RAin Mag. Melanie Gassler-Tischlinger, LL.M. und RA Dr. Georg Huber, LL.M. befassen sich in einem Beitrag für „Aspekte“, dem Magazin der Deutschen Handelskammer in Österreich, mit dem Thema „Ein Jahr DSGVO – Lessons Learned .
PDF Download „1 Jahr DSGVO“ (Aspekte)
Ein Jahr Datenschutzgrundverordnung – Lessons Learned
Am 25. Mai 2018 trat die EU-Datenschutzgrundverordnung (DSGVO) in Geltung. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. EU-Datenschutz-Regelungen gibt es zwar schon seit 1995, die DSGVO brachte jedoch eine Änderung des bisherigen Regimes: der Datenschutz wurde in die Hände der Unternehmen gelegt.
Die meisten Unternehmen haben sich bereits vor dem 25. Mai 2018 mit der Umsetzung der DSGVO beschäftigt. Was wird bei uns gespeichert, warum und wo? Wer hat Zugang zu Daten? Was ist zu löschen und wann? Welcher Rechtfertigungsgrund ist die Grundlage für eine Datenverarbeitung?
Die verhältnismäßig komplexe und teilweise mit hohem Aufwand verbundene Umsetzung erforderte in manchen Unternehmen erhebliche Ressourcen in der Vorbereitung. „Der Countdown läuft“, hieß es. Von „Millionenstrafen“ war die Rede.
Seither ist etwas über ein Jahr vergangen. Waren die Prognosen und Warnungen zutreffend? Und vor allem: wie hoch waren die bisher verhängten Strafen?
Die DSGVO in den Medien
Eine der ersten DSGVO-Kuriositäten stammt aus Wien. Ein Mieter beschwerte sich bei „Wiener Wohnen“ darüber, dass sein Name auf dem Klingelschild stand. Obwohl es sich wohl weder um eine automatisierte Verarbeitung noch eine Speicherung in einem Dateiensystem gehandelt haben dürfte, entschied sich Wiener Wohnen dazu, alle Klingelschilder der 220.000 Wohnungen gegen Top-Nummern auszutauschen. Jedem Mieter steht es nunmehr frei, den eigenen Namen anzubringen. Eine einfache und kostengünstige Methode, Konflikte zu vermeiden.
Wie sich Anfang 2019 herausstellte, hatte die Österreichische Post in großem Umfang mit Kundendaten gehandelt. Namen, Adressen, Geschlecht etc. wurden mit Parametern wie zB Parteiaffinität verbunden und weiterverkauft. Die Post argumentierte, dass auch Datenhändler so agieren und es sich um statistische Hochrechnungen handle. Die österreichische Datenschutzbehörde (DSB) stellte jedoch fest, dass die Daten zur Parteiaffinität nicht hätten verarbeitet werden dürfen.
Verfahren zu Betroffenenrechten
Eine der ersten Entscheidungen der DSB betraf einen Kandidaten, der im Anschluss an eine Online-Stellenbewerbung die Löschung seiner Daten beantragte. Die DSB entschied, dass die Speicherung für 6+1 Monat zulässig sei, weil der Kandidat unter Umständen innerhalb der Frist von sechs Monaten Ansprüche nach dem Gleichbehandlungsgesetz einklagen könnte.
Ein ehemaliger Arbeitnehmer verlangte die Löschung seiner Krankenstandstage. Die DSB entschied, dass es rechtliche Aufbewahrungsfristen gibt, die in diesem Fall einer Löschung entgegenstehen.
Ein Betroffener begehrte Informationen zu Überweisungen, die über e-banking nicht mehr verfügbar waren. Die Bank verlangte dafür EUR 20,-. Die DSB entschied, dass die DSGVO das Recht auf unentgeltliche Auskunft vorsieht und die Bank daher kein Recht auf Kostenersatz hat. Diese Entscheidung ist sehr umstritten.
Das Landesarbeitsgericht Baden-Württemberg stellte fest, dass ein Mitarbeiter das Recht hat, eine Kopie auch seiner nicht im Personalakt gespeicherten personenbezogenen Leistungs- und Verhaltensdaten zu erhalten.
Ein Arzt verlangte die Löschung seines Profils sowie der Patientenbewertungen auf einer Online-Plattform. Die DSB entschied jedoch, dass im Rahmen einer Abwägung zwischen den Interessen des Arztes und jenen der Plattform bzw. deren Nutzern die Interessen letzterer vorgehen, weil die Plattform sachlich und objektiv gestaltet war.
