Telemarketing ohne Einwilligung: € 2 Mio. Bußgeld verhängt

27.06.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Ein italienisches Unternehmen, das in der Energiebranche tätig ist, ließ über ein Callcenter Neukundenakquise durchführen – allerdings ohne ausreichende Information und ohne Einwilligung der betroffenen Personen für die Verarbeitung ihrer Daten zu Marketingzwecken. Dadurch verstieß es gegen die datenschutzrechtlichen Vorschriften und es wurde eine Geldbuße von mehr als 2 Millionen Euro verhängt.

Bei der Festsetzung der Höhe der Geldbuße wurde auch das „ausgeprägt mangelnde Interesse“ an den datenschutzrechtlichen Bestimmungen miteinbezogen, so die Ausführungen in einer Pressemitteilung. Das Unternehmen, das als Verantwortlicher für den Datenschutz tätig war, zeichnete sich außerdem nie als Verantwortlicher aus. Erschwerend wurde zusätzlich gewertet, dass die Datenerhebungen über ein Drittland stattfanden – das Callcenter hat seinen Sitz in Albanien. Dieses wurde vom verantwortlichen italienischen Unternehmen beauftragt, eine telefonische Kundenakquise durchzuführen, um Neukunden für Strom- und Gaslieferungsverträge zu gewinnen. Dabei nutzte das Callcenter die Kontaktdaten aus seinem eigenen Kundenstamm.

Insgesamt stellte die italienische Datenschutzbehörde 78 Verstöße gegen das Erhebungsverbot und 155 Verstöße gegen das Verarbeitungsverbot fest. Dennoch blieb das Bußgeld am unteren Rand des möglichen Strafrahmens und wurde noch nach der alten italienischen Rechtlage bemessen.

Auch für den österreichischen Datenschutz gilt: Für Akquisetätigkeiten müssen die Angerufenen umfangreiche Informationen über die Verarbeitung ihrer Daten erhalten und zuvor in die zweckmäßige Verarbeitung eingewilligt haben. Gibt es mögliche Verstöße und findet eine Ermittlung der Datenschutzbehörde statt, kann sich eine Kooperation durchaus positiv und strafmildernd auswirken und wird daher empfohlen.

Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 1: Bestellung eines Datenschutzbeauftragten

21.05.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Die österreichische Datenschutzbehörde leitete ein Prüfverfahren gegen eine Tagesklinik ein, nachdem sie eine Meldung von dortigen datenschutzrechtlichen Sicherheitsverletzungen erreichte. Diese stellte mit rechtskräftigem Bescheid vom 16.11.2018 mehrere Verstöße gegen die DSGVO fest.

Dieser erste Teil beschäftigt sich mit der ersten Pflichtverletzung, die lautete:

Die Bestellung eines Datenschutzbeauftragen ist nicht in jedem Fall notwendig, sondern in Österreich, anders als in Deutschland, nur dann, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sogenannter „sensibler Daten“ besteht. Darunter fallen zum Beispiel Krankenanstalten. Sensible Daten sind etwa Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung einer Person oder Daten der sexuellen Orientierung. Solche Daten sollen besonders geschützt werden und unterliegen daher strengeren Regelungen, um überhaupt einer Verarbeitung zugänglich zu sein.

Ab wann eine Tätigkeit mit „umfangreicher“ Verarbeitung vorliegt, ist nicht ganz eindeutig, da auch die DSGVO keine Definition liefert. Es wird nach folgenden Kriterien beurteilt, die im Einzelfall zu unterschiedlichen Ergebnissen führen können:

  • die Zahl der Betroffenen
  • die verarbeitete Datenmenge
  • die Dauer der Datenverarbeitung
  • das geografische Ausmaß der Datenverarbeitung

Des Weiteren sind Unternehmen zu nennen, die zwar nicht nur sensible Daten, aber Daten im Allgemeinen systematisch und regelmäßig verarbeiten, wie beispielsweise Banken, Versicherungen oder Berufsdetekteien. In Deutschland muss ein Datenschutzbeauftragter hingegen immer schon dann bestellt werden, wenn im Unternehmen oder Verein mehr als zehn Personen mit der Datenverarbeitung beschäftigt sind. Auch in Österreich gibt es datenschutzrechtliche Experten, die eine Regelung wie in unserem Nachbarland bevorzugen würden. Der österreichische Gesetzgeber entschied sich allerdings nicht für diese zusätzliche Bedingung.

Es muss zwar immer im Einzelfall geprüft werden, ob die Pflicht zur Bestellung eines Datenschutzbeauftragen vorliegt, in den meisten Unternehmen wird dies allerdings nicht notwendig sein.

Artikel 13 – Vorabzensur durch Upload-Filter?

01.03.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Artikel 13

Ende März soll im EU-Parlament endgültig abgestimmt werden – über eine Reform der Urheberrechtsrichtlinie und damit auch über den derzeit heftig umstrittenen Artikel 13. In einer ersten Abstimmung Mitte Februar dieses Jahres sprachen sich nur fünf Mitgliedsstaaten der Europäischen Union gegen eine Neuerung aus.

