Datenschutz in der Spruchpraxis - Grundsätzliche Rechtsfragen und erste Entscheidungen der DSB

Datenschutz in der Spruchpraxis -

Grundsätzliche Rechtsfragen und erste Entscheidungen der DSB

Dr. Matthias Schmidl

Stv. Leiter der Österreichischen Datenschutzbehörde

Alle im Rahmen dieses Vortrages getroffenen Ableitungen aus Entscheidungen der DSB geben

ausschließlich die persönliche Meinung des

Vortragenden wieder und binden die DSB nicht.

Allgemeines

DSGVO trat am 25. Mai 2018 in Geltung …

… und die Welt dreht sich noch immer!

3/4 Jahr DSGVO – Fakten 1 (Stand: 15.01.2019)

• 1.617 Beschwerden, davon 1.009 Inland und 608 grenzüberschreitend

• 591 Meldungen über die Verletzung des Schutzes personenbezogener Daten nach DSGVO („Data Breach Notification“), davon 537 Inland und 54 grenzüberschreitend

• 40 Meldungen über die Verletzung des Schutzes personenbezogener Daten nach TKG 2003

• 107 amtswegige Prüfverfahren

• 2 Konsultationsverfahren

• 8 Anträge auf Genehmigung von Verhaltensregeln

• 136 Verwaltungsstrafverfahren (davon 75 übernommen von BVBen)

• 2 Anträge auf Genehmigung von Standardvertragsklauseln

• 1 Antrag auf Genehmigung von verbindlichen internen Vorschriften (BCR)

3/4 Jahr DSGVO – Fakten 2

Vergleich zu 2017 (ganzes Jahr):

• 489 Beschwerden/Eingaben

• 93 amtswegige Prüfverfahren

• 66 Meldungen über die Verletzung des

Schutzes personenbezogener Daten nach TKG 2003

• sonst keine Vergleichswerte

3/4 Jahr DSGVO – Fakten 3

Personal:

•

6 zusätzliche Planstellen des höheren Dienstes

•

Mittel für 3 zusätzliche Bedienstete des Fachdienstes

Behördenstruktur:

•

Gliederung in Büros mit spezifischen Aufgabenbereichen

•

Verwaltungsstrafverfahren – keine personelle

Überschneidung mit Administrativverfahren

Allgemeines

• Verfahren nach § 30 DSG 2000 sind als

Beschwerdeverfahren/amtswegige Prüfverfahren fortzuführen  bescheidmäßige Erledigung

• Verfahren nach § 13 DSG 2000 (Internationaler Datenverkehr)  im Regelfall Einstellung, weil keine Genehmigung mehr

erforderlich ist

• Verfahren nach § 31 DSG 2000  Weiterführung als Beschwerdeverfahren

• Verfahren nach §§ 46, 47 DSG 2000  Weiterführung als Verfahren nach §§ 7, 8 DSG

• Verfahren nach § 52 DSG 2000  Übernahme von BVBen und ggf.

Fortführung unter Berücksichtigung des Günstigkeitsprinzips

Besondere

Rechtsfragen

Besondere Rechtfragen – 1

•

Übergangsbestimmungen

•

Unterschiedliche Auslegung von § 69 Abs. 4 DSG durch DSB und BVwG

(DSB-D122.954/0010-DSB/2018 vs. W253 2140428-1

Revision beim VwGH anhängig)

•

§ 69 Abs. 5 DSG

Günstigkeitsprinzip und

Behördenzuständigkeit (siehe dazu auch

VwSlg 17.931 A/2010 und VwSlg 19.453 A/2016)

Besondere Rechtfragen – 2

• Grundrecht auf Datenschutz nach § 1 DSG (2000) (DSB- D123.089/0002-DSB/2018, Bescheid vom 19.07.2018, und DSB-D216.713/0006-DSB/2018, Bescheid vom 13.09.2018)

• Subjektive Rechte nach der DSGVO und § 1 DSG – nur Kapitel III?  DSB-D122.931/0003-DSB/2018, Bescheid vom

30.11.2018

• Sprache der Eingabe in grenzüberschreitenden Fällen: DSB- D130.092/0002-DSB/2018, Bescheid vom 21.09.2018

• Unmittelbare Strafbarkeit der jur. Person: W210 2138108-1, Erkenntnis BVwG vom 25.06.2018  Revision der FMA an VwGH erhoben

Zum Recht auf

Geheimhaltung

Geheimhaltung – 1

• DSB-D213.600/0001-DSB/2018, Bescheid vom 01.06.2018: Rückabwicklung einer Übergabe von Patientenkarteien (nicht rk.)

• DSB-D213.658/0002-DSB/2018, Bescheid vom

08.08.2018: GPS-Überwachung von Unternehmens-KFZ;

Anpassung der Rechtsgrundlage; keine Freiwilligkeit (nicht rk.)

• DSB-D123.204/0005-DSB/2018, Bescheid vom 05.10.2018: Digitaler Türspion in einem

Mehrparteienhaus; Verletzung im Recht auf Geheimhaltung; Untersagung (nicht rk.)

Geheimhaltung – 2

• DSB-D123.032/0003-DSB/2018, Bescheid vom 12.11.2018: Sportverband; Anführung von

Mannschaftsführern und deren Kontaktdaten auf der öffentlichen Website (rk.)

• DSB-D122.931/0003-DSB/2018, Bescheid vom 30.11.2018: Keine Verletzung im Recht auf

Geheimhaltung durch Einwilligung in Cookie-

Verwendung bei Besuch der Website einer Zeitung (rk.)

Zum Recht auf Auskunf

Auskunf

• DSB-D122.844/0006-DSB/2018, Bescheid vom 21.06.2018: Auskunft über Kontobewegungen;

Verhältnis zu anderen Auskunfts- und Einsichtsrechten (nicht rk.)

• DSB-D037.500/0194-DSB/2018, Bescheid vom 19.12.2018: Keine „Vorabbescheinigung“ der Rechtskonformität einer Auskunft (rk.)

• DSB-D123.223/0007-DSB/2018, Bescheid vom 26.11.2018: Kein Recht auf Feststellung, dass Auskunft verspätet erteilt wurde (rk.)

Zum Recht auf Löschung

und Berichtigung

Löschung/Berichtigung – 1

• DSB-D216.580/0002-DSB/2018, Bescheid vom 28.05.2018: Löschung mit Leistungsauftrag (rk.)

• DSB-D216.471/0001-DSB/2018, Bescheid vom

28.05.2018: Löschung mit Leistungsauftrag (Telekom- Unternehmen; Stamm- und Verkehrsdaten; rk.)

• DSB D123.211/0004 DSB/2018‑ ‑ , Bescheid vom

5.12.2018: überschießende Löschung aus Datenbank einer Kreditauskunftei und Antrag auf Berichtung

(nicht rk.)

Löschung/Berichtigung – 2

• DSB D123.193/0003-DSB/2018‑ , Bescheid vom

7.12.2018: Löschfrist für negative Zahlungsdaten in Datenbank einer Kreditauskunftei; Abgehen von Rsp der DSK (nicht rk.)

• DSB-D123.270/0009-DSB/2018, Bescheid vom 5.12.2018: Anonymisierung statt Löschung (rk.)

• DSB-D123.527/0004-DSB/2018, Bescheid vom

15.01.2019: Veröffentlichung von Daten eines Arztes auf einer Bewertungsplattform im Internet;

Abweisung (rk.)

Sonstiges

Sonstiges – 1

• DSB-D213.642/0002-DSB/2018, Bescheid vom 31.07.2018: Anpassung einer

Einwilligungserklärung (rk.)

• DSB-D485.000/0001-DSB/2018, Bescheid und Empfehlung vom 09.07.2018: Warnung

betreffend Dashcams (rk.)

Sonstiges – 2

• DSB-D123.051/0002-DSB/2018, Bescheid vom 06.07.2018: Ablehnung der Behandlung einer Beschwerde (nicht rk.)

• DSB-D123.077/0003-DSB/2018, Bescheid vom 13.08.2018: Onlinepostings; Medienprivileg für

Bürgerjournalismus; keine Zuständigkeit der DSB (rk.)

• DSB-D123.461/0004-DSB/2018, Bescheid vom

16.10.2018: Zuständigkeit der DSB gegenüber einer StA (nicht rk.)

Sonstiges – 3

• DSB-D123.800/0001-DSB/2018, Bescheid vom 28.11.2018: Keine Zuständigkeit der DSB für

behauptete Rechtsverletzungen des

Nationalrates (hier: Veröffentlichung von Protokollen eines U-Ausschusses) (rk.)

• DSB-D213.692/0001-DSB/2018, Bescheid vom 16.11.2018: umfangreiche Feststellung von

Verletzungen nach Kapitel IV DSGVO (rk.)

Sonstiges – 4

• DSB-D123.264/0007-DSB/2018, Bescheid vom

4.1.2019: keine parallele Verfahrensführung vor

DSB und Gericht in ein- und derselben Sache (nicht rk.)  siehe aber OGH, 20.12.2018, 6Ob 131/18k

• DSB D123.848/0001 DSB/2019‑ ‑

, Bescheid vom 22.1.2019, und DSB-D123.937/0001-DSB/2018, Bescheid vom 04.02.2019: Auslegung des Begriffs

„justizielle Tätigkeit“; keine Zuständigkeit der DSB

(Bescheid vom 22.01. rk.)

Verwaltungsstraf-

verfahren

Verwaltungsstrafverfahren

• DSB-D550.038/0003-DSB/2018, Straferkenntnis vom 12.09.2018: Unzulässige VÜ durch den Betreiber eines Glücksspiellokals; Strafe: EUR 4.800,00 (nicht rk.)

• DSB-D550.048/0004-DSB/2018, Straferkenntnis vom 18.10.2018: Unzulässige VÜ durch den Betreiber eines Kebabstandes; Strafe: 1.800,00 EUR (nicht rk.)

• DSB-D550.084/0002-DSB/2018, Straferkenntnis vom 27.09.2018: Verwendung einer Dashcam; Strafe:

300,00 EUR (rk.)

Verwaltungsstrafverfahren

• DSB-D550.033/0004-DSB/2018, Ermahnung vom 13.11.2018: Verwendung einer

Übersichtskamera (nicht rk.)

• DSB-D550.025/0001-DSB/2019,

Straferkenntnis vom 19.02.2019: Verdeckte VÜ über einen Zeitraum von 15 Monaten durch

einen Berufsdetektiv; Strafe: 6.700,00 EUR

(nicht rk.)

Weiterführende Informationen

• Website der DSB: www.dsb.gv.at

• Website des EDSA: https://edpb.europa.eu/

• Newsletter der DSB: erscheint vierteljährlich und kann unter dsb@dsb.gv.at bestellt werden

• Datenschutzbericht 2018: demnächst abrufbar auf der Website der DSB

• Leitlinien zur DSGVO: Abrufbar auf der Website der Art. 29- Gruppe (erreichbar über DSB-Website bzw. EDSA-Website)

• Leitfaden der Datenschutzbehörde zur DSGVO (abrufbar über DSB-Website)

Literatur und weiterführende Informationen zur DSGVO

Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):

• Ehmann/Selmayr, Datenschutz-Grundverordnung (Kommentar)

• Feiler/Forgó, EU-Datenschutz-Grundverordnung (Kommentar)

• Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg.), Kommentar zur Datenschutz-Grundverordnung

• Gola (Hrsg.), Datenschutz-Grundverordnung (Kommentar)

• Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung (Kommentar)

• Knyrim (Hrsg.), Datenschutz-Grundverordnung (Praxishandbuch)

• Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung (Kommentar)

• Pollirer/Weiss/Knyrim/Haidinger, DSGVO (Textausgabe)

• Sydow (Hrsg.), Europäische Datenschutzgrundverordnung (Kommentar)

Literatur und weiterführende Informationen zum DSG

Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):

• Bergauer/Jahnel, DSGVO und DSG (Textausgabe)

• Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG (Kommentar)

• Jelinek/Schmidl/Spanberger, Datenschutzgesetz (Kommentar)

• Knyrim, DatKomm

• Pollirer/Weiss/Knyrim/Haidinger, DSG (Textausgabe mit Erläuterungen)

Danke für Ihre Aufmerksamkeit!

Fragen?