Die Einwilligung von Mitarbeitern zur GPS-Ortung von Dienstfahrzeugen wurde von der DSB als unfreiwillig und unwirksam erachtet, weil kein Vorteil für die Mitarbeiter erkennbar war. Hätte sich der Arbeitgeber nicht auf die Einwilligung der Mitarbeiter sondern auf seine berechtigten rechtlichen Interessen (Art 6 Abs 1 lit f DSGVO) gestützt, zB Eigentumsschutz, Fahrtenbuch, Abrechnung mit Leasingfirma etc., wäre die Ortung unter Umständen für zulässig erachtet worden.
Für einen Befundversand per unverschlüsseltem Email wurden die Einwilligungen von Patienten eingeholt. Die DSB entschied dennoch, dass die Verschlüsselung die Datensicherheit (Art 32 DSGVO) betrifft und die Daten auch dann verschlüsselt zu übermitteln sind, wenn der Patient der unverschlüsselten Übermittlung zustimmt.
Die DSB beurteilte das „pay-or-track“ System auf derstandard.at als zulässig. Das Koppelungsverbot der DSGVO ist nicht absolut. Wer „track“ wählt hat den Vorteil, journalistische Inhalte konsumieren zu können.
Facebook und der Betreiber einer „Facebook-Fanpage“ sind „gemeinsame Verantwortliche“ und haben daher einen Vertrag nach Art 26 DSGVO abzuschließen, entschied der Europäische Gerichtshof (EuGH) im vergangenen Jahr. Die deutsche Datenschutzkommission hat allerdings zuletzt ausgesprochen, dass der von Facebook bereitgestellte Vertrag unzureichend sei. Die Verwendung einer DSGVO-konformen Fanpage ist daher derzeit wohl nicht möglich.
In der Rechtssache „FashionID“ entschied der EuGH zuletzt, dass Webseiten-Betreiber, die auf ihren Seiten Plug-Ins (zB Facebook-Gefällt-mir-Button oder Google Maps) einbinden, ihre Nutzer darüber informieren müssen, welche Daten aufgrund eines Plug-Ins wann an wen weitergegeben werden. Außerdem dürfte vorab eine Einwilligung erforderlich sein.
Bußgelder
Zwischen 25. Mai 2018 und 31. Dezember 2018 wurden in Österreich 59 Verwaltungsstrafverfahren eingeleitet. Das höchste Bußgeld betrug EUR 6.700,- für eine verbotene Videoüberwachung. Die Datenschutzbeauftragten der deutschen Bundesländer gaben als höchstes verhängtes Bußgeld EUR 80.000,- bekannt.
Frankreichs Datenschutzbehörde (CNIL) hat den globalen Internetkonzern Google zu einem Bußgeld von EUR 50 Millionen verdonnert. Bei der Anlage von Google Accounts waren keine ausreichend klaren und verständlichen Informationen zu den Verarbeitungszwecken und zur Speicherdauer bereitgestellt worden. Zudem wurden Nutzer nicht ausreichend darüber informiert, wie viele Google-Dienste von ihrer Einwilligung umfasst waren. Bei einem weltweiten Umsatz (2018) von USD 136 Milliarden ist die verhängte Strafe allerdings nicht besonders hoch.
Erste Erkenntnisse nach einem Jahr
– Die DSGVO ist in den Unternehmen und den Köpfen der dort Verantwortlichen angekommen.
– Es ist wichtig, sich als Unternehmen so aufzustellen, dass im Falle von Auskunftsersuchen, Beschwerden oder behördlichen Verfahren zeitnah reagiert werden kann.
– Pflichten wie die Erstellung des Verarbeitungsverzeichnisses und der Datenschutzerklärung sollten erledigt sein, müssen aber laufend überprüft werden. Detailfragen tauchen vermehrt auf.
– Laut dem österreichischen Datenschutzbericht 2018 kam es 2018 zu einer (fast) Verzehnfachung der Beschwerden. Zwischen Mitte und Ende 2018 wurden 134 Verwaltungsstrafverfahren eingeleitet, 501 Data Breach Notifications gemeldet und 1000 Individualbeschwerden eingereicht. Die DSB führte 129 amtswegige Prüfverfahren durch. Sektorenprüfungen sind für 2019 geplant.
– Einwilligungen sollten klar und deutlich formuliert werden und beziehen sich nur auf die Rechtmäßigkeit der Verarbeitung.
– Es ist unter Umständen vorteilhafter, sich auf berechtigte rechtliche Interessen als Rechtfertigungsgrund für die Datenverarbeitung zu stützen, als auf eine – widerrufbare – Einwilligung.
– Die DSB sowie die Datenschutzbeauftragten der Länder sind durchaus sehr aktiv. Geldbußen sind allerdings (noch) relativ moderat – siehe hierzu http://enforcementtracker.com/.
