinander zu setzen. Dabei geht es um den Schutz der Privatsphäre, den Schutz personenbezogener Daten. Manche dieser Daten, die durch Cookies gesammelt werden haben immerhin einen hohen monetären Wert: Da werden schon einmal bis zu 350 EUR für eine Information gehandelt.
Dieses Verhalten nutzen manche Webseiten-Betreiber aus, um schnell zu einer vermeintlichen Einwilligung zu kommen. Diese setzt der Gesetzgeber vor einer Verarbeitung personenbezogener Daten voraus. Aber so, wie das oft passiert, sind die Einwilligungen nicht rechtskräftig, da sie nicht rechtskonform zustande gekommen sind. Es zeigt sich also auch hier ein hohe Informationsdefizit bei den Betreibern. Das kann aber durchaus teuer werden. Schon jetzt können bei Missbrauch in Österreich bis zu 37.000 EUR Strafe verhängt werden (§109 Absatz 3 TKG (2003)). (Siehe dazu Cookies und der Datenschutz
)
Diese Seite bespricht einige Beispiele, die zeigen, wie man es nicht machen sollte.
Am 10.Februar 2021 einigten sich die EU Mitgliedsstaaten im EU Rat unter portugiesischen Vorsitz mit den Stimmenthaltungen von Deutschland und Österreich auf eine gemeinsame Fassung der EU e-Privacy Verordnung (ePVO). Wer die Berichterstattung zum Thema im Blick hat, weiß, dass vor allem Medien und Werbeindustrie gegen die ursprüngliche Fassung Sturm gelaufen sind, weshalb die ePVO nicht wie geplant zusammen mit der EU DSGVO am 25. Mai 2018 rechtlich verbindlich wirksam werden konnte, sondern bis zur endgültigen Beschlussfassung an diesem 10. Februar verschleppt wurde.
Neben vielen Zugeständnissen an die Daten verarbeitende Wirtschaft, wie das Tracking durch Drittanbieter oder die Zulässigkeit sogenannter Cookie-Walls, werden in der beschlossenen Fassung Behörden und Staaten weitergehende Rechte eingeräumt, wie die vom EuGH wiederholt zurückgewiesene Speicherung von „Metadaten” für einen „begrenzten Zeitraum” (Vorratsdatenspeicherung). Als Grund werden die „Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen” sowie „der Schutz vor und die Verhinderung von Bedrohungen der öffentlichen Sicherheit” genannt.
Der Beauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Deutschland, Ulrich Kleber, formuliert seine Bedenken gegen die beschlossene Fassung der ePVO scharf: Wenn die ePrivacy-Verordnung so bleibt, wie der Rat der EU sie heute beschlossen hat, wäre das ein schwerer Schlag für den Datenschutz. Ich appelliere dringend an das Europäische Parlament und die EU-Kommission während der Trilog-Verhandlungen für eine Anhebung des Datenschutzniveaus einzutreten.
Kleber verweist zudem darauf, dass gemäß dieser Fassung personenbezogene Daten ohne Einwilligung der Nutzenden zu anderen als den zunächst kommunizierten Zwecken weiterverarbeitet werden können und dass Betroffenenrechte wie das Widerspruchsrecht und die Verpflichtung der Datenschutz-Folgenabschätzung gegenüber früheren Fassungen gestrichen worden sei. Kelber, ebd.
Zudem hat der Ministerrat, worauf Erich Moechl in seinem Blog auf fm4 ORF hinweist, mit einer ganzen Serie neuer Erwägungsgründe (20a bis 20aaaa, 21a ff) zahlreichen Möglichkeiten zur Umgehung der Einwilligung des Benutzers Tür und Tor geöffnet. Netzpolitik spricht von „Umgehungsklauseln”.
Würde die im EU Rat beschlossene Fassung Gesetzeskraft erlangen, dann würden damit im Bereich Datenschutz mehrere rote Linien gleichzeitig überschritten.
Kelber, ebd.
Den Text der vom EU Ministerrat unter portugiesischem Vorsitz beschlossenen Fassung der e-Privacy Verordnung können Sie hier herunterladen (PDF, 0,7MB)
(Aktualisierter, und am 16.2.2021 weitgehend überarbeiteter Beitrag. Registrierte Nutzer können die letzte Version aufrufen.)
