Spruchpraxis der

(1)

Datenschutz und -sicherheit:

Spruchpraxis der Datenschutzbehörde

Vortrag am 10.03.2020

(2)

1

Allgemeines

2 3

Judikatur Geldbußen

Fahrplan

(3)

DSGVO trat am 25. Mai 2018 in Geltung …

… und die Welt dreht sich noch immer!

(4)

1. Zahlen und Fakten

(5)

(6)

1 Jahr DSGVO – Fakten 1 Vergleich 2018 und 2019

Art 2018 2019

Beschwerden (im Inland)

1036 2102

(828 Bescheide, 577 Einstellungen)

Beschwerden

(grenzüberschreitend)

430 698

Amtswegige Prüfverfahren 93 129

(7)

1 Jahr DSGVO – Fakten 2

Personal:

• 6 zusätzliche Planstellen des höheren Dienstes

• Mittel für 3 zusätzliche Bedienstete des Fachdienstes Behördenstruktur:

• Gliederung in Büros mit spezifischen Aufgabenbereichen

• Verwaltungsstrafverfahren – keine personelle

Überschneidung mit Administrativverfahren

(8)

1 Jahr DSGVO – Fakten 3

• Jeder jur. Bedienstete der DSB ist im Schnitt mit 115 offenen Verfahren belastet!

• Negative Auswirkungen auf Verfahrensdauer,

obgleich der Großteil der Verfahren fristgerecht

abgeschlossen werden kann

(9)

2. Befugnisse

(10)

Befugnisse

Untersuchung Abhilfe

Genehmigung Gesetzgebung

(11)

Befugnisse

Untersuchung Abhilfe

Genehmigung Gesetzgebung

• Beschwerdeverfahren

• Datenschutzüberprüfung

• Schwerpunktprüfungen

(12)

Befugnisse

• Anweisung

• Verbot, Beschränkung

• Anordnungen

• Widerruf von Zertifizierung

• Geldbußen

(13)

Befugnisse

• Verhaltensregeln

• Zertifizierungskriterien

• Akkreditierungen

• Konsultationsverfahren

• IDVK

(14)

Befugnisse

• Blacklist

• Whitelist

• ÜStAkk-V

• in Bearbeitung:

ZeStAkk-V

(15)

Data Breach

Art. 33:

• Meldung an DSB

• unverzüglich, möglichst binnen 72 Stunden ab Kenntnis

• keine Meldung, wenn

voraussichtlich kein Risiko für die Rechte und Freiheiten

natürlicher Personen durch data breach

• Mindestinformationen (Abs. 3)

• Protokollierungspflicht (Abs. 5)

(16)

Data Breach

Art. 33:

• Meldung an DSB

• unverzüglich, möglichst binnen 72 Stunden ab Kenntnis

• keine Meldung, wenn

voraussichtlich kein Risiko für die Rechte und Freiheiten

natürlicher Personen durch data breach

• Mindestinformationen (Abs. 3)

Art. 34:

• Meldung an betroffene Person, wenn voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten

natürlicher Personen

• Ausnahmekatalog (Abs. 3)

• Anordnungsbefugnis durch DSB

(17)

3. Entscheidungen der DSB

und des BVwG

(18)

Zur Rechtmäßigkeit der

Verarbeitung

(19)

Rechtmäßigkeit der Verarbeitung – 1

• DSB-D213.864/0003-DSB/2019, Bescheid vom 16.12.2019:

Unzulässigkeit eines Handvenenscans für den Eintritt in ein öffentliches Bad, Freiwilligkeit der Einwilligung (rk.)

• DSB-D123.626/0006-DSB/2018, Bescheid vom 23.4.2019: Zulässigkeit der Verwendung von Daten aus dem Grundbuch zur Kontaktaufnahme zwecks möglicher Akquise von Immobilien ist zulässig (rk.)

• DSB-D213.953, 2020-0.049.370, Erledigung vom 3.02.2020:

Grundsätzliche Zulässigkeit der Verarbeitung von Lehrerdaten,

„Lernspiel“ (rk)

• DSB-D124.1000; 2020-0.046.690, Bescheid vom 10.02.2020: Amtshilfe als Rechtsgrundlage für die Übermittlung von personenbezogenen

Daten, Art. 22 B-VG iVm § 76 Abs. 4 StPO (nicht rk.)

