Datenschutz und -sicherheit:
Spruchpraxis der Datenschutzbehörde
Vortrag am 10.03.2020
1
Allgemeines
2 3
Judikatur Geldbußen
Fahrplan
DSGVO trat am 25. Mai 2018 in Geltung …
… und die Welt dreht sich noch immer!
1. Zahlen und Fakten
1 Jahr DSGVO – Fakten 1 Vergleich 2018 und 2019
Art 2018 2019
Beschwerden (im Inland)
1036 2102
(828 Bescheide, 577 Einstellungen)
Beschwerden
(grenzüberschreitend)
430 698
Amtswegige Prüfverfahren 93 129
1 Jahr DSGVO – Fakten 2
Personal:
• 6 zusätzliche Planstellen des höheren Dienstes
• Mittel für 3 zusätzliche Bedienstete des Fachdienstes Behördenstruktur:
• Gliederung in Büros mit spezifischen Aufgabenbereichen
• Verwaltungsstrafverfahren – keine personelle
Überschneidung mit Administrativverfahren
1 Jahr DSGVO – Fakten 3
• Jeder jur. Bedienstete der DSB ist im Schnitt mit 115 offenen Verfahren belastet!
• Negative Auswirkungen auf Verfahrensdauer,
obgleich der Großteil der Verfahren fristgerecht
abgeschlossen werden kann
2. Befugnisse
Befugnisse
Untersuchung Abhilfe
Genehmigung Gesetzgebung
Befugnisse
Untersuchung Abhilfe
Genehmigung Gesetzgebung
• Beschwerdeverfahren
• Datenschutzüberprüfung
• Schwerpunktprüfungen
Befugnisse
Untersuchung Abhilfe
Genehmigung Gesetzgebung
• Anweisung
• Verbot, Beschränkung
• Anordnungen
• Widerruf von Zertifizierung
• Geldbußen
Befugnisse
Untersuchung Abhilfe
Genehmigung Gesetzgebung
• Verhaltensregeln
• Zertifizierungskriterien
• Akkreditierungen
• Konsultationsverfahren
• IDVK
Befugnisse
Untersuchung Abhilfe
Genehmigung Gesetzgebung
• Blacklist
• Whitelist
• ÜStAkk-V
• in Bearbeitung:
ZeStAkk-V
Data Breach
Art. 33:
• Meldung an DSB
• unverzüglich, möglichst binnen 72 Stunden ab Kenntnis
• keine Meldung, wenn
voraussichtlich kein Risiko für die Rechte und Freiheiten
natürlicher Personen durch data breach
• Mindestinformationen (Abs. 3)
• Protokollierungspflicht (Abs. 5)
Data Breach
Art. 33:
• Meldung an DSB
• unverzüglich, möglichst binnen 72 Stunden ab Kenntnis
• keine Meldung, wenn
voraussichtlich kein Risiko für die Rechte und Freiheiten
natürlicher Personen durch data breach
• Mindestinformationen (Abs. 3)
Art. 34:
• Meldung an betroffene Person, wenn voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten
natürlicher Personen
• Ausnahmekatalog (Abs. 3)
• Anordnungsbefugnis durch DSB
3. Entscheidungen der DSB
und des BVwG
Zur Rechtmäßigkeit der
Verarbeitung
Rechtmäßigkeit der Verarbeitung – 1
• DSB-D213.864/0003-DSB/2019, Bescheid vom 16.12.2019:
Unzulässigkeit eines Handvenenscans für den Eintritt in ein öffentliches Bad, Freiwilligkeit der Einwilligung (rk.)
• DSB-D123.626/0006-DSB/2018, Bescheid vom 23.4.2019: Zulässigkeit der Verwendung von Daten aus dem Grundbuch zur Kontaktaufnahme zwecks möglicher Akquise von Immobilien ist zulässig (rk.)
• DSB-D213.953, 2020-0.049.370, Erledigung vom 3.02.2020:
Grundsätzliche Zulässigkeit der Verarbeitung von Lehrerdaten,
„Lernspiel“ (rk)
• DSB-D124.1000; 2020-0.046.690, Bescheid vom 10.02.2020: Amtshilfe als Rechtsgrundlage für die Übermittlung von personenbezogenen
Daten, Art. 22 B-VG iVm § 76 Abs. 4 StPO (nicht rk.)
