Datenschutz in der Spruchpraxis -
Grundsätzliche Rechtsfragen und erste Entscheidungen der DSB
Dr. Matthias Schmidl
Stv. Leiter der Österreichischen Datenschutzbehörde
Alle im Rahmen dieses Vortrages getroffenen Ableitungen aus Entscheidungen der DSB geben
ausschließlich die persönliche Meinung des
Vortragenden wieder und binden die DSB nicht.
Allgemeines
DSGVO trat am 25. Mai 2018 in Geltung …
… und die Welt dreht sich noch immer!
3/4 Jahr DSGVO – Fakten 1 (Stand: 15.01.2019)
• 1.617 Beschwerden, davon 1.009 Inland und 608 grenzüberschreitend
• 591 Meldungen über die Verletzung des Schutzes personenbezogener Daten nach DSGVO („Data Breach Notification“), davon 537 Inland und 54 grenzüberschreitend
• 40 Meldungen über die Verletzung des Schutzes personenbezogener Daten nach TKG 2003
• 107 amtswegige Prüfverfahren
• 2 Konsultationsverfahren
• 8 Anträge auf Genehmigung von Verhaltensregeln
• 136 Verwaltungsstrafverfahren (davon 75 übernommen von BVBen)
• 2 Anträge auf Genehmigung von Standardvertragsklauseln
• 1 Antrag auf Genehmigung von verbindlichen internen Vorschriften (BCR)
3/4 Jahr DSGVO – Fakten 2
Vergleich zu 2017 (ganzes Jahr):
• 489 Beschwerden/Eingaben
• 93 amtswegige Prüfverfahren
• 66 Meldungen über die Verletzung des
Schutzes personenbezogener Daten nach TKG 2003
• sonst keine Vergleichswerte
3/4 Jahr DSGVO – Fakten 3
Personal:
•
6 zusätzliche Planstellen des höheren Dienstes
•
Mittel für 3 zusätzliche Bedienstete des Fachdienstes
Behördenstruktur:
•
Gliederung in Büros mit spezifischen Aufgabenbereichen
•
Verwaltungsstrafverfahren