Im Bescheid DSB-D213.692/0001-DSB/2018 wurde ein Unternehmen zu einem umfassenden Leistungsauftrag verpflichtet. Wie müssen Sie laut Datenschutzbehörde eine rechtskonforme Datenschutzerklärung gestalten? Wann sind Sie zur Datenschutzfolgenabschätzung verpflichtet?
3. „Keine rechtskonforme Datenschutzerklärung“
In einem Versuch die Informationspflichten gemäß Art 13 und 14 DSGVO zu erfüllen, erstellt das Unternehmen eine Datenschutzerklärung, in der beide Verpflichtungen miteinander vermischt sind.
Dabei kommt es zu folgenden Verstößen:
a) Für den Betroffenen ist nicht mehr ersichtlich, für welche Datenkategorien Dritte als Quelle angeführt werden und welche Daten beim Betroffenen selbst erhoben werden. Das stellt einen Verstoß gegen Art 12 Abs.1 DSGVO dar.
b) In der Datenschutzerklärung wird ein Datenschutzbeauftragter angeführt, der behördlich nicht bestellt wurde. Die damit verbundenen Garantien gelten gegenüber der Behörde für diese Person also nicht, auch wenn der Betroffene davon ausgehen muss.
c) Die angeführten Rechtsgrundlagen sind irreführend, und da in der Kerntätigkeit Daten der besonderen Kategorie verarbeitet werden, gelten als Rechtsgrundlage ausschließlich jene der abschließenden Liste in Art 9 Abs 2. Allfällige berechtigte Interessen für die Verarbeitung von „normalen“ personenbezogenen Daten werden zwar behauptet aber nicht näher spezifiziert, was einen Verstoß gegen Art 6 Abs1 DSGVO darstellt.
d) Auf den Widerspruch als Recht des Betroffenen bei einer Einwilligung wird nicht speziell hingewiesen, was einen Widerspruch gegen Art 13 Abs 2 lit c darstellt.
Daraus folgt:
Informationen nach Art 13 und 14 DSGVO müssen spezifisch erfolgen. Für den Betroffenen muss klar erkennbar sein, welche Datenkategorien von welcher Quelle oder vom Betroffenen selbst erhoben wurden. Bei der Angabe von Rechtsgrundlagen müssen für die Verarbeitung von Daten der besonderen Kategorie auch die eng einzuschätzenden Rechtsgrundlagen gemäß Art 9 Abs 2 gelten. Wenn gemäß Art 37 DSGVO ein Datenschutzbeauftragter bestellt werden muss, genügt es nicht eine Person als solche anzuführen. Eine offizielle Bestellung ist zwingende Voraussetzung, damit die Sonderstellung eines Datenschutzbeauftragten, vor allem die „Wahrung der Geheimhaltung oder der Vertraulichkeit“ auch gegenüber der Behörde gilt. Ein Betroffener könnte auf Basis einer fälschlichen Angabe eines Datenschutzbeauftragten vertrauliche Informationen preisgeben, deren Geheimhaltung nicht gewährleistet ist. Zu guter Letzt muss sichergestellt sein, dass alle im Gesetz definierten Felder in einer rechtskonformen Datenschutzerklärung vorhanden sind - inkl. Widerspruchs- und Beschwerderecht.
4. Pflicht zur Prüfung, ob eine Datenschutz-Folgenabschätzung erforderlich ist
Das Unternehmen versucht auf Basis der Ausnahmen in der „Whitelist der Datenschutzbehörde“ (DSFA-AV) den Punkt § 1 iVm DSFA-A12 als Begründung dafür anzuführen, keine Datenschutzfolgenabschätzung durchzuführen.
Die angeführte Ausnahme-Regelung gilt aber nur für die Verarbeitungen eines einzelnen Arztes und nicht für das Szenario des Unternehmens.
Auch wenn es keinen definierten Eintrag in der „Blacklist“ gibt, also jener Unterlage die zu einer Datenschutzfolgenabschätzung verpflichtet, hat das Unternehmen doch zumindest gegen die Verpflichtung zur Prüfung der Notwendigkeit verstoßen.
Daraus folgt:
Die Freigaben gemäß der Whitelist der Datenschutzbehörde sind eng auszulegen. Nur wenn eine Verarbeitung vollständig den angeführten Beispielen entspricht, kann von einer Ausnahme von Art 35 ausgegangen werden.
Die Blacklist ist keine abschließende Liste, sondern soll Aufschluss über die zugrunde liegende Beurteilung geben Das verantwortliche Unternehmen hat die Pflicht, diese Prüfung durchzuführen und zu dokumentieren.
Autor: Wolfgang Mader
Zert. Datenschutzbeauftragter
www.median.one
Seminartipp! Update Datenschutzrecht