Rechtmäßigkeit der Verarbeitung – 2
• DSB-D123.154/0004-DSB/2019, Bescheid vom 07.03.2019: Keine Verletzung im Recht auf Auskunft durch Zugriff des Dienstgebers auf die dienstliche Mailbox eines ehem. Bediensteten (rk.)
• DSB-D124.352/0003-DSB/2019, Bescheid vom 02.12.2019: Verfahren betr. Fotoaufnahmen von einschreitenden Beamten bei einer
Amtshandlung und Veröffentlichung auf Facebook; Beschwerde einer Beamtin bei DSB (siehe dazu problematisch OGH 6 Ob 6/19d, Urteil vom 27.06.2019, vs. EuGH C-345/17, Urteil vom 14.02.2019);
Auslegung von § 9 Abs. 1 DSG (nicht rk.)
• DSB-130.073/0008-DSB/2019, Bescheid vom 09.10.2019: Verletzung
Rechtmäßigkeit der Verarbeitung – 3
• DSB-D124.286/0005-DSB/2019, Bescheid vom 07.10.2019: Verletzung im Recht auf Geheimhaltung infolge Teilen einer Arbeitsunfähigkeitsmeldung via What‘s App mit anderen Bediensteten; Arbeitsunfähigkeitsmeldung =
Gesundheitsdatum (nicht rk.)
• DSB-D124.1318/0001-DSB/2019 u.a., Bescheid vom 06.09.2019: Verfahren von epicenter.works u.a. betreffend Erfassung und Speicherung von PNR-
Daten; Vereinbarkeit der PNR-RL bzw. des PNR-G mit § 1 DSG sowie Art. 7 und 8 EU-GRC; Abweisung; keine Prüfkompetenz der DSB (nicht rk.); VA E eines belgischen Gerichts anhängig: C-817/19
• DSB-D213.658/0002-DSB/2018, Bescheid vom 08.08.2018: Keine freiwillige Einwilligung für die Überwachung von Firmenfahrzeugen mittels „GPS-
Tracker“; aufgehoben durch W214 2207491-1; a.o. Revision beim VwGH anhängig
• DSB-D122.931/0003-DSB/2018, Bescheid vom 30.11.2018: Freiwilligkeit der Einwilligung zur Setzung von Cookies („Okay or Pay“) im konkreten Einzelfall (rk.)
Zum Recht auf Auskunft
Auskunft – 1
• DSB-D124.098/0002-DSB/2019, Bescheid vom 22.02.2019: Keine Zulässigkeit von Bestimmungen in der Datenschutzerklärung, einen Antrag auf Auskunft an eine bestimmte Adresse übermitteln zu
müssen (rk.)
• DSB-D122.844/0006-DSB/2018, Bescheid vom 21.06.2018: Auskunft über Kontobewegungen; Verhältnis zu anderen (kostenpflichtigen)
Auskunfts- und Einsichtsrechten (bestätigt durch W258 2205602-1, rk.)
• DSB-D123.669/0006-DSB/2018, Bescheid vom 23.07.2019:
Auskunftsrecht vs. anwaltliche Verschwiegenheit (nicht rk.)
• DSB-D123.901/0002-DSB/2019, Bescheid vom 31.07.2019: Kein
übertriebener Formalismus bei Nachweis der Identität gemäß Art. 12 und 15 DSGVO (rk.)
Auskunft – 2
• DSB-D062.268/0001-DSB/2019, Beschwerdevorentscheidung vom
13.11.2019: Auslegung von Art. 15 Abs. 3 DSGVO; kein Recht auf Erhalt einer Kopie von Dokumenten
• DSB-D124. 1123/0001-DSB/2019, Bescheid vom 08.08.2019:
Abgrenzung Akteneinsicht und Auskunftsrecht (bestätigt durch W214 2224106-1/13E; nicht rk)
• DSB-D123.901/0002-DSB/2019, Bescheid vom 31.7.2019: Bei der
Ausübung des Auskunftsrechts muss kein Auskunftsinteresse dargelegt werden
• DSB-D122.829/0003-DSB/2018, Bescheid vom 6.6.2018: Keine Auskunft
Zum Recht auf Löschung und
Berichtigung
Löschung/Berichtigung
• DSB-D123.270/0009-DSB/2018, Bescheid vom 05.12.2018:
Anonymisierung als Mittel zur Löschung (rk.)
• DSB-D122.970/0004-DSB/2019, Bescheid vom 08.11.2019: Keine Notwendigkeit einer zusätzlichen Identifizierung bei Anträgen auf Löschung, wenn Verantwortlicher bei Registrierung Pseudonyme zulässt (rk.)
• DSB-D123.795/0002-DSB/2019, Bescheid vom 03.10.2019: Kein Recht auf Berichtigung, wenn Schreibweise des Namens mit Sonderzeichen nicht möglich ist (hier: ss statt ß, nicht rk.)
• DSB-D124.1456/0003-DSB/2019, Bescheid vom 11.10.2019: Art. 16 DSGVO keine Rechtsgrundlage für die Berichtigung von rechtskräftigen Bescheiden (nicht rk.)
Sonstiges
Sonstiges – 1
• DSB-D123.264/0007-DSB/2018, Bescheid vom 4.1.2019: keine
parallele Verfahrensführung vor DSB und Gericht in ein- und derselben Sache (nicht rk.) siehe aber OGH, 20.12.2018, 6 Ob 131/18k, und OGH 6 Ob 91/19d, Entscheidung vom 23.05.2019, beide zu Art. 79 DSGVO; Art. 79 und VwG?
• DSB-D124.1078/0002-DSB/2019, Bescheid vom 10.10.2019: Keine Zuständigkeit der DSB, wenn rechtskräftiges Urteil nach § 16 ABGB in ein- und derselben Sache vorliegt (hier: VÜ; rk.)
• DSB-D123.848/0001-DSB/2019, Bescheid vom 22.1.2019, und DSB- D123.937/0001-DSB/2018, Bescheid vom 04.02.2019: Auslegung des Begriffs „justizielle Tätigkeit“; keine Zuständigkeit der DSB (beide rk.)
Sonstiges – 2
• DSB-D123.461/0004-DSB/2018, Bescheid vom 16.10.2018:
Zuständigkeit der DSB gegenüber einer StA; Verweis auf C-508/18 und C-82/19 (bestätigt durch W256 2210459-1, rk.)
• DSB-D123.526/0001-DSB/2019, Bescheid vom 9.04.2019: SVNR ist kein sensibles Datum (nicht rk.)
• DSB-D213.747/0002-DSB/2019, Bescheid vom 11.02.2019: „Post- Bescheid“; Verarbeitung der vermeintlichen politischen Affinität im Rahmen des Gewerbes „Adressverlag und Direktmarketing“ (nicht rk.);
siehe auch Urteil des LG Feldkirch, Schadenersatz gem. Art. 82 Abs. 1 DSGVO iVm § 29 DSG, GZ 57 Cg 30/19b (nicht rk.)
Sonstiges – 3
• DSB-D123.077/0003-DSB/2018, Bescheid vom 13.08.2018:
Zuständigkeit nach § 9 Abs. 1 DSG; Zuständigkeit verneint;
Diskussionsbeiträge in Foren (rk.)
• DSB-D124.274/0007-DSB/2019, Bescheid vom 09.09.2019, DSB- D124.352/0003-DSB/2019, Bescheid vom 02.12.2019, und DSB-
D123.768/0004-DSB/2019, Bescheid vom 18.12.2019: Zuständigkeit nach § 9 Abs. 1 DSG; Zuständigkeit bejaht; Güterabwägung zw. Art. 8 und Art. 11 EU-GRC
Zur Bildverarbeitung gemäß
§§ 12, 13 DSG
• BVwG, GZ W256 2214855-1, Beschluss vom 20.11.2019, und BVwG, GZ W211 2210458-1, Erkenntnis vom 25.11.2019: §§ 12, 13 DSG mangels Öffnungsklauseln unanwendbar; siehe aber W214 2196366-1,
Erkenntnis vom 23.01.2020: Öffnungsklausel für Bildaufnahmen durch ger. SV (Art. 6 Abs. 1 lit. e DSGVO)
• Dashcams siehe Information auf Website der DSB
Bildverarbeitung
Verwaltungsstraf-
verfahren
Verwaltungsstrafverfahren - 1
• DSB-D550.048/0004-DSB/2018, Straferkenntnis vom 18.10.2018:
Bildverarbeitung durch Kebabstand; Strafe: EUR 1.800,00 (vom BVwG dem Grunde nach bestätigt, Strafe aber auf EUR 1.500,00 reduziert;
grs. Aussagen zur Bildverarbeitung; GZ W211 2210458-1, Erkenntnis vom 25.11.2019)
• DSB-D550.038/0003-DSB/2018, Straferkenntnis vom 12.09.2018:
Unzulässige VÜ durch den Betreiber eines Glücksspiellokals; Strafe:
EUR 4.800,00 (behoben durch BVwG W211 2208885-1 o. Revision erhoben); zentrales Thema: Strafbarkeit der juristischen Person
• DSB-D550.185/0002-DSB/2019, Straferkenntnis vom 11.07.2019:
Filmaufnahmen in Damendusche durch Fußballtrainer; Strafe:
10.000,00 EUR (nicht rk.); StA sah § 63 DSG nicht verwirklicht
Verwaltungsstrafverfahren - 2
• DSB-D550.095/0002-DSB/2019, Straferkenntnis vom
12.08.2019: Zahlreiche Verletzungen der DSGVO, Folgeverfahren zu DSB-D213.692/0001-DSB/2018; Strafe: 50.000,00 EUR (nicht rk.)
• DSB-D550.148/0017-DSB/2019, Straferkenntnis vom
23.10.2019; Strafverfahren gegen Öster. Post AG; Strafe: 18 Mio.
EUR (nicht rk.)
• Strafbarkeit der juristischen Person ergibt sich unmittelbar aus Art. 83 DSGVO
• Rsp des VwGH zu § 99d BWG (und damit indirekt auch zu § 30 DSG): Ro 2018/02/0023 Behörde muss verantwortliche natürliche Person(en) im Straferkenntnis und in der
Verfolgungshandlung individuell benennen (mit dem Zusatz, dass deren Verhalten der juristischen Person zugerechnet wird)
• Einschlägige Rsp des EuGH zu wettbewerbsrechtlichen Geldbußen:
Keine individuelle Benennung der für den Verstoß verantwortlichen natürlichen Person (C-338/00 P sowie T-391/09)
• Folgerung: Art. 83 DSGVO verdrängt § 30 DSG
• Vorläufige Rechtsmeinung, Revision zu dieser Frage beim VwGH anhängig
Zur Strafbarkeit einer juristischen Person
Weitere Informationen
• Website der DSB: www.dsb.gv.at
• Newsletter der DSB: erscheint vierteljährlich und kann unter: dsb@dsb.gv.at bestellt werden
• Datenschutzbericht 2019 (März 2020)
• Leitfaden der Datenschutzbehörde zur DSGVO
(abrufbar über Website der DSB)
Literatur und weiterführende Informationen zur DSGVO
Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):
• Ehmann/Selmayr, Datenschutz-Grundverordnung (Kommentar)
• Feiler/Forgó, EU-Datenschutz-Grundverordnung (Kommentar)
• Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg.), Kommentar zur Datenschutz-Grundverordnung
• Gola (Hrsg.), Datenschutz-Grundverordnung (Kommentar)
• Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung (Kommentar)
• Knyrim (Hrsg.), Datenschutz-Grundverordnung (Praxishandbuch)
• Knyrim (Hrsg.), DatKom (Kommentar)
• Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung (Kommentar)
• Pollirer/Weiss/Knyrim/Haidinger, DSGVO (Textausgabe)
• Sydow (Hrsg.), Europäische Datenschutzgrundverordnung (Kommentar)
Literatur und weiterführende Informationen zum DSG
Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):
• Bergauer/Jahnel, DSGVO und DSG (Textausgabe)
• Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG (Kommentar)
• Jelinek/Schmidl/Spanberger, Datenschutzgesetz (Kommentar)
• Knyrim, DatKomm
Werden personenbezogene Daten verarbeitet?
Haushaltsausnahme/Medien- privileg?
Welche Rolle habe ich (Verantwortlicher, AV)?
Werden besondere Datenkategorien verarbeitet?
Liegt ein Erlaubnistatbestand zur Verarbeitung vor?
Sind Informationspflichten umgesetzt?
Datenminimierung (Löschungskonzept)?
Brauche / habe ich eine DSFA?
Brauche / habe ich einen Datenschutzbeauftragten?
Sind meine AN über Datengeheimnis aufgeklärt?
Übermittle ich Daten an Drittländer oder IO?
Ziel