Im Zentrum der EU Datenschutz Grundverordnung stehen 7 Grundsätzen zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten. Es kommt darauf an, dass sich Unternehmen und Organisationen diese Prinzipien zu eigen machen.
6 Herausforderungen der DSGVO können für manche Unternehmen durchaus belastend sein, vor allem dann, wenn beispielsweise der Überblick über die Verarbeitung personenbezogener Daten fehlt. Hier kann der Verwaltungsaufwand hoch sein, wenn Betroffene von ihren Rechten nach Artikel 15 bis 21 DSGVO Gebrauch machen. Ganz zu schweigen vom hohen Risiko, das sich daraus für das Unternehmen ergibt.
Zweifelsohne wird die EU Datenschutz Grundverordnung (DSGVO) vor allem die IT und Rechtsabteilungen von Unternehmen beschäftigen und herausfordern. Aber es hieße die DSGVO in ihrer Tragweite völlig zu unterschätzen, blieben die Herausforderungen darauf beschränkt. Marketing und Vertrieb sind ebenso gefordert und in der Pflicht.
Die Prinzipien des Datenschutzgesetzes sind einfach und klar und können daher auch einfach und allgemein verständlich erläutert werden. Lassen Sie sich nicht verwirren von Stimmen, die behaupten, das wäre eine Spezialmaterie, ausschließlich verständlich für Fachleute. Der EU Gesetzgeber hat dieses verbindliche EU Datenschutzgesetz zum Schutz der Privatsphäre der Bürger*innen in Europa erlassen, und daher war es auch beabsichtigt, dass es in seinen Grundprinzipien für alle diese Bürger*innen verständlich bleibt.
Die Datenschutz-Grundverordnung spricht in diesem Zusammenhang von Auskunftsrechten Betroffener, woraus sich Auskunftspflichten des Verantwortlichen (d.h. des Verarbeiters) zwangsläufig ergeben.
In Österreich hört man von Konsumentenschützern, dass die EU DSGVO gegenüber der bisherigen EU Richtlinie 95/46/EG teilweise eine gesetzliche Verschlechterung für die schutzwürdigen Interessen von Privatpersonen bringen wird. Als Beispiel werden die sogenannten „berechtigten Interessen” Verantwortlicher angeführt.
Zu den Rechten betroffener Personen, also jener, deren personenbezogene Daten verarbeitet werden, zählt laut Datenschutz Grundverordnung (DSGVO) ein umfangreiches Informationsrecht. Auf Seiten von Unternehmen und Organisationen bedeutet dies umfangreiche Informationspflichten. Diese sind in Artikel 13 und 14 DSGVO geregelt
„Betroffenenrechte” zählen zu den großen Errungenschaften der DSGVO (EU Datenschutz-Grundverordnung). Damit ist die gesetzliche Festschreibung von Rechten Betroffener gemeint, die diese gegenüber all jenen haben, die ihre personenbezogenen Daten verarbeiten (im Gesetz „Verantwortliche” genannt). Zu wenige Menschen wissen um diese Rechte. Am ehesten noch ist aus der medialen Berichterstattung das Recht auf Auskunft (Artikel 15 DSGVO) bekannt. Leider klären viele Unternehmen, Verbände und Organisationen et cetera (also „Verantwortliche”) Betroffene über diese Rechte nicht oder nur unzureichend auf, obwohl sie dazu verpflichtet wären (siehe Informationspflicht nach DSGVO
nach Artikel 13 und 14 DSGVO).
Eine übersichtliche Zusammenstellung der Betroffenenrechte mit Verweis auf die jeweiligen Gesetzestexte:
Die Betroffenenrechte nehmen in der DSGVO einen zentralen Stellenwert ein. In den Artikeln 12 bis 22 sind diese Rechte festgeschrieben. Unantastbar sind diese Rechte allerdings nicht, denn im anschließenden Artikel 23 wird Mitgliedsstaaten das Recht eingeräumt, diese und darüber hinaus auch Artikel 5 einzuschränken. Daran werden zwar Bedingungen geknüpft, aber wie weit diese auslegbar sind, bleibt zunächst Angelegenheit der Datenschutzbehörden oder Gerichte der Mitgliedsstaaten. Man spricht im Zusammenhang mit Artikel 23 gerne von derMutter der Öffnungsklauseln
.