(20)

Rechtmäßigkeit der Verarbeitung – 2

• DSB-D123.154/0004-DSB/2019, Bescheid vom 07.03.2019: Keine Verletzung im Recht auf Auskunft durch Zugriff des Dienstgebers auf die dienstliche Mailbox eines ehem. Bediensteten (rk.)

• DSB-D124.352/0003-DSB/2019, Bescheid vom 02.12.2019: Verfahren betr. Fotoaufnahmen von einschreitenden Beamten bei einer

Amtshandlung und Veröffentlichung auf Facebook; Beschwerde einer Beamtin bei DSB (siehe dazu problematisch OGH 6 Ob 6/19d, Urteil vom 27.06.2019, vs. EuGH C-345/17, Urteil vom 14.02.2019);

Auslegung von § 9 Abs. 1 DSG (nicht rk.)

• DSB-130.073/0008-DSB/2019, Bescheid vom 09.10.2019: Verletzung

(21)

Rechtmäßigkeit der Verarbeitung – 3

• DSB-D124.286/0005-DSB/2019, Bescheid vom 07.10.2019: Verletzung im Recht auf Geheimhaltung infolge Teilen einer Arbeitsunfähigkeitsmeldung via What‘s App mit anderen Bediensteten; Arbeitsunfähigkeitsmeldung =

Gesundheitsdatum (nicht rk.)

• DSB-D124.1318/0001-DSB/2019 u.a., Bescheid vom 06.09.2019: Verfahren von epicenter.works u.a. betreffend Erfassung und Speicherung von PNR-

Daten; Vereinbarkeit der PNR-RL bzw. des PNR-G mit § 1 DSG sowie Art. 7 und 8 EU-GRC; Abweisung; keine Prüfkompetenz der DSB (nicht rk.); VA E eines belgischen Gerichts anhängig: C-817/19

• DSB-D213.658/0002-DSB/2018, Bescheid vom 08.08.2018: Keine freiwillige Einwilligung für die Überwachung von Firmenfahrzeugen mittels „GPS-

Tracker“; aufgehoben durch W214 2207491-1; a.o. Revision beim VwGH anhängig

• DSB-D122.931/0003-DSB/2018, Bescheid vom 30.11.2018: Freiwilligkeit der Einwilligung zur Setzung von Cookies („Okay or Pay“) im konkreten Einzelfall (rk.)

(22)

Zum Recht auf Auskunft

(23)

Auskunft – 1

• DSB-D124.098/0002-DSB/2019, Bescheid vom 22.02.2019: Keine Zulässigkeit von Bestimmungen in der Datenschutzerklärung, einen Antrag auf Auskunft an eine bestimmte Adresse übermitteln zu

müssen (rk.)

• DSB-D122.844/0006-DSB/2018, Bescheid vom 21.06.2018: Auskunft über Kontobewegungen; Verhältnis zu anderen (kostenpflichtigen)

Auskunfts- und Einsichtsrechten (bestätigt durch W258 2205602-1, rk.)

Auskunftsrecht vs. anwaltliche Verschwiegenheit (nicht rk.)

• DSB-D123.901/0002-DSB/2019, Bescheid vom 31.07.2019: Kein

übertriebener Formalismus bei Nachweis der Identität gemäß Art. 12 und 15 DSGVO (rk.)

(24)

Auskunft – 2

• DSB-D062.268/0001-DSB/2019, Beschwerdevorentscheidung vom

13.11.2019: Auslegung von Art. 15 Abs. 3 DSGVO; kein Recht auf Erhalt einer Kopie von Dokumenten

• DSB-D124. 1123/0001-DSB/2019, Bescheid vom 08.08.2019:

Abgrenzung Akteneinsicht und Auskunftsrecht (bestätigt durch W214 2224106-1/13E; nicht rk)

• DSB-D123.901/0002-DSB/2019, Bescheid vom 31.7.2019: Bei der

Ausübung des Auskunftsrechts muss kein Auskunftsinteresse dargelegt werden

• DSB-D122.829/0003-DSB/2018, Bescheid vom 6.6.2018: Keine Auskunft

(25)

(26)

Zum Recht auf Löschung und

Berichtigung

(27)

Löschung/Berichtigung

Anonymisierung als Mittel zur Löschung (rk.)