Open letter to EU member states from consumer groups, NGOs and industry epresentatives in support of the ePrivacy Regulation, Dez. 2018
„The reform of the ePrivacy framework is necessary to deliver effective confidentiality and security of modern online communications, to ensure clarity of the legal framework, and to restore public trust in the digital economy. A strong ePrivacy Regulation represents an opportunity for EU businesses and it will support privacy innovation in the Digital Single Market. The current surveillance-driven business model of a few large players is not only distorting the advertising and other online markets but also severely undermining the fundamental rights of people living in the European Union and endangering our democracy. Undermining or further slowing down the reform at this stage would send the wrong message to people and industry: they expect the EU to protect their rights and interests against practices that undermine the security and confidentiality of online communications. It is high time to act.”
Damit keine Missverständnisse entstehen können, regelt die Datenschutz Grundverordnung (DSGVO) in Art. 7 klar und deutlich, was unter Einwilligung zu verstehen ist, also die Bedingungen, damit eine Verarbeitung rechtmäßig erfolgen kann.
Viele haben eine rosarote Brille auf, wenn es um die Frage geht, wie fit das eigene Unternehmen bzgl. Datenschutz im Sinne der DSGVO ist. Ein Selbsttest bringt Einsichten und vor allem werden auf diese Weise viele Informationen angeboten. Das Kaspersky Lab kann mit einem Selbsttest überzeugen. Auch das Bayerisches Landesamt für Datenschutzaufsicht hat kürzlich einen Selbsttest online gestellt, der ebenfalls zu empfehlen ist.
Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Auskunfteien eines, das mit Aggregation, automatisierter Verarbeitung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.
Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.
Die CRIF GmbH ist in Sachen Datenschutz wenig auskunftsfreudig, selbst dort, wo das Datenschutzgesetz dies vorsieht. Ein konkretes Beispiel mag das veranschaulichen.
Die Beschwerde eines Betroffenen gegen eine unvollständige und mangelhafte Auskunft nach Artikel 15 DSGVO entschied die Datenschutzbehörde mit der Feststellung, dass die Beschwerde zurecht eingereicht wurde und einer Aufforderung an die CRIF GmbH, die gewünschten Auskünfte zu erteilen. Selbst dort, wo die CRIF GmbH gegen den Entscheid keine Beschwerde beim Bundesverwaltungsgericht eingelegt hatte, wurden aus Sicht des Betroffenen wiederum unvollständige und mangelhafte Auskünfte gegeben. Dafür sieht sich die Datenschutzbehörde allerdings nun nicht mehr zuständig. Sie hat dem Betroffenen einen Exekutionstitel an die Hand gegeben, womit gegen die CRIF GmbH bei der zuständigen Bezirksverwaltungsbehörde eine Vollstreckung beantragt und der Entscheid der Datenschutzbehörde durchgesetzt werden kann, solange, bis die Auskünfte vollständig und spruchgemäß gegeben worden sind.
Grundsätzlich sind Auskunftsanfragen sowie Informationen gemäß Artikel 12 Abs. 5 DSGVO unentgeltlich zu erbringen. Nur für den Fall offenkundig unbegründeter oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder (a) ein angemessenes Entgelt verlangen […] oder (b) sich weigern aufgrund des Antrags tätig zu werden.
Darauf verweist die CRIF GmbH, selbst dann, wenn bei mangelhafter und unvollständiger Information und Auskunft nachgefragt und eine vollständige Auskunft gefordert wird. Darin sehen Betroffene oftmals einen Einschüchterungsversuch, was die CRIF GmbH hingegen als Hinweis verstanden wissen will.
Auskunfteien halten sich im Hintergrund. So ist es nicht verwunderlich, dass nur wenige mit dem Begriff etwas anfangen können oder gar über das Geschäftsmodell der Unternehmen Bescheid wissen und womit sie handeln. Und vor allem: Sie wissen nicht, welche Informationen dort über sie verarbeitet werden und wie sich das auf ihr tägliches Leben auswirken kann.
Viele Immobilienbesitzer klagen, dass Sie von einzelnen Immobilienmaklern immer wieder angeschrieben werden, gefragt werden, ob sie ihre Immobilie nicht verkaufen möchten. Hartnäckig betreiben das manche, trotz Mitteilungen, dass diese Anfragen unerwünscht sind. Das scheint viele der Makler nicht zu berühren. Es ist letztlich eine Art von Stalking. Sie ziehen die Adressen aus öffentlich zugänglichen Grundbucheinträgen und verschicken dann Massenpost. Ist das nach DSGVO zulässig? Kann man sich dagegen wehren?