Ein zentrales Anliegen der DSGVO ist die Sicherstellung von Betroffenenrechten, wie sie in Artikel 12 bis Artikel 22 formuliert wurden. Dessen ungeachtet finden sich ein Artikel 23: Beschränkungen. Dieser Artikel kann durchaus als „Mutter aller Öffnungsklauseln” bezeichnet werden. Konkret räumt dieser Artikel die Einschränkung der Betroffenenrechte durch Mitgliedsstaaten ein. Missbrauch durch Mitgliedsstaaten ist dabei nicht ausgeschlossen.
In Österreich wird fallweise dieser Artikel 23 DSGVO genutzt, um Betroffenenrechte ohne ersichtlichen und argumentierten Grund einzuschränken.
Problematisch zeigt sich das im Zusammenhang mit dem EWR Psychotherapiegesetz, in welchem die Artikel 13, 14, 18 und 21 DSGVO ausgeschlossen
wurden. Im Beitrag Psychotherapie: In Österreich sollen Betroffenenrechte massiv eingeschränkt werden
hatten wir auf die entsprechende Gesetzesänderung hingewiesen.
Artikel 15 DSGVO sichert Betroffenen ein weitgehendes Auskunftsrecht zu, was Speicherung, Verarbeitung und Weitergabe ihrer personenbezogenen Daten anbelangt. Regulär hat das angefragte Unternehmen einen Monat Zeit, die entsprechenden Auskünfte zu erteilen. Die meisten Unternehmen sind damit allerdings überfordert, zumindest wenn es darum geht, dem Auskunftsverlangen umfassend und vollständig nachzukommen.
Mit dieser Überforderung gehen Unternehmen unterschiedlich um. Zwei Verhaltensweisen häufen sich. Die eine zielt darauf, das Auskunftsverlangen zu erschweren und die andere nur jene Auskünfte zu geben, die sich ohne großen Aufwand ermitteln lassen.
Das Recht auf Löschung und Vergessenwerden dürfte viele Unternehmen und Organisationen herausfordern. Während beim Recht auf Löschung Betroffene aktiv die Löschung verlangen können, geht es beim Recht auf Löschung im Sinne von Vergessenwerden darum, dass personenbezogene Daten für deren Speicherung und Verarbeitung es keine oder keine ausreichende gesetzliche Grundlage gibt auch ohne Löschanforderung gelöscht werden müssen.
Artikel 17 DSGVO sieht in Absatz 1 lit a vor, dass personenbezogene Daten zu löschen sind, sofern diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden nicht mehr notwendig [sind]
und sofern diese für die Verarbeitung nicht erforderlich sind (Artikel 17 Abs. 3 DSGVO). Das ist soweit unstrittig.
Durchaus strittig ist die Frage, ob Verantwortliche in solchen Fällen zu einer selbstständigen Löschung verpflichtet sind, also unabhängig von Löschanträgen Betroffener. Nicht weniger strittig ist, ob Verantwortliche, die der Löschpflicht nicht nachkommen, das Recht Betroffener auf Löschung verletzen und ob sich daraus ein Beschwerdegrund ableiten lässt.
Bei Cookies scheiden sich die Geister. Wann ist eine Einwilligung zum Setzen von Cookies zwingend erforderlich? Wann genügt eine Information und wann kann man auf den sogenannten Cookie-Banner überhaupt verzichten? Ist das Thema „Cookie” eines, das die DSGVO regelt oder gilt im Wesentlichen noch die EU Cookie Richtlinie aus dem Jahr 2009? Welches Gesetz, beziehungsweise welche Gesetze regeln den Gebrauch von Cookies? Gibt es dazu eine Europäische Judikatur? Und nicht zuletzt: wann wird die EU ePrivacy Verordnung, die ursprünglich zusammen mit der DSGVO im Mai 2018 wirksam werden sollte, beschlossen und in Kraft gesetzt?
