Das Thema Datenschutz ist nicht neu, bereits seit 1978 gibt es in Österreich ein Datenschutzgesetz. Mit der Anwendbarkeit der DSGVO seit Mai 2018 ist dieses Thema plötzlich in den Fokus der Öffentlichkeit gerückt, was vor allem den hohen Strafdrohungen geschuldet ist. Aus den häufigsten Fragen zur Umsetzung haben wir hier für Sie einige besonders praxisrelevante zusammengefasst:
Mythos Einwilligungserklärung
Für jede Verarbeitung personenbezogener Daten benötigt der Verantwortliche - also jener, der die Daten verarbeitet - eine Rechtsgrundlage nach Art 6 DSGVO. Eine dieser Rechtsgrundlagen ist die Einwilligungserklärung (Art 6 Abs 1 lit a) DSGVO).
Besteht allerdings bereits eine andere Rechtsgrundlage für die Datenverarbeitung – wie etwa die Vertragserfüllung – muss keine zusätzliche Einwilligung zur Datenverarbeitung eingeholt werden.
Beispiel Autoreparatur: Wird zwischen dem Verantwortlichen (Werkstattbetreiber) und dem Betroffenen (Kunden) ein Vertrag über eine Autoreparatur abgeschlossen und als Kontakt des Kunden etwa dessen E-Mailadresse bekanntgegeben, damit die Werkstatt dem Kunden mitteilen kann, wenn die Reparatur abgeschlossen ist, so ist diese Datenverarbeitung (Speicherung der E-Mailadresse und Übermittlung eines E-Mails) zur Vertragserfüllung notwendig. Es muss daher keine ausdrückliche Einwilligung des Kunden für die Verarbeitung der E-Mailadresse zu diesem Zweck eingeholt werden, weil die Rechtsgrundlage für die Verarbeitung die Vertragserfüllung ist. Wird diese E-Mailadresse allerdings über diesen Zweck hinaus gespeichert, um dem Kunden z.B. einen Newsletter der Werkstatt zu schicken, ist für diesen Verarbeitungsvorgang eine Einwilligung notwendig, weil die Übermittlung von Newslettern für die Vertragserfüllung – die ordnungsgemäße Reparatur – nicht notwendig ist.
Gefährliche Säumnis beim Verarbeitungsverzeichnis
Die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses (VAVZ) ist eine der grundlegenden Neuerungen durch die DSGVO. Dieses VAVZ ist nur auf Verlangen der Datenschutzbehörde (DSB) vorzulegen. Die Strategie, erst im Falle eines Falles eben kurzfristig ein solches VAVZ zu erstellen, scheitert praktisch schon daran, dass die ordnungsgemäße Befüllung des VAVZ mit deutlich mehr Aufwand verbunden ist, als viele Verantwortliche glauben. Deshalb ist es essentiell, das VAVZ, falls dies nicht schon geschehen ist, sofort anzulegen. Da sich die Verarbeitungsvorgänge im Laufe der Zeit ändern können, ist das VAVZ außerdem entsprechend zu „warten“, um der DSB dieses bei Bedarf „auf Knopfdruck“ vorlegen zu können.
Betroffenenrechte
Die DSGVO normiert zahlreiche Rechte des Betroffenen, also der natürlichen Person, deren Daten verarbeitet werden. Das Recht auf Löschung ist besonders praxisrelevant, es wird allerdings häufig übersehen, dass die Betroffenenrechte i.d.R. an gewisse Voraussetzungen geknüpft sind. So gibt das Recht auf Löschung dem Betroffenen die Möglichkeit, die Löschung seiner personenbezogenen Daten zu verlangen, wenn eine der Voraussetzungen des Art 17 DSGVO vorliegt.
Das ist etwa der Fall, wenn
- die Daten unrechtmäßig verarbeitet werden (z.B. keine Rechtsgrundlage für die Datenverarbeitung vorliegt), oder
- die Verarbeitung für die Zwecke, für welche die Daten erhoben wurden, nicht mehr notwendig ist, oder
- die Einwilligung widerrufen wird und keine andere Rechtsgrundlage für die Datenverarbeitung besteht.
Für den Verantwortlichen könnte die (Weiter)-Verarbeitung der Daten allerdings selbst in diesen Fällen von den Ausnahmen des Art 17 Abs 3 DSGVO gedeckt sein. Eine derartige Ausnahme stellt es etwa dar, wenn die Verarbeitung zur Geltendmachung oder Verteidigung von Rechtsansprüchen notwendig ist.
Beispiel: Der Kunde macht einige Monate nach Abschluss der Reparatur Gewährleistungsansprüche geltend. Um unberechtigte Ansprüche abwehren zu können, ist es notwendig und zulässig, dass die Werkstatt den Bericht über die vorgenommene Reparatur vorweisen kann.
Strafdrohungen – Schreckgespenst oder Realität?
Wiewohl die DSGVO Strafen in Höhe von bis zu 20 Millionen Euro oder 4 % des globalen Jahresumsatzes vorsieht, hat der österreichische Gesetzgeber die DSB in § 11 Datenschutzgesetz verpflichtet, bei der Verhängung von Strafen die Verhältnismäßigkeit zu wahren und insbesondere bei erstmaligen Verstößen von der Möglichkeit einer Verwarnung Gebrauch zu machen. Dennoch sollte sich der Rechtsunterworfene nicht zu 100 % auf diese nationale „Entschärfung“ verlassen. Die DSB hat bereits bei erstmaligen Verstößen Geldstrafen verhängt. So wurden diverse Verstöße im Zusammenhang mit einer Videoüberwachung (keine Protokollierung der Verarbeitungsvorgänge, keine Kennzeichnung der Überwachung, Verarbeitung nicht auf das notwendige Maß beschränkt etc) mit einer Strafe in Höhe von insgesamt EUR 5.280,00 geahndet.
Experten:
Dr. Gerold Maximilian Oberhumer, Rechtsanwalt und Partner der ScherbaumSeebacher Rechtsanwälte GmbH, Wien
MMag. Theresia Leitinger, M.A.I.S., Rechtsanwaltsanwärterin ScherbaumSeebacher Rechtsanwälte GmbH, Schwerpunkt Datenschutz und IT-Recht, Wien und Graz
www.scherbaum-seebacher.at
Seminartipp! Update Datenschutzrecht