Artikel

DSGVO – ein Jahr danach

Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit gut einem Jahr in Geltung. Prophezeiten einige angesichts der verschärften Datenschutzregeln bereits den Untergang der Wirtschaft, ging anderen die Bestimmungen der DSGVO gar nicht weit genug. Ein guter Zeitpunkt, um ein erstes Resümee zu ziehen, die praktischen Auswirkungen aufzuzeigen und einige „Highlights“ hervorzuheben.

Die Anzahl der Individualbeschwerdeverfahren, das wichtigste Rechtsschutzverfahren zur Durchsetzung der Betroffenenrechte, ist im Vergleich zu den vorangegangenen Jahren signifikant gestiegen. Waren in den Jahren 2016 und 2017 im Schnitt rund 160 Beschwerden pro Jahr bei der Datenschutzbehörde eingelangt, stieg diese Zahl im Jahr 2018 explosionsartig auf 1.036 Beschwerden. Wenngleich nicht ersichtlich ist, ob die einzelnen Beschwerden fundiert sind oder nicht, zeigt sich aus diesen Zahlen eindeutig, dass die „Data Protection Awareness“ der betroffenen Personen viel ausgeprägter ist als zuvor. Auch die Rechtsauskünfte der Datenschutzbehörde haben sich im Vergleich zu den vorigen Jahren mit einem Anstieg von 2.192 auf 4.052 nahezu verdoppelt. Weiters hat die Datenschutzbehörde auch die ersten Verwaltungsstrafverfahren geführt, woraus sich konkret 83 Einstellungen, 4 Ermahnungen und 5 Straferkenntnissen ergaben.

Die EU-DSGVO sieht Geldstrafen bis zu EUR 20.000.000,00 vor. Von diesen Höhen sind die bislang ausgesprochenen Strafen weit entfernt. Interessanterweise stehen die bislang ausgesprochenen Geldstrafen ausschließlich im Zusammenhang mit datenschutzrechtlich nicht richtig aufgesetzten Videoüberwachungssystemen.

Das Jahr 2018 zeichnet sich auch durch erste wegweisende Entscheidungen der Datenschutzbehörde und der Höchstgerichte aus.

So stellte die Datenschutzbehörde zu DSB-D123.270/0009-DSB/2018 etwa fest, dass die Entfernung des Personenbezuges („Anonymisierung“) prinzipiell als ein Mittel zur Löschung von personenbezogenen Daten zählt. In der Entscheidung zu DSB-D213.692/0001-DSB/2018 befasste sich die Datenschutzbehörde mit einer Tagesklinik, die gegenüber ihren Patienten eine Einwilligungserklärung nutzte, um so eine digitale Kommunikation mittels unverschlüsselter E-Mail zu ermöglichen. Diese Maßnahme erachtet die Datenschutzbehörde als unzulässig, da die Auswahl der DSGVO-konformen Sicherheitsmaßnahmen ausschließlich der Tagesklinik obliegt und diese sich daher nicht auf Basis einer Einwilligung von diesen „freizeichnen“ lassen kann. In einem Verwaltungsstrafverfahren (DSB-D550.038) setzte sich die Datenschutzbehörde mit dem Betrieb einer Bildverarbeitungsanlage (Videoüberwachung) durch ein Wettlokal auseinander und verhängte die mit EUR 4.800,00 bislang höchste Geldstrafe auf Basis der EU-DSGVO, da die Videoüberwachung auch die vor dem Eingangsbereich liegenden öffentlichen Verkehrsflächen erfasst, die Bilddaten nicht innerhalb von 72 Stunden gelöscht wurden und eine ausreichende Kennzeichnung fehlte.

Der Oberste Gerichtshof setzte sich zu 6 Ob 140/18h mit dem Koppelungsverbot auseinander und hielt fest, dass es unzulässig ist, den Vertragsabschluss von der Zustimmung zu einer – für die Vertragserfüllung nicht erforderlichen – Datenverwendung abhängig zu machen, da in diesem Fall die Einwilligung nicht freiwillig erfolgt. Der EUGH stufte in seiner Entscheidung zu C-210/16 die Betreiber einer Facebook Fan-Page als datenschutzrechtlich Verantwortliche (gemeinsam mit facebook) ein.

Für Unternehmen jeder Größenordnung sticht die Erkenntnis hervor, dass Datenschutz im Allgemeinen und die Umsetzung der EU-DSGVO kein punktuelles „Einmalprojekt“ ist, sondern vielmehr ein steter Prozess. So ist insbesondere das Führen der verpflichtenden Verfahrensverzeichnisse mittels MS-Word oder MS-Excelfiles nicht zielführend, da somit eine Aktualisierung der sich stets ändernden Datenflüsse im Unternehmen praktisch ausgeschlossen ist. Hier helfen jedoch spezialisierte Softwares (beispielsweise Niobase des Linzer Unternehmens Akarion -  www.akarion.com), deren Nutzung ab einer bestimmten Unternehmensgröße unabdingbar ist. Auch die notwendige Adaption bestehender bzw. das erstmalige Aufsetzen neuer Betriebsvereinbarungen in Unternehmen mit Betriebsrat im Zusammenhang mit den bestehenden oder neu eingeführten Datenprozessen ist bei wenigen Unternehmen im Blickfeld.

Insgesamt zeigt sich somit deutlich, dass Datenschutz mittlerweile einen weit höheren Stellenwert als bisher einnimmt. Wenngleich viele Unternehmen bereits Ressourcen in die Implementierung der EU-DSGVO gesteckt haben, ist allerdings auch offensichtlich, dass – insbesondere im Hinblick auf Softwarelösungen und Betriebsvereinbarungen – noch einiges zu tun ist.

War der Artikel hilfreich?