Worum geht es? Besonders in Artikel 13 des geplanten neuen EU-Urheberrechts sehen Kritiker künftig Probleme. Denn: Wird gegen Urheberrecht verstoßen, sollen Plattformen wie Google, YouTube und Twitter in die Pflicht genommen werden – es wären also nicht mehr nur die Nutzer selbst haftbar, wie es bislang der Fall war. Bei einem nicht berechtigten Upload von Inhalten müssen Fotos, Videos und Bilder umgehend entfernt werden – außer es wurde vorab eine Lizenz mit dem Rechteinhaber über das urheberrechtliche Material erworben. Um dies zu gewährleisten, soll ein Upload-Filter eingerichtet werden. Dieser soll die Inhalte vorab automatisch mittels eines Filtermechanismus auf urheberrechtlich geschütztes Material prüfen, damit sie gegebenenfalls erst gar nicht online gestellt werden.

Bereits im Juli 2018 fand eine Abstimmung über den Artikel 13 statt – und wurde mehrheitlich abgelehnt. Danach gab es einen Kompromissvorschlag mit etwas entschärften Regelungen für kleinere Plattformen. Demnach sollen Seiten von diesem Artikel ausgenommen werden, die seit weniger als drei Jahren betrieben werden oder unter zehn Millionen Euro Umsatz pro Jahr erwirtschaften. Liegt eine der beiden Voraussetzungen vor, haften die Betreiber nicht von vornherein für Verstöße, sondern diese müssen Inhalte erst nach einer Reklamation prüfen und gegebenenfalls löschen. Verzeichnet eine Website weniger als fünf Millionen Besucher pro Monat, müssen die Anbieter zeigen, dass sie bestmögliche Bemühungen unternommen haben um Copyright-Verstöße zu vermeiden. Wie solche Bemühungen nachgewiesen werden sollen, ist bislang nicht bekannt.

Aber auch die großen Plattformen wie YouTube könnten vor einigen Herausforderungen stehen. Denn „wirksame Inhaltserkennungstechniken“, wie sie laut Artikel 13 gefordert werden, verursachen hohe Kosten und eine umfangreiche Weiterentwicklung der aktuellen Filtermechanismen.

Und auch die User sehen vor allem ein großes Problem: Die Upload-Filter könnten auch Inhalte mit satirischem Hintergrund blockieren, die an sich gar nicht gegen das Urheberrecht verstoßen. Viele Content-Ersteller und aktive Nutzer fürchten deshalb eine starke Einschränkung der Presse- und Meinungsfreiheit und protestieren gegen die Änderungen. Es wird sogar von einer Vorabzensur gesprochen. Netzaktivisten kritisieren auch die mögliche Fehleranfälligkeit einer maschinellen Lösung, da eine falsche Einschätzung sofort zu einer Sperre der Inhalte führen könnte.

Wie groß die Bedenken der Bevölkerung sind, zeigt wohl auch die Zahl der User, die sich in einer Onlinepetition gegen die neuen Regelungen ausgesprochen haben. Derzeit unterzeichneten dort knapp fünf Millionen Personen.

Trotz umfangreicher Kritik wurde der endgültige Text der Richtlinie beschlossen. In gut einem Monat wird sich zeigen, wie sich die 751 Mitglieder des Europäischen Parlaments in der Plenarsitzung in Straßburg entscheiden.

Verarbeitung des Religionsbekenntnisses

15.02.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Religionsbekenntnis DSGVO

Der Karfreitag soll für jeden ein Feiertag werden – so lautet ein Urteil des Europäischen Gerichtshofs (EuGH). Laut diesem Urteil ist die derzeitige Regelung, nach welcher nur Mitarbeiter einer bestimmten Religionsangehörigkeit an diesem Tag ein Feiertag zusteht, gleichheitswidrig. Nun muss die Regierung bis Mitte April eine neue Alternative finden. Doch warum ist diese Entscheidung nun auch in Bezug auf die DSGVO bedeutsam?

In der Personalverwaltung werden unter zahlreichen anderen personenbezogenen Daten auch das Religionsbekenntnis der Mitarbeiter verarbeitet, wenn die betroffenen Personen selbst Angaben dazu machen. Aufgrund der Verarbeitung dieser Angabe kamen einige Mitarbeiter in den Genuss eines Feiertages am Karfreitag. Es gab also bislang einen klaren Zweck für die Verarbeitung des Religionsbekenntnisses – die sogenannte „Abwesenheitsverwaltung“.

Dieser Zweck fiel aber mit der Entscheidung des EuGH weg und daher darf das Religionsbekenntnis auf dieser Grundlage nicht länger verarbeitet werden. Derzeit ist noch unklar, ob Mitarbeiter möglicherweise rückwirkend einen Anspruch auf Feiertagsentgelt oder Ersatzfreizeit haben, weshalb eine zumindest dreijährige Speicherung auf Grundlage des Artikel 17 Abs 3 lit e DSGVO, also „zur Geltendmachung, Ausübung oder Verteidigung  von Rechtsansprüchen“, zulässig ist.

Ferner gibt es auch einige Ausnahmen – beispielsweise bei einem kollektivvertraglichen Anspruch auf den Feiertag „Jom Kippur“ von Mitarbeitern jüdischen Glaubens. In solchen Fällen ist eine Verarbeitung des Religionsbekenntnisses weiterhin gestattet.

Empfehlenswert ist es daher, individuell zu prüfen, ob eine Verarbeitung dieses Datums zulässig ist. Durch einen Wegfall der Verarbeitung ändert sich auch die Informationspflicht der Arbeitgeber.