Der wirksamste Schutz vor Missbrauch persönlicher Daten ist, sorgsam und umsichtig mit den eigenen Daten und Informationen zur eigenen Person umzugehen. Eigenverantwortung kann nicht delegiert werden. Wer glaubt, es sei allein Aufgabe des Staates, durch Gesetze und Strafverfolgung die eigene Fahrlässigkeit im Umgang mit personenbezogenen Daten und Privatsphäre zu kompensieren, ist naiv. Zum einen kann er das so umfassend nicht leisten, sondern nur Rahmenbedingungen herstellen und zum anderen gilt es, sich auch vor dem Staat zu schützen. Denn niemand weiß, was die Zeit mit sich bringen wird.
Natürlich ist es ärgerlich, wenn man gehäuft auf Unternehmen, Freiberufler, Organisationen und Vereine trifft, die sich keinen Deut um den Datenschutz scheren, schon gar nicht um die EU Datenschutz Grundverordnung. Manche davon sind abgebrüht, andere naiv und wieder andere einfach nur dumm, die Trotzigen nicht zu vergessen.
Bei Verstößen gegen die Datenschutz-Grundverordnung drohen Verwaltungsstrafen durch die Aufsichtsbehörden nach Artikel 83 DSGVO, sodann Klagen im Zusammenhang mit Schadensersatzansprüchen nach Artikel 82 DSGVO und dann drohen auch Abmahnungen, betrieben von Abmahnkanzleien und - vereinen. Ein pragmatischer Blick ist gefordert. Panik hilft nicht weiter.
Die EU Datenschutz-Grundverordnung (DSGVO) nutzt neben Stand der Technik
(s. Was versteht die DSGVO unter „Stand der Technik”?
) einen weiteren Begriff im Zusammenhang mit der Sicherheit der Verarbeitung personenbezogener Daten: Belastbarkeit
. Was genau unter Belastbarkeit der Systeme und Dienste
zu verstehen ist, wird jedoch nicht geklärt, bleibt, wie die Formulierung Stand der Technik
, vielmehr unscharf.
Die Verpflichtung zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten, vulgo Verarbeitungsverzeichnisses findet sich in Artikel 30 DSGVO. Es dient zum Nachweis, dass Verantwortliche personenbezogene Daten rechtskonform verarbeiten und unterstützt die Unternehmensleitung, den Datenschutzbeauftragten aber auch die Aufsichtsbehörde bei der Erfüllung ihrer jeweiligen Aufgaben. Es gibt aber Ausnahmen.
Ein Begriff in der Datenschutz-Grundverordung (DSGVO) sorgt für besondere Unruhe: Stand der Technik
. Die DSGVO lässt offen, was der Gesetzgeber darunter versteht und auch nationale Datenschutzgesetze, wie beispielsweise das Österreichische DBS bieten ebenfalls keine Definition. Damit ist diese Vorgabe ein Herausforderung für alle Beteiligten, Aufsichtsbehörden, Verantwortliche und Auftragsverarbeiter.
Einwilligungen sind das Nadelöhr durch das Unternehmen, Organisationen und andere sogenannte Verantwortliche
müssen, um personenbezogene Daten verarbeiten zu dürfen – sofern keine berechtigten Interessen vorliegen. Um Einwilligungen schmackhaft zu machen, bzw. um Betroffene zur Einwilligung zu veranlassen, wird diese häufig mit der Teilnahme an Gewinnspielen, Anmeldung für Events u.v.a.m. verknüpft. Das nennt man Kopplung und das ist verboten.
Dem Datenschutzbeauftragten kommt nach der Datenschutz Grundverordnung eine wichtige Stellung und Aufgabe zu. Geregelt wird dies in Abschnitt 4 DSGVO. Auch wenn Unternehmen nur unter bestimmten Bedingungen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, so empfiehlt sich jedenfalls eine freiwillige Benennung. …
Wiederholt habe ich Geschäftsführer davon reden gehört, dass die Verantwortung für die Einhaltung der Datenschutz Grundverordnung beim Datenschutzbeauftragten liege, den das Unternehmen demnächst beauftragen wolle. Das ist ein großer Irrtum und dieser könnte gravierende Konsequenzen haben. Die Verantwortung kann nicht auf Datenschutzbeauftragte abgewälzt werden.
Angenommen Ihr Unternehmen oder Ihre Organisation, vielleicht auch Arztpraxis, Gemeindeamt o.v.a.m. wurde Opfer einer Cyperattacke und es wurden Daten gestohlen. Wissen Sie, was zu tun ist? Kennen Sie die Meldepflichten? Sind Ihnen die Fristen klar? Ist geregelt, wer, in welcher Zeitspanne was zu tun hat?
Oder nehmen wir an, Mitarbeiter*innen waren nicht ganz so sorgsam mit personenbezogenen Daten oder haben bspw. eine Löschungsaufforderung eines Betroffenen nicht weitergeleitet. Kennen Sie die Konsequenzen und wissen Sie, was zu tun ist?
