Autor: Anna Zambelli

 

Bundesverwaltungsgericht hebt Straferkenntnis der Datenschutzbehörde gegen die Post (Geldbuße 18 Mio Euro) auf

Das Bundesverwaltungsgericht (BVwG) hat  im Verfahren der Datenschutzbehörde (DSB) gegen die Post in drei Teilerkenntnissen entschieden: BVWG_W258 2217446-1; W258 2217446-1; BVG_W258 2227269-1.

Die DSB hatte mit Bescheid vom 23.10.2019, GZ DSB-D550.148/0017-DSB/2019 gegen die Post eine Geldbuße in der Höhe von 18 Millionen Euro verhängt. Dieses Erkenntnis wurde nun (teilweise) aufgehoben. Die Post muss die Strafe also  nicht zahlen – eine außerordentliche Revision dürfte von der DSB nicht erhoben werden. Das BVwG hat in diesem Verfahren schon in zwei weiteren Teilerkenntnissen entschieden.

Die Post hatte Daten über die wahrscheinliche Parteiaffinität von natürlichen Personen gespeichert und damit unter dem Gewerbe Adresshandel (§ 151 GewO) gehandelt bzw. diese weiterverkauft (Listbrokering).

Das BVwG hat die Strafe im dritten der drei Teilerkenntnisse aufgehoben, weil die DSB das Verfahren formal nicht richtig geführt habe. Die DSB hätte, so das BVwG, die natürlichen Personen, die die Verletzung verschuldet haben, identifizieren und ausfindig machen, sowie eine Zurechnung zur juristischen Person Post herstellen müssen, um diese der Post als juristische Person zuzurechnen, um dann die Geldbuße gegen die Post zu verhängen. Erst jüngst hatte der VwGH in einem anderen, jedoch grundsätzlich vergleichbaren, Verfahren (12.05.2020, Ro 2019/04/0229) bestätigt, dass andernfalls eine Geldbuße gegen eine juristische Person nicht wirksam verhängt werden kann.

Bemerkenswert ist, dass das BVwG sehr klare und harte Worte zur materiellen Rechtsfrage bzw. zur Verletzung des Datenschutzrechts der Betroffenen und die postinterne rechtliche Analyse dazu findet. Die Informationen über die Parteiaffinität sind – selbst wenn sie (nur) Wahrscheinlichkeitsinformationen sind – nach Ansicht des BVwG (und auch zuvor der DSB) Daten besonderer Kategorie gemäß Artikel 9 Abs 1 DSGVO. Das BVwG vermisst die notwendigen Voraussetzungen, die die DSGVO für die Verarbeitung dieser Daten einfordert (Einwilligung etc).

Das BVwG geht darüber hinaus auch auf die beteiligten Personen bei der Post und den diesen konkret vorwerfbaren Handlungen in dem Fall ein, nämlich die Datenschutzbeauftragte, die Leiterin der Rechtsabteilung und auch den Vorstand. Alle hätten grob fahrlässig gehandelt. Es sei zwar eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO durchgeführt worden. Dabei hätte die Datenschutzbeauftragte eine falsche rechtliche Beurteilung getroffen (Parteiaffinität sind unbedenkliche Informationen), sie hätte sich dazu der internen Rechtsabteilung bzw. einer externen Beratung bedienen müssen. Und weil sie das nicht getan hat, hätte es die Leiterin der Rechtsabteilung tun müssen.

Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?

Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?

  • Sie müssen sich immer mit allen Fragen rund um eine Datenverarbeitung fundiert, schriftlich und nachvollziehbar auseinandersetzen.
  • Datenschutzbeauftragte haben dabei eine wichtige Rolle, sie müssen kompetent sein und eine rechtlich belastbare Einschätzung vornehmen. Sie müssen aber auch ihre Grenzen kennen und sich internen oder externen Rat einholen, wenn es um schwierige Sachverhalte geht, die an ihre fachlichen Grenzen stoßen.
  • Inwieweit dem Datenschutzbeauftragten selbst eine “Verantwortung” zukommt, wird in dem Teilerkenntnis nicht abschließend gesagt. Bisher geht man in Österreich davon aus, dass dem Datenschutzbeauftragten keine inhaltliche Verantwortung zukommt und er auch keine Verantwortung gemäß § 9 VStG tragen kann.

    Diese Ansicht könnte durch diese Erkenntnis erschüttert sein. Jedenfalls ist zu bedenken, dass die DSGVO in Artikel 35 DSGVO klar vorschreibt, dass der Datenschutzbeauftragte bei Datenschutz-Folgenabschätzungen beizuziehen ist. Insofern kommt dem Datenschutzbeauftragten schon auch eine inhaltliche Rolle zu. Lässt sich daraus eine inhaltliche Verantwortung ableiten?