• DSB-D122.970/0004-DSB/2019, Bescheid vom 08.11.2019: Keine Notwendigkeit einer zusätzlichen Identifizierung bei Anträgen auf Löschung, wenn Verantwortlicher bei Registrierung Pseudonyme zulässt (rk.)

• DSB-D123.795/0002-DSB/2019, Bescheid vom 03.10.2019: Kein Recht auf Berichtigung, wenn Schreibweise des Namens mit Sonderzeichen nicht möglich ist (hier: ss statt ß, nicht rk.)

• DSB-D124.1456/0003-DSB/2019, Bescheid vom 11.10.2019: Art. 16 DSGVO keine Rechtsgrundlage für die Berichtigung von rechtskräftigen Bescheiden (nicht rk.)

(28)

Sonstiges

(29)

Sonstiges – 1

• DSB-D123.264/0007-DSB/2018, Bescheid vom 4.1.2019: keine

parallele Verfahrensführung vor DSB und Gericht in ein- und derselben Sache (nicht rk.)  siehe aber OGH, 20.12.2018, 6 Ob 131/18k, und OGH 6 Ob 91/19d, Entscheidung vom 23.05.2019, beide zu Art. 79 DSGVO; Art. 79 und VwG?

• DSB-D124.1078/0002-DSB/2019, Bescheid vom 10.10.2019: Keine Zuständigkeit der DSB, wenn rechtskräftiges Urteil nach § 16 ABGB in ein- und derselben Sache vorliegt (hier: VÜ; rk.)

• DSB-D123.848/0001-DSB/2019, Bescheid vom 22.1.2019, und DSB- D123.937/0001-DSB/2018, Bescheid vom 04.02.2019: Auslegung des Begriffs „justizielle Tätigkeit“; keine Zuständigkeit der DSB (beide rk.)

(30)

Sonstiges – 2

Zuständigkeit der DSB gegenüber einer StA; Verweis auf C-508/18 und C-82/19 (bestätigt durch W256 2210459-1, rk.)

• DSB-D123.526/0001-DSB/2019, Bescheid vom 9.04.2019: SVNR ist kein sensibles Datum (nicht rk.)

• DSB-D213.747/0002-DSB/2019, Bescheid vom 11.02.2019: „Post- Bescheid“; Verarbeitung der vermeintlichen politischen Affinität im Rahmen des Gewerbes „Adressverlag und Direktmarketing“ (nicht rk.);

siehe auch Urteil des LG Feldkirch, Schadenersatz gem. Art. 82 Abs. 1 DSGVO iVm § 29 DSG, GZ 57 Cg 30/19b (nicht rk.)

(31)

Sonstiges – 3

Zuständigkeit nach § 9 Abs. 1 DSG; Zuständigkeit verneint;

Diskussionsbeiträge in Foren (rk.)

• DSB-D124.274/0007-DSB/2019, Bescheid vom 09.09.2019, DSB- D124.352/0003-DSB/2019, Bescheid vom 02.12.2019, und DSB-

D123.768/0004-DSB/2019, Bescheid vom 18.12.2019: Zuständigkeit nach § 9 Abs. 1 DSG; Zuständigkeit bejaht; Güterabwägung zw. Art. 8 und Art. 11 EU-GRC

(32)

Zur Bildverarbeitung gemäß

§§ 12, 13 DSG

(33)

• BVwG, GZ W256 2214855-1, Beschluss vom 20.11.2019, und BVwG, GZ W211 2210458-1, Erkenntnis vom 25.11.2019: §§ 12, 13 DSG mangels Öffnungsklauseln unanwendbar; siehe aber W214 2196366-1,

Erkenntnis vom 23.01.2020: Öffnungsklausel für Bildaufnahmen durch ger. SV (Art. 6 Abs. 1 lit. e DSGVO)

• Dashcams  siehe Information auf Website der DSB

Bildverarbeitung

(34)

Verwaltungsstraf-

verfahren

(35)

Verwaltungsstrafverfahren - 1

• DSB-D550.048/0004-DSB/2018, Straferkenntnis vom 18.10.2018:

Bildverarbeitung durch Kebabstand; Strafe: EUR 1.800,00 (vom BVwG dem Grunde nach bestätigt, Strafe aber auf EUR 1.500,00 reduziert;

grs. Aussagen zur Bildverarbeitung; GZ W211 2210458-1, Erkenntnis vom 25.11.2019)

Unzulässige VÜ durch den Betreiber eines Glücksspiellokals; Strafe:

EUR 4.800,00 (behoben durch BVwG W211 2208885-1  o. Revision erhoben); zentrales Thema: Strafbarkeit der juristischen Person

Filmaufnahmen in Damendusche durch Fußballtrainer; Strafe:

10.000,00 EUR (nicht rk.); StA sah § 63 DSG nicht verwirklicht

(36)

Verwaltungsstrafverfahren - 2

• DSB-D550.095/0002-DSB/2019, Straferkenntnis vom

12.08.2019: Zahlreiche Verletzungen der DSGVO, Folgeverfahren zu DSB-D213.692/0001-DSB/2018; Strafe: 50.000,00 EUR (nicht rk.)

• DSB-D550.148/0017-DSB/2019, Straferkenntnis vom

23.10.2019; Strafverfahren gegen Öster. Post AG; Strafe: 18 Mio.

EUR (nicht rk.)

(37)

• Strafbarkeit der juristischen Person ergibt sich unmittelbar aus Art. 83 DSGVO

• Rsp des VwGH zu § 99d BWG (und damit indirekt auch zu § 30 DSG): Ro 2018/02/0023  Behörde muss verantwortliche natürliche Person(en) im Straferkenntnis und in der

Verfolgungshandlung individuell benennen (mit dem Zusatz, dass deren Verhalten der juristischen Person zugerechnet wird)

• Einschlägige Rsp des EuGH zu wettbewerbsrechtlichen Geldbußen:

Keine individuelle Benennung der für den Verstoß verantwortlichen natürlichen Person (C-338/00 P sowie T-391/09)

• Folgerung: Art. 83 DSGVO verdrängt § 30 DSG

• Vorläufige Rechtsmeinung, Revision zu dieser Frage beim VwGH anhängig

Zur Strafbarkeit einer juristischen Person

(38)

Weitere Informationen

• Website der DSB: www.dsb.gv.at

• Newsletter der DSB: erscheint vierteljährlich und kann unter: dsb@dsb.gv.at bestellt werden

• Datenschutzbericht 2019 (März 2020)

• Leitfaden der Datenschutzbehörde zur DSGVO

(abrufbar über Website der DSB)

(39)

Literatur und weiterführende Informationen zur DSGVO

Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):

• Ehmann/Selmayr, Datenschutz-Grundverordnung (Kommentar)

• Feiler/Forgó, EU-Datenschutz-Grundverordnung (Kommentar)

• Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg.), Kommentar zur Datenschutz-Grundverordnung

• Gola (Hrsg.), Datenschutz-Grundverordnung (Kommentar)

• Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung (Kommentar)

• Knyrim (Hrsg.), Datenschutz-Grundverordnung (Praxishandbuch)

• Knyrim (Hrsg.), DatKom (Kommentar)

• Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung (Kommentar)

• Pollirer/Weiss/Knyrim/Haidinger, DSGVO (Textausgabe)

• Sydow (Hrsg.), Europäische Datenschutzgrundverordnung (Kommentar)

(40)

Literatur und weiterführende Informationen zum DSG

Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):

• Bergauer/Jahnel, DSGVO und DSG (Textausgabe)

• Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG (Kommentar)

• Jelinek/Schmidl/Spanberger, Datenschutzgesetz (Kommentar)

• Knyrim, DatKomm

(41)

Werden personenbezogene Daten verarbeitet?

Haushaltsausnahme/Medien- privileg?

Welche Rolle habe ich (Verantwortlicher, AV)?

Werden besondere Datenkategorien verarbeitet?

Liegt ein Erlaubnistatbestand zur Verarbeitung vor?

Sind Informationspflichten umgesetzt?

Datenminimierung (Löschungskonzept)?

Brauche / habe ich eine DSFA?

Brauche / habe ich einen Datenschutzbeauftragten?

Sind meine AN über Datengeheimnis aufgeklärt?

Übermittle ich Daten an Drittländer oder IO?

Ziel

(42)