Mit anderen Worten, gibt es ein Krisenmanagement?
Datenschutz beginnt bei der Überlegung, welche Daten für die erfolgreiche Geschäftstätigkeit wirklich erforderlich sind und welche Sorgfalt beim Erheben, Speichern, Verarbeiten und ggf. der Verwertung geboten ist.
Sensible Daten, wie sexuelle Orientierung, politische Zugehörigkeit, Religionszugehörigkeit, auch z.B. Gewerkschaftszugehörigkeit und insbesondere biometrische Daten etc. werden in der Datenschutz Grundverordnung (DSGVO) unter Art. 9, Verarbeitung besonderer Kategorien personenbezogener Daten, behandelt.
Ein zentraler Grundsatz der Datenschutz Grundverordnung (DSGVO) ist der der Rechtmäßigkeit. Was ist darunter zu verstehen und was sind die Bedingungen, die erfüllt sein müssen, um rechtskonform unter dem Gesichtspunkt der Rechtmäßigkeit Daten verarbeiten zu können?
EU E-Privacy-VO und EU DSGVO zielen darauf, durch den Schutz personenbezogener Daten und den starken Willen, Missbrauch hart und konsequent zu bestrafen, soll in erster Linie das Vertrauen von Verbrauchern ins Internet und seine Services wieder hergestellt werden. In der Dynamik allgemeiner Regulierungen ist es gut zu wissen, warum und zu welchem Zweck ein neues Gesetz oder eine neue Verordnung erlassen oder vorbereitet wird. Zur E-Privacy Verordnung sind es folgende Gründe mit diesen Zielen.
Die Vollstreckung eines rechtsgültigen Entscheids der Datenschutzbehörde ist die letzte und wohl auch effektive Maßnahme, um Unternehmen dazu zu zwingen, einer Entscheidung der Datenschutzbehörde zugunsten Betroffener nachzukommen. Betroffenen gibt die Datenschutzbehörde in diesen Fällen einen Exektutionstitel an die Hand, der es erlaubt, bei der zuständigen Bezirksverwaltungsbehörde einen Vollstreckung zu betreiben und so die Ansprüche durchzusetzen.
Beschwerden zu Datenschutzverletzungen nach Artikel 77 DSGVO: In Österreich können Betroffene in Folge des Datenschutz-Anpassungsgesetzes 2018 bei Verletzung ihrer durch die DSGVO geschützten Rechte nur Beschwerde bei der Datenschutzbehörde einlegen – unabhängig davon, dass privatrechtliche Klagen auf Schadensersatz vor Gericht eingebracht werden können, sollte die Verletzung der Rechte Betroffener nachweisbaren Schaden verursacht haben.
In diesem Beitrag werden exemplarisch Beschwerden dokumentiert, die bei der Österreichischen Datenschutzbehörde eingebracht wurden.
Viele, die wegen Verletzung Ihrer Persönlichkeitsrechte nach dem Datenschutzgesetz bei der Datenschutzbehörde Beschwerde gegen ein Unternehmen oder eine Organisation eingereicht haben, mussten erleben, dass die gesetzliche Frist von sechs Monaten für eine Entscheidung nicht eingehalten wird. Viele Beschwerden sind selbst nach einem Jahr noch anhängig. Während dessen dauern die angezeigten mutmaßlichen Verstöße gegen das Datenschutzgesetz (DSGVO) an.
Was können Betroffene unternehmen, um zügig zu einer Entscheidung über ihre Beschwerden nach Artikel 77 DSGVO zu kommen?
Woher wissen Betroffene, ob ihr Auskunftsersuchen nach Artikel 15 DSGVO von Verantwortlichen vollständig und zutreffend beantwortet wurde? Überwiegend erhält man auf ein Auskunftsersuchen eine Antwort. Nicht immer, aber in der Regel. Wenn eine Antwort gegeben wird, bleibt allerdings offen, ob diese Antwort so umfassend ist, wie es das Gesetz vorsieht. In manchen Fällen werden Informationen und Angaben vorenthalten, in anderen Fällen wissen die Verantwortliche oft selbst nicht, ob die Auskunft vollständig ist oder ob es nicht noch weitere personenbezogene Daten im eigenen Verantwortungsbereich gibt. Was kann man tun?