    Es wird wohl (aus zivilrechtlicher Sicht) eine Art Sachverständigenhaftung nach §§ 1299 f ABGB in Betracht kommen (bei internen DSBA ist hier auch das Dienstnehmerhaftpflichtgesetz zu berücksichtigen), wird doch von einem Datenschutzbeauftragten eine gewisse rechtliche Expertise erwartet, wenn die DSGVO dessen Einbeziehung fordert, um eine risikoreiche Datenverarbeitung mittels DSFA gemäß DSGVO aufzusetzen.
  • Hier wurde eine Datenschutz-Folgenabschätzung durchgeführt, wobei es zu einer unrichtigen rechtlichen Beurteilung gekommen ist.  Das bedeutet, dass man sich sehr genau die einzelnen Datenarten in Bezug auf den konkreten Zweck ansehen muss und fundiert begründen muss, zu welchen rechtlichen Einschätzungen man kommt.

    Datenschutz-Folgenabschätzungen sind eigentlich dafür da, um eine Risikobewertung und in der Folge risikominimierende Maßnahmen vorzunehmen. Hier scheiterte es aber bereits an der rechtlichen Beurteilung der Sensibilität der Datenarten, wodurch eine entsprechende Risikobewertung einfach nicht stattfand.

Ausbildung von Datenschutzbeauftragten in der Schweiz

Seit 2018 werden auf der Hochschule Luzern angehende Datenschutzbeauftragte fundiert in dessen verschiedensten Anforderungsprofilen ausgebildet.

Im fünfmonatigen Kurs CAS Data Privacy Officer erhalten die Kursteilnehmer umfassendes Know-how und praktische Erfahrungen in den Themengebieten:

  • Recht
  • DSMS
  • Technik
  • Rolle DPO & Governance
  • Outsourcing & Contracting

Im Modul DSMS gaben neben dem Präsidenten der Data Privacy Community Jérôme Egli auch das Privacyofficers.at Vorstandsmitglied Michael Punz ihr Wissen und ihre Erfahrungswerte an die Kursteilnehmer weiter.

Auch die von Privacyofficers.at erstellte Checkliste zur Umsetzung der DSGVO sowie das Durchführungsbeispiel einer Datenschutz-Folgenabschätzung am Beispiel Videoüberwachung waren fixer Bestandteil des Kurses. Dadurch wurden die Themen „Aufbau eines DSMS“ und „Durchführung einer DSFA“ für die Kursteilnehmer „greifbar“ und erhielten die notwendige Praxisrelevanz.

In diesem Jahr fand das DSMS-Modul mit mehr als 20 Teilnehmern ebenfalls statt, allerdings Corona-bedingt online über Zoom. Diese neue Situation hat auch erfordert, auf die Nutzung der neuen Medien einzugehen und diese entsprechend auch sinnvoll einzusetzen. Deshalb kamen neben der klassischen Vermittlung der fachlichen Inhalte auch Brake Out Sessions für virtuelle Diskussionen im kleineren Rahmen und Live-Umfragen mittels Mentimeter zum Einsatz.

Vor allem in Zeiten wie diesen, in denen der Einsatz von IT im Alltag derart stark ansteigt, gewinnt Datenschutz immer mehr an Bedeutung. Aus diesem Grund ist die fundierte Ausbildung von Datenschutzbeauftragten ein wertvoller Beitrag für nachhaltigen und gelebten Datenschutz. Durch die länderübergreifende Zusammenarbeit findet hierzu auch ein wichtiger Erfahrungs- und Know-how-Transfer statt.

Zudem wurde in der Schweiz am 25. September 2020 das neue Datenschutzgesetz verabschiedet, welches voraussichtlich 2022 in Kraft tritt. Weitere Informationen hierzu gibt es im Webinar der Data Privacy Community am 15. Dezember 2020.

ISPA. Datenschutzbehörde genehmigt Code of Conduct (CoC)

Unsere befreundete Organisation, die ISPA Internet Service Providers Austria hat den ersten – in Österreich vollständig von der Datenschutzbehörde genehmigten –  Code of Conduct gemäß Artikel 40ff DSGVO erstellt.

Der Code of Conduct für ISPs (ISP=Telekommunikationsanbieter gemäß TKG) gehört zu den ersten genehmigten CoCs in Europa. Der CoC wurde auf Initiative von Natalie Ségur-Cabanac, die sowohl Vorständin von privacyofficers.at wie auch Vorständin der ISPA ist, erstellt.

Auch unsere Vorsitzende, Judith Leschanz hat dabei eine wichtige Rolle. Als Mitglied der Überwachungsstelle (Aufsichtsbeirat) war sie in der Arbeitsgruppe Datenschutz der ISPA aktiv dabei.

Hauptziel des COC für ISPs ist die Klärung der datenschutzrechtlichen Rollen der Telekommunikationsanbieter (ISP) und Endkunden (Betroffene) sowie zwischen ISPs untereinander. Demnach agiert ein ISP bei Erbringung von Telekommunikationsleistungen gemäß TKG gegenüber seinen Endkunden als datenschutzrechtlicher Verantwortlicher und nicht als datenschutzrechtlicher Auftragsverarbeiter.

ISPs arbeiten als Verantwortliche zusammen, wenn es um die erforderlichen Vorleistungsbeziehungen geht, die notwendig sind, um Endkunden Services über Netz-, und Dienstegrenzen hinweg zu erbringen. Dazu gehören z.B. Roaming oder einfache Zusammenschaltung von Netzen.

