Kategorie: Datenschutzrecht

02.07.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin  

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Das Wichtigste vorweg: Nicht in jedem Fall ist – wie vielfach angenommen – für die Verarbeitung personenbezogener Daten eine Einwilligung der betroffenen Person notwendig. Es braucht zwar eine Rechtsgrundlage, diese kann aber unter anderem auch durch eine Vertragserfüllung gegeben sein. Gibt es also beispielsweise einen Kaufvertrag zwischen dem Unternehmen und der betroffenen Person, dürfen die Daten schon aus diesem Rechtsgrund und ohne eine explizite Einwilligung verarbeitet werden.

Weitere Rechtsgrundlagen zur Datenverarbeitung sind gemäß Artikel 6 DSGVO die Erfüllung einer rechtlichen Verpflichtung, die Erforderlichkeit aufgrund der Schutzwürdigkeit lebenswichtiger oder öffentlicher Interessen oder ein berechtigtes Interesse. Jede Datenverarbeitung hat also einer dieser Gründe zu unterliegen.

Den Betroffenen muss bei Einwilligung klar dargelegt werden, für welchen Zweck die Daten gespeichert oder verwendet werden. Wichtig ist auch, dass die Einwilligung, wenn denn eine benötigt wird, vor einer Datenverarbeitung und damit auch vor der Datenerhebung erfolgen muss.

Folgende Schritte sollten daher in Ihren Unternehmen oder Verein beachtet werden, wenn Sie eine Einwilligung benötigen:

• Prüfen Sie, ob es für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage gibt
• Trifft kein anderer Grund des Art 6 DSGVO zu, benötigen Sie eine explizite Einwilligung aller betroffenen Personen
• Ist eine Einwilligung einzuholen, muss diese bereits vor Datenverarbeitung erfolgen
• Aus der Einwilligungserklärung muss klar hervorgehen, für welchen Zweck die Daten verarbeitet werden
• Die Einwilligung muss freiwillig geschehen – bei einer Checkbox muss der Betroffene das Häkchen selbst setzen
• Der Betroffene muss über sein Widerrufsrecht bezüglich der Einwilligung informiert werden
• Bei einer behördlichen Prüfung müssen Sie nachweisen können, dass die betroffenen Personen in die Verarbeitung eingewilligt haben

27.06.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin  

Ein italienisches Unternehmen, das in der Energiebranche tätig ist, ließ über ein Callcenter Neukundenakquise durchführen – allerdings ohne ausreichende Information und ohne Einwilligung der betroffenen Personen für die Verarbeitung ihrer Daten zu Marketingzwecken. Dadurch verstieß es gegen die datenschutzrechtlichen Vorschriften und es wurde eine Geldbuße von mehr als 2 Millionen Euro verhängt.

Bei der Festsetzung der Höhe der Geldbuße wurde auch das „ausgeprägt mangelnde Interesse“ an den datenschutzrechtlichen Bestimmungen miteinbezogen, so die Ausführungen in einer Pressemitteilung. Das Unternehmen, das als Verantwortlicher für den Datenschutz tätig war, zeichnete sich außerdem nie als Verantwortlicher aus. Erschwerend wurde zusätzlich gewertet, dass die Datenerhebungen über ein Drittland stattfanden – das Callcenter hat seinen Sitz in Albanien. Dieses wurde vom verantwortlichen italienischen Unternehmen beauftragt, eine telefonische Kundenakquise durchzuführen, um Neukunden für Strom- und Gaslieferungsverträge zu gewinnen. Dabei nutzte das Callcenter die Kontaktdaten aus seinem eigenen Kundenstamm.

Insgesamt stellte die italienische Datenschutzbehörde 78 Verstöße gegen das Erhebungsverbot und 155 Verstöße gegen das Verarbeitungsverbot fest. Dennoch blieb das Bußgeld am unteren Rand des möglichen Strafrahmens und wurde noch nach der alten italienischen Rechtlage bemessen.

Auch für den österreichischen Datenschutz gilt: Für Akquisetätigkeiten müssen die Angerufenen umfangreiche Informationen über die Verarbeitung ihrer Daten erhalten und zuvor in die zweckmäßige Verarbeitung eingewilligt haben. Gibt es mögliche Verstöße und findet eine Ermittlung der Datenschutzbehörde statt, kann sich eine Kooperation durchaus positiv und strafmildernd auswirken und wird daher empfohlen.

21.05.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin  

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Die österreichische Datenschutzbehörde leitete ein Prüfverfahren gegen eine Tagesklinik ein, nachdem sie eine Meldung von dortigen datenschutzrechtlichen Sicherheitsverletzungen erreichte. Diese stellte mit rechtskräftigem Bescheid vom 16.11.2018 mehrere Verstöße gegen die DSGVO fest.

Dieser erste Teil beschäftigt sich mit der ersten Pflichtverletzung, die lautete:

Die Bestellung eines Datenschutzbeauftragen ist nicht in jedem Fall notwendig, sondern in Österreich, anders als in Deutschland, nur dann, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sogenannter „sensibler Daten“ besteht. Darunter fallen zum Beispiel Krankenanstalten. Sensible Daten sind etwa Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung einer Person oder Daten der sexuellen Orientierung. Solche Daten sollen besonders geschützt werden und unterliegen daher strengeren Regelungen, um überhaupt einer Verarbeitung zugänglich zu sein.

Ab wann eine Tätigkeit mit „umfangreicher“ Verarbeitung vorliegt, ist nicht ganz eindeutig, da auch die DSGVO keine Definition liefert. Es wird nach folgenden Kriterien beurteilt, die im Einzelfall zu unterschiedlichen Ergebnissen führen können:

• die Zahl der Betroffenen
• die verarbeitete Datenmenge
• die Dauer der Datenverarbeitung
• das geografische Ausmaß der Datenverarbeitung

Des Weiteren sind Unternehmen zu nennen, die zwar nicht nur sensible Daten, aber Daten im Allgemeinen systematisch und regelmäßig verarbeiten, wie beispielsweise Banken, Versicherungen oder Berufsdetekteien. In Deutschland muss ein Datenschutzbeauftragter hingegen immer schon dann bestellt werden, wenn im Unternehmen oder Verein mehr als zehn Personen mit der Datenverarbeitung beschäftigt sind. Auch in Österreich gibt es datenschutzrechtliche Experten, die eine Regelung wie in unserem Nachbarland bevorzugen würden. Der österreichische Gesetzgeber entschied sich allerdings nicht für diese zusätzliche Bedingung.

Es muss zwar immer im Einzelfall geprüft werden, ob die Pflicht zur Bestellung eines Datenschutzbeauftragen vorliegt, in den meisten Unternehmen wird dies allerdings nicht notwendig sein.