Entgegen der beschwichtigenden und wohl auch selbstberuhigenden Aussage des Bundesspartenobmanns der WKO für Unternehmensberatung und IT sind auch in Österreich selbst große Unternehmen bei weitem noch nicht DSGVO fit. Dasselbe lässt sich auch von Organisationen sagen. Allein der Umgang mit den Betroffenenrechten zeigt dies. Einige Beispiele mögen das veranschaulichen.
Die ungeliebte DSGVO. Die österreichische Wirtschaft und folglich mit ihr die österreichischen Regierungen hatten und haben die EU Datenschutz-Grundverordnung (EU DSGVO) allem Anschein nach nie wirklich befürwortet, schon gar nicht begrüßt. Manches hat man sich so zurechtgebogen, dass selbst Regierungsjuristen die Bedenken der EU Kommission teilten und vor einem EU Vertragsverletzungsverfahren warnten. Das aber ließ bislang Verantwortliche mehr oder weniger kalt.
Die Datenschutzbehörde in Österreich hat aktuell ein Prüfverfahren gegen die österreichische Post eingeleitet. Die Rechercheplattform Addendum hat aufgedeckt, dass die Post nicht nur Adressen handelt, sondern in großem Umfang Daten aggregiert und dabei offenbar auch nicht davor zurückschreckt, durchaus als sensibel und personenbezogen geltende Daten zu verarbeiten, wie z.B. bezüglich deren politischer Affinitäten.
Am 16. Mai 2018 wurde im Österreichischen Nationalrat mit Regierungsmehrheit das sogenannten "2. Materien-Datenschutz-Anpassungsgesetz 2018" beschlossen. In Artikel 42, wird das EWR Psychotherapiegesetz geändert. Hier werden massiv und weitgehend die Betroffenenrechte, wie sie die DSGVO regelt, ausgeschlossen.
Während der Umfang der Zuständigkeiten und damit die Aufgaben der Datenschutzbehörde in Österreich mit der DSGVO seit 25. Mai 2018 deutlich zugenommen haben und sich die Zahl der Beschwerden binnen Jahresfrist mehr als verdreifachte, kamen nur wenige Jurist*innen zum Team hinzu und auch im Sekretariat und der Kanzlei wurden die Ressourcen nur geringfügig aufgestockt. Wen wundert es, wenn die Österreichische Datenschutzbehörde völlig überlastet und somit überfordert ist. Trifft auf sie ebenfalls das zu, was Justizminister Jabloner treffend feststellte: Die Justiz stirbt einen stillen Tod.
?
Nationale Gesetze müssen so angepasst werden, dass sie im Einklang mit der EU DSGVO stehen. Das erfolgt in Österreich in sogenannten „Materien-Datenschutz-Anpassungsgesetzen”, sogenannten „Sammelnovellen”. Da geht es um vielfältige, teils formale Anpassungen, teils in großem Umfang. Ein Nebenschauplatz der Gesetzgebung. Das nutzte die ÖVP/FPÖ Regierung, um heikle, aber in keinem Zusammenhang mit dem Datenschutz stehende Gesetze, quasi wie Kuckuckseier darin zu verstecken.
Am 26. April hat eine erneute Novelle zum Datenschutzgesetz in Österreich den Bundesrat passiert, um noch vor dem 25. Mai, dem Datum der Wirksamkeit der DSGVO, eine politische Agenda gegen die DSGVO in Stellung zu bringen. Damit steht dieser, im Nationalrat von der Regierungsmehrheit beschlossenen Anpassung mit dem Namen Datenschutz-Deregulierungs-Gesetz 2018
, nichts mehr im Weg — es sei denn eine baldige Feststellung des Europäischen Gerichtshofes, dass einige Anpassungen EU-rechtswidrig sind und der Geist dieses Gesetzes nicht nur gegen die DSGVO verstößt, sondern auch die EU Charta der Grundrechte verletzt.
Das österreichische Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) wird am 28. Februar von 35 Männern, einer Spezialeinheit für Straßenkriminalität, gestürmt, weil das BVT mutmaßlich das Datenschutzgesetz verletzt haben soll. Ein Vorgang, der nur in einem Operettenstaat möglich ist.
Österreich — Schon das Regierungsprogramm der ÖVP-FPÖ lässt Bedenken bezüglich des Rechtsverständnisses seiner Protagonisten gegenüber geltendem EU Recht aufkommen. Hier wird bereits ein österreichischer Sonderweg bzgl. EU E-Privacy Verordnung angekündigt. Mitte Januar wurde eine Gesetzesnovelle auf den Weg gebracht, die das in Artikel 21 DSGVO geregelte, grundlegende Betroffenenrecht, das Widerspruchsrecht, in Österreich teilweise außer Kraft setzen soll.
- 1
- 2