Zahllose Unternehmen und Organisationen sind verunsichert, was den rechtskonformen Gebrauch von Cookies und die Nutzung von Cookie-Bannern anbetrifft. Nutzer, die Webseiten aufrufen, wissen zum Großteil nicht, was es überhaupt mit diesen Cookie-Bannern auf sich hat. Die überwiegende Zahl dieser Nutzer empfindet die Banner als Störung und klickt „OK” oder „Akzeptieren”, um die störenden Balken los zu werden, ohne sich damit auseinander zu setzen. Dabei geht es um den Schutz der Privatsphäre, den Schutz personenbezogener Daten. Manche dieser Daten, die durch Cookies gesammelt werden haben immerhin einen hohen monetären Wert: Da werden schon einmal bis zu 350 EUR für eine Information gehandelt.
Dieses Verhalten nutzen manche Webseiten-Betreiber aus, um schnell zu einer vermeintlichen Einwilligung zu kommen. Diese setzt der Gesetzgeber vor einer Verarbeitung personenbezogener Daten voraus. Aber so, wie das oft passiert, sind die Einwilligungen nicht rechtskräftig, da sie nicht rechtskonform zustande gekommen sind. Es zeigt sich also auch hier ein hohe Informationsdefizit bei den Betreibern. Das kann aber durchaus teuer werden. Schon jetzt können bei Missbrauch in Österreich bis zu 37.000 EUR Strafe verhängt werden (§109 Absatz 3 TKG (2003)). (Siehe dazu Cookies und der Datenschutz
)
Diese Seite bespricht einige Beispiele, die zeigen, wie man es nicht machen sollte.
Am 10.Februar 2021 einigten sich die EU Mitgliedsstaaten im EU Rat unter portugiesischen Vorsitz mit den Stimmenthaltungen von Deutschland und Österreich auf eine gemeinsame Fassung der EU e-Privacy Verordnung (ePVO). Wer die Berichterstattung zum Thema im Blick hat, weiß, dass vor allem Medien und Werbeindustrie gegen die ursprüngliche Fassung Sturm gelaufen sind, weshalb die ePVO nicht wie geplant zusammen mit der EU DSGVO am 25. Mai 2018 rechtlich verbindlich wirksam werden konnte, sondern bis zur endgültigen Beschlussfassung an diesem 10. Februar verschleppt wurde.
Damit keine Missverständnisse entstehen können, regelt die Datenschutz Grundverordnung (DSGVO) in Art. 7 klar und deutlich, was unter Einwilligung zu verstehen ist, also die Bedingungen, damit eine Verarbeitung rechtmäßig erfolgen kann.
Viele haben eine rosarote Brille auf, wenn es um die Frage geht, wie fit das eigene Unternehmen bzgl. Datenschutz im Sinne der DSGVO ist. Ein Selbsttest bringt Einsichten und vor allem werden auf diese Weise viele Informationen angeboten. Das Kaspersky Lab kann mit einem Selbsttest überzeugen. Auch das Bayerisches Landesamt für Datenschutzaufsicht hat kürzlich einen Selbsttest online gestellt, der ebenfalls zu empfehlen ist.
Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Auskunfteien eines, das mit Aggregation, automatisierter Verarbeitung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.
Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.
Die CRIF GmbH ist in Sachen Datenschutz wenig auskunftsfreudig, selbst dort, wo das Datenschutzgesetz dies vorsieht. Ein konkretes Beispiel mag das veranschaulichen.
Die Österreichische Datenschutzbehörde ist der Beschwerde eines Betroffenen gefolgt, sah das Recht des Betroffenen verletzt und hat die CRIF GmbH aufgefordert, die verlangten Auskünfte nach Artikel 15 DSGVO zu erteilen. Die Beschwerde war eingereicht worden, nachdem die CRIF GmbH eine unvollständige und mangelhafte Auskunft gegeben hatte.
Gegen den Entscheid der Österreichischen Datenschutzbehörde hat die CRIF GmbH teilweise Beschwerde beim Bundesverwaltungsgericht (BVwG) eingereicht. Bei der Bescheidentsprechung in anderen Punkten erkannte der Beschwerdeführer weiterhin Mängel in der Auskunft.
Eine direkte Nachfrage bei der CRIF GmbH blieb ergebnislos.
Entsprechend wandte sich der Beschwerdeführer an die Datenschutzbehörde. Diese sah sich allerdings nicht mehr zuständig. Sie habe dem Beschwerdeführer mit dem Entscheid einen Exekutionstitel an die Hand gegeben, womit gegen die CRIF GmbH bei der zuständigen Bezirksverwaltungsbehörde eine Vollstreckung beantragt und der Entscheid der Datenschutzbehörde durchgesetzt werden könne, solange, bis die Auskünfte vollständig und spruchgemäß gegeben worden sind.
Grundsätzlich sind Auskunftsanfragen sowie Informationen gemäß Artikel 12 Abs. 5 DSGVO unentgeltlich zu erbringen. Nur für den Fall offenkundig unbegründeter oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder (a) ein angemessenes Entgelt verlangen […] oder (b) sich weigern aufgrund des Antrags tätig zu werden.
Darauf verweist die CRIF GmbH, selbst dann, wenn bei mangelhafter und unvollständiger Information und Auskunft nachgefragt und eine vollständige Auskunft gefordert wird. Darin sehen Betroffene oftmals einen Einschüchterungsversuch, was die CRIF GmbH hingegen als Hinweis verstanden wissen will.
Auskunfteien halten sich im Hintergrund. So ist es nicht verwunderlich, dass nur wenige mit dem Begriff etwas anfangen können oder gar über das Geschäftsmodell der Unternehmen Bescheid wissen und womit sie handeln. Und vor allem: Sie wissen nicht, welche Informationen dort über sie verarbeitet werden und wie sich das auf ihr tägliches Leben auswirken kann.
Viele Immobilienbesitzer klagen, dass Sie von einzelnen Immobilienmaklern immer wieder angeschrieben werden, gefragt werden, ob sie ihre Immobilie nicht verkaufen möchten. Hartnäckig betreiben das manche, trotz Mitteilungen, dass diese Anfragen unerwünscht sind. Das scheint viele der Makler nicht zu berühren. Es ist letztlich eine Art von Stalking. Sie ziehen die Adressen aus öffentlich zugänglichen Grundbucheinträgen und verschicken dann Massenpost. Ist das nach DSGVO zulässig? Kann man sich dagegen wehren?
Die EU Datenschutzgrundverordnung (DSGVO) verlangt von Verantwortlichen, Informationen nach Artikel 13 und 14 DSGVO und sämtliche Auskünfte nach Artikel 15 bis 22 und Artikel 32 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln
. Artikel 12 DSGVO Dabei steht im Vordergrund, dass jeder Betroffene auch ohne juristische, gar einschlägig juristische Fachkenntnis diese verstehen können soll – eine Grundvoraussetzung dafür, dass Betroffene ihre Interessen bezüglich der Verarbeitung ihrer personenbezogenen Daten wahrnehmen können. Das ist eine der bemerkenswertesten Errungenschaften der DSGVO, die allerdings Verantwortliche aber auch Behörden vor Herausforderungen stellt.
Der wirksamste Schutz vor Missbrauch persönlicher Daten ist, sorgsam und umsichtig mit den eigenen Daten und Informationen zur eigenen Person umzugehen. Eigenverantwortung kann nicht delegiert werden. Wer glaubt, es sei allein Aufgabe des Staates, durch Gesetze und Strafverfolgung die eigene Fahrlässigkeit im Umgang mit personenbezogenen Daten und Privatsphäre zu kompensieren, ist naiv. Zum einen kann er das so umfassend nicht leisten, sondern nur Rahmenbedingungen herstellen und zum anderen gilt es, sich auch vor dem Staat zu schützen. Denn niemand weiß, was die Zeit mit sich bringen wird.
Natürlich ist es ärgerlich, wenn man gehäuft auf Unternehmen, Freiberufler, Organisationen und Vereine trifft, die sich keinen Deut um den Datenschutz scheren, schon gar nicht um die EU Datenschutz Grundverordnung. Manche davon sind abgebrüht, andere naiv und wieder andere einfach nur dumm, die Trotzigen nicht zu vergessen.
Bei Verstößen gegen die Datenschutz-Grundverordnung drohen Verwaltungsstrafen durch die Aufsichtsbehörden nach Artikel 83 DSGVO, sodann Klagen im Zusammenhang mit Schadensersatzansprüchen nach Artikel 82 DSGVO und dann drohen auch Abmahnungen, betrieben von Abmahnkanzleien und - vereinen. Ein pragmatischer Blick ist gefordert. Panik hilft nicht weiter.
Die EU Datenschutz-Grundverordnung (DSGVO) nutzt neben Stand der Technik
(s. Was versteht die DSGVO unter „Stand der Technik”?
) einen weiteren Begriff im Zusammenhang mit der Sicherheit der Verarbeitung personenbezogener Daten: Belastbarkeit
. Was genau unter Belastbarkeit der Systeme und Dienste
zu verstehen ist, wird jedoch nicht geklärt, bleibt, wie die Formulierung Stand der Technik
, vielmehr unscharf.
Die Verpflichtung zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten, vulgo Verarbeitungsverzeichnisses findet sich in Artikel 30 DSGVO. Es dient zum Nachweis, dass Verantwortliche personenbezogene Daten rechtskonform verarbeiten und unterstützt die Unternehmensleitung, den Datenschutzbeauftragten aber auch die Aufsichtsbehörde bei der Erfüllung ihrer jeweiligen Aufgaben. Es gibt aber Ausnahmen.
Ein Begriff in der Datenschutz-Grundverordung (DSGVO) sorgt für besondere Unruhe: Stand der Technik
. Die DSGVO lässt offen, was der Gesetzgeber darunter versteht und auch nationale Datenschutzgesetze, wie beispielsweise das Österreichische DBS bieten ebenfalls keine Definition. Damit ist diese Vorgabe ein Herausforderung für alle Beteiligten, Aufsichtsbehörden, Verantwortliche und Auftragsverarbeiter.
Einwilligungen sind das Nadelöhr durch das Unternehmen, Organisationen und andere sogenannte Verantwortliche
müssen, um personenbezogene Daten verarbeiten zu dürfen – sofern keine berechtigten Interessen vorliegen. Um Einwilligungen schmackhaft zu machen, bzw. um Betroffene zur Einwilligung zu veranlassen, wird diese häufig mit der Teilnahme an Gewinnspielen, Anmeldung für Events u.v.a.m. verknüpft. Das nennt man Kopplung und das ist verboten.
Dem Datenschutzbeauftragten kommt nach der Datenschutz Grundverordnung eine wichtige Stellung und Aufgabe zu. Geregelt wird dies in Abschnitt 4 DSGVO. Auch wenn Unternehmen nur unter bestimmten Bedingungen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, so empfiehlt sich jedenfalls eine freiwillige Benennung. …
Wiederholt habe ich Geschäftsführer davon reden gehört, dass die Verantwortung für die Einhaltung der Datenschutz Grundverordnung beim Datenschutzbeauftragten liege, den das Unternehmen demnächst beauftragen wolle. Das ist ein großer Irrtum und dieser könnte gravierende Konsequenzen haben. Die Verantwortung kann nicht auf Datenschutzbeauftragte abgewälzt werden.
Angenommen Ihr Unternehmen oder Ihre Organisation, vielleicht auch Arztpraxis, Gemeindeamt o.v.a.m. wurde Opfer einer Cyperattacke und es wurden Daten gestohlen. Wissen Sie, was zu tun ist? Kennen Sie die Meldepflichten? Sind Ihnen die Fristen klar? Ist geregelt, wer, in welcher Zeitspanne was zu tun hat?
Oder nehmen wir an, Mitarbeiter*innen waren nicht ganz so sorgsam mit personenbezogenen Daten oder haben bspw. eine Löschungsaufforderung eines Betroffenen nicht weitergeleitet. Kennen Sie die Konsequenzen und wissen Sie, was zu tun ist?
Mit anderen Worten, gibt es ein Krisenmanagement
?
Datenschutz beginnt bei der Überlegung, welche Daten für die erfolgreiche Geschäftstätigkeit wirklich erforderlich sind und welche Sorgfalt beim Erheben, Speichern, Verarbeiten und ggf. der Verwertung geboten ist.
Sensible Daten, wie sexuelle Orientierung, politische Zugehörigkeit, Religionszugehörigkeit, auch z.B. Gewerkschaftszugehörigkeit und insbesondere biometrische Daten etc. werden in der Datenschutz Grundverordnung (DSGVO) unter Art. 9, Verarbeitung besonderer Kategorien personenbezogener Daten, behandelt.
Ein zentraler Grundsatz der Datenschutz Grundverordnung (DSGVO) ist der der Rechtmäßigkeit. Was ist darunter zu verstehen und was sind die Bedingungen, die erfüllt sein müssen, um rechtskonform unter dem Gesichtspunkt der Rechtmäßigkeit Daten verarbeiten zu können?
EU E-Privacy-VO und EU DSGVO zielen darauf, durch den Schutz personenbezogener Daten und den starken Willen, Missbrauch hart und konsequent zu bestrafen, soll in erster Linie das Vertrauen von Verbrauchern ins Internet und seine Services wieder hergestellt werden. In der Dynamik allgemeiner Regulierungen ist es gut zu wissen, warum und zu welchem Zweck ein neues Gesetz oder eine neue Verordnung erlassen oder vorbereitet wird. Zur E-Privacy Verordnung sind es folgende Gründe mit diesen Zielen.
Die Vollstreckung eines rechtsgültigen Entscheids der Datenschutzbehörde ist die letzte und wohl auch effektive Maßnahme, um Unternehmen dazu zu zwingen, einer Entscheidung der Datenschutzbehörde zugunsten Betroffener nachzukommen. Betroffenen gibt die Datenschutzbehörde in diesen Fällen einen Exektutionstitel an die Hand, der es erlaubt, bei der zuständigen Bezirksverwaltungsbehörde einen Vollstreckung zu betreiben und so die Ansprüche durchzusetzen.
Beschwerden zu Datenschutzverletzungen nach Artikel 77 DSGVO: In Österreich können Betroffene in Folge des Datenschutz-Anpassungsgesetzes 2018 bei Verletzung ihrer durch die DSGVO geschützten Rechte nur Beschwerde bei der Datenschutzbehörde einlegen – unabhängig davon, dass privatrechtliche Klagen auf Schadensersatz vor Gericht eingebracht werden können, sollte die Verletzung der Rechte Betroffener nachweisbaren Schaden verursacht haben.
In diesem Beitrag werden exemplarisch Beschwerden dokumentiert, die bei der Österreichischen Datenschutzbehörde eingebracht wurden.
Viele, die wegen Verletzung Ihrer Persönlichkeitsrechte nach dem Datenschutzgesetz bei der Datenschutzbehörde Beschwerde gegen ein Unternehmen oder eine Organisation eingereicht haben, mussten erleben, dass die gesetzliche Frist von sechs Monaten für eine Entscheidung nicht eingehalten wird. Viele Beschwerden sind selbst nach einem Jahr noch anhängig. Während dessen dauern die angezeigten mutmaßlichen Verstöße gegen das Datenschutzgesetz (DSGVO) an.
Was können Betroffene unternehmen, um zügig zu einer Entscheidung über ihre Beschwerden nach Artikel 77 DSGVO zu kommen?
Woher wissen Betroffene, ob ihr Auskunftsersuchen nach Artikel 15 DSGVO von Verantwortlichen vollständig und zutreffend beantwortet wurde? Überwiegend erhält man auf ein Auskunftsersuchen eine Antwort. Nicht immer, aber in der Regel. Wenn eine Antwort gegeben wird, bleibt allerdings offen, ob diese Antwort so umfassend ist, wie es das Gesetz vorsieht. In manchen Fällen werden Informationen und Angaben vorenthalten, in anderen Fällen wissen die Verantwortliche oft selbst nicht, ob die Auskunft vollständig ist oder ob es nicht noch weitere personenbezogene Daten im eigenen Verantwortungsbereich gibt. Was kann man tun?
Entgegen der beschwichtigenden und wohl auch selbstberuhigenden Aussage des Bundesspartenobmanns der WKO für Unternehmensberatung und IT sind auch in Österreich selbst große Unternehmen bei weitem noch nicht DSGVO fit. Dasselbe lässt sich auch von Organisationen sagen. Allein der Umgang mit den Betroffenenrechten zeigt dies. Einige Beispiele mögen das veranschaulichen.
Die ungeliebte DSGVO. Die österreichische Wirtschaft und folglich mit ihr die österreichischen Regierungen hatten und haben die EU Datenschutz-Grundverordnung (EU DSGVO) allem Anschein nach nie wirklich befürwortet, schon gar nicht begrüßt. Manches hat man sich so zurechtgebogen, dass selbst Regierungsjuristen die Bedenken der EU Kommission teilten und vor einem EU Vertragsverletzungsverfahren warnten. Das aber ließ bislang Verantwortliche mehr oder weniger kalt.
Die Datenschutzbehörde in Österreich hat aktuell ein Prüfverfahren gegen die österreichische Post eingeleitet. Die Rechercheplattform Addendum hat aufgedeckt, dass die Post nicht nur Adressen handelt, sondern in großem Umfang Daten aggregiert und dabei offenbar auch nicht davor zurückschreckt, durchaus als sensibel und personenbezogen geltende Daten zu verarbeiten, wie z.B. bezüglich deren politischer Affinitäten.
Am 16. Mai 2018 wurde im Österreichischen Nationalrat mit Regierungsmehrheit das sogenannten "2. Materien-Datenschutz-Anpassungsgesetz 2018" beschlossen. In Artikel 42, wird das EWR Psychotherapiegesetz geändert. Hier werden massiv und weitgehend die Betroffenenrechte, wie sie die DSGVO regelt, ausgeschlossen.
Während der Umfang der Zuständigkeiten und damit die Aufgaben der Datenschutzbehörde in Österreich mit der DSGVO seit 25. Mai 2018 deutlich zugenommen haben und sich die Zahl der Beschwerden binnen Jahresfrist mehr als verdreifachte, kamen nur wenige Jurist*innen zum Team hinzu und auch im Sekretariat und der Kanzlei wurden die Ressourcen nur geringfügig aufgestockt. Wen wundert es, wenn die Österreichische Datenschutzbehörde völlig überlastet und somit überfordert ist. Trifft auf sie ebenfalls das zu, was Justizminister Jabloner treffend feststellte:
Die Justiz stirbt einen stillen Tod.
?
Nationale Gesetze müssen so angepasst werden, dass sie im Einklang mit der EU DSGVO stehen. Das erfolgt in Österreich in sogenannten „Materien-Datenschutz-Anpassungsgesetzen”, sogenannten „Sammelnovellen”. Da geht es um vielfältige, teils formale Anpassungen, teils in großem Umfang. Ein Nebenschauplatz der Gesetzgebung. Das nutzte die ÖVP/FPÖ Regierung, um heikle, aber in keinem Zusammenhang mit dem Datenschutz stehende Gesetze, quasi wie Kuckuckseier darin zu verstecken.
Am 26. April hat eine erneute Novelle zum Datenschutzgesetz in Österreich den Bundesrat passiert, um noch vor dem 25. Mai, dem Datum der Wirksamkeit der DSGVO, eine politische Agenda gegen die DSGVO in Stellung zu bringen. Damit steht dieser, im Nationalrat von der Regierungsmehrheit beschlossenen Anpassung mit dem Namen Datenschutz-Deregulierungs-Gesetz 2018
, nichts mehr im Weg — es sei denn eine baldige Feststellung des Europäischen Gerichtshofes, dass einige Anpassungen EU-rechtswidrig sind und der Geist dieses Gesetzes nicht nur gegen die DSGVO verstößt, sondern auch die EU Charta der Grundrechte verletzt.
Das österreichische Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) wird am 28. Februar von 35 Männern, einer Spezialeinheit für Straßenkriminalität, gestürmt, weil das BVT mutmaßlich das Datenschutzgesetz verletzt haben soll. Ein Vorgang, der nur in einem Operettenstaat möglich ist.
- 1
- 2