6 Herausforderungen der DSGVO können für manche Unternehmen durchaus belastend sein, vor allem dann, wenn beispielsweise der Überblick über die Verarbeitung personenbezogener Daten fehlt. Hier kann der Verwaltungsaufwand hoch sein, wenn Betroffene von ihren Rechten nach Artikel 15 bis 21 DSGVO Gebrauch machen. Ganz zu schweigen vom hohen Risiko, das sich daraus für das Unternehmen ergibt.
Tag: "Betroffenenrechte"
Die Datenschutz-Grundverordnung spricht in diesem Zusammenhang von Auskunftsrechten Betroffener, woraus sich Auskunftspflichten des Verantwortlichen (d.h. des Verarbeiters) zwangsläufig ergeben.
„Betroffenenrechte” zählen zu den großen Errungenschaften der DSGVO (EU Datenschutz-Grundverordnung). Damit ist die gesetzliche Festschreibung von Rechten Betroffener gemeint, die diese gegenüber all jenen haben, die ihre personenbezogenen Daten verarbeiten (im Gesetz „Verantwortliche” genannt). Zu wenige Menschen wissen um diese Rechte. Am ehesten noch ist aus der medialen Berichterstattung das Recht auf Auskunft (Artikel 15 DSGVO) bekannt. Leider klären viele Unternehmen, Verbände und Organisationen et cetera (also „Verantwortliche”) Betroffene über diese Rechte nicht oder nur unzureichend auf, obwohl sie dazu verpflichtet wären (siehe Informationspflicht nach DSGVO
nach Artikel 13 und 14 DSGVO).
Eine übersichtliche Zusammenstellung der Betroffenenrechte mit Verweis auf die jeweiligen Gesetzestexte:
Die Betroffenenrechte nehmen in der DSGVO einen zentralen Stellenwert ein. In den Artikeln 12 bis 22 sind diese Rechte festgeschrieben. Unantastbar sind diese Rechte allerdings nicht, denn im anschließenden Artikel 23 wird Mitgliedsstaaten das Recht eingeräumt, diese und darüber hinaus auch Artikel 5 einzuschränken. Daran werden zwar Bedingungen geknüpft, aber wie weit diese auslegbar sind, bleibt zunächst Angelegenheit der Datenschutzbehörden oder Gerichte der Mitgliedsstaaten. Man spricht im Zusammenhang mit Artikel 23 gerne von derMutter der Öffnungsklauseln
.
Das Recht auf Löschung und Vergessenwerden dürfte viele Unternehmen und Organisationen herausfordern. Während beim Recht auf Löschung Betroffene aktiv die Löschung verlangen können, geht es beim Recht auf Löschung im Sinne von Vergessenwerden darum, dass personenbezogene Daten für deren Speicherung und Verarbeitung es keine oder keine ausreichende gesetzliche Grundlage gibt auch ohne Löschanforderung gelöscht werden müssen.
Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Auskunfteien eines, das mit Aggregation, automatisierter Verarbeitung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.
Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.
Entgegen der beschwichtigenden und wohl auch selbstberuhigenden Aussage des Bundesspartenobmanns der WKO für Unternehmensberatung und IT sind auch in Österreich selbst große Unternehmen bei weitem noch nicht DSGVO fit. Dasselbe lässt sich auch von Organisationen sagen. Allein der Umgang mit den Betroffenenrechten zeigt dies. Einige Beispiele mögen das veranschaulichen.
Am 16. Mai 2018 wurde im Österreichischen Nationalrat mit Regierungsmehrheit das sogenannten "2. Materien-Datenschutz-Anpassungsgesetz 2018" beschlossen. In Artikel 42, wird das EWR Psychotherapiegesetz geändert. Hier werden massiv und weitgehend die Betroffenenrechte, wie sie die DSGVO regelt, ausgeschlossen.
Die POST AG hat es in den letzten Monaten zum prominentesten Fall eines massiven Verstoßes gegen das Datenschutzgesetz (DSGVO) in Österreich gebracht. Zumindest zwei Prüfverfahren wurden von der Datenschutzbehörde eingeleitet. Darüber hinaus zeigt die POST AG bei der Beantwortung von Auskünften nach Artikel 15 DSGVO mangelnde Professionalität in der Abwicklung, die fallweise durchaus Formen passiven Widerstands gegenüber Betroffenenrechten annimmt.
In Österreich hat der Nationalrat in einer Novelle zum Gesundheitstelematikgesetz im September 2020 den Elektronischen Impfpass (E-Impfpass) beschlossen. Damit sollen sämtliche Impfungen personenbezogen in einem zentralen Impfregister, das bei der ELGA GmbH eingerichtet werden soll, gespeichert und verarbeitet werden. Ziel sei es, so valide Daten zur Durchimpfungsrate zu gewinnen und die Impfversorgung der Bevölkerung optimieren zu können. Wie sieht es mit zentralen Datenschutzfragen dazu aus?
- 1
- 2