Im CoC finden sich auch Regelungen zu den Betroffenenrechten. So wurden insbesondere Lösungen für die Datenmitnahme (Data Portability) inklusive Einigung über Formate gefunden. Auch eine langjährige Judikatur der Datenschutzbehörde (bzw. der Datenschutzkommission) zur Beauskunftung von Verkehrsdaten wurde festgehalten.

Die ISPA hat sich für eine interne Stelle als Überwachungsstelle entschieden. So wurde, der von der Datenschutzbehörde akkreditierte Aufsichtsbeirat eingerichtet, der in der Zusammensetzung ein breites Spektrum an Kompetenzen und Aufgabengebieten der nominierten Personen sicherstellt.

VWGH Entscheidung zu Verfahren gegen juristische Personen

VWGH Entscheidung zu Verfahren gegen juristische Personen

Der VwGH hat in einer Entscheidung (GZ RO 2019/04/0229) zur Strafbarkeit der juristischen Person festgelegt, dass er die Bestimmung des § 99d BWG und seine Judikatur dazu auch auf das DSG umlegt.

Was bedeutet das in der Praxis für die Datenschutzbehörde?

  1. Die Datenschutzbehörde muss in einem Verfahren/Beschwerdefall bereits in der Aufforderung zur Rechtfertigung an das Unternehmen, jene Personen klar bezeichnen, denen das vorgeworfene Verhalten zuzurechnen ist.
  2. Die Datenschutzbehörde muss die vertretungsbefugten Personen namentlich anführen, der das Verhalten zugeordnet wird.
  3. Die Datenschutzbehörde muss zusätzlich jeder einzelnen, vertretungsbefugten Person eine Aufforderung zur Rechtfertigung schicken, da diese als Beschuldigte in einem Verwaltungsstrafverfahren geführt wird.
  4. Jede dieser Personen muss selbst eine Stellungnahme abgeben.
  5. Jedes vertretungsbefugte Organ haftet für die anderen mit.

Ausweg für Verantwortliche

  • Unternehmen sollten einen Verantwortlichen gemäß § 9 VstG benennen und an die Datenschutzbehörde melden.
  • Dieser muss über tatsächliche Durchgriffsrechte verfügen.
  • In einem Verfahren kann die Datenschutzbehörde den § 9 VstG Verantwortlichen neben dem Unternehmen adressieren.
  • In weiterer Folge muss das Unternehmen und der §9 VstG Verantwortliche, eine Stellungnahme an die Datenschutzbehörde erstatten.
  • Die Datenschutzbehörde ist anschließend in der Lage, das Verfahren nur noch gegen das Unternehmen weiter zu führen und das Verfahren gegen den § 9 VstG Verantwortlichen einzustellen.

So entsteht indirekt eine Verpflichtung bzw. zumindest eine starke Empfehlung zur Meldung des § 9 VstG Verantwortlichen für Datenschutz.

Aktuelle Datenschutz Entscheidungen aus Deutschland

Die Österreichische Datenschutzbehörde (DSB) hat uns einige Entscheidungen aus der deutschen Rechtsprechung zu den Themen:

  • Datenschutzbeauftragte und Kündigungsschutz
  • Klage wegen Weitergabe von sensiblen persönlichen Daten durch eine Privatbank
  • Schadenersatzklage gegen ein Kreditkarteninstitut aufgrund von Verstößen gegen die DSGVO
  • Klage wegen Weitergabe von Gesundheitsdaten an Behörden

zugesandt.

Hessisches Landesarbeitsgericht 6. Berufungskammer
Zum Kündigungsschutz eines Datenschutzbeauftragten
Hier insbesondere Feststellung der Zahl der regelmäßig mit automatisierter Datenverarbeitung Beschäftigte im Hinblick auf den nachwirkenden Kündigungsschutz nach § 4 f Abs. 3 S. 6 BDSG aF
.

LG Darmstadt 13. Zivilkammer
Die Parteien streiten um Unterlassungsansprüche und Schadensersatzansprüche aufgrund der Weitergabe von persönlichen Daten an einen Dritten. Die Beklagte ist eine Privatbank. 

Trend zu Klagen auf immateriellen Schadensersatz wegen DSGVO-Verstößen?
Kürzlich hat mit dem LG Darmstadt erstmals ein deutsches ordentliches Zivilgericht ein Unternehmen dazu verurteilt, immateriellen Schadensersatz nach Art. 82 DSGVO zu zahlen.

Klage gegen Mastercard Europe SA
Der Kläger macht Unterlassungs-, Schadensersatz und Auskunftsansprüche gegen die Beklagte aufgrund von Verstößen gegen die DSGVO geltend.

Unternehmen hatte nach der Wertung des ArbG Dresden ohne Rechtsgrundlage Gesundheitsdaten des Klägers an Behörden weitergegeben
Das Arbeitsgericht (ArbG) Dresden hat in einer aktuellen Entscheidung einem Kläger einen nicht unerheblichen immateriellen Schadensersatz zugesprochen (Urteil vom 26.08.2020 – 13 Ca 1046/20 BeckRS 2020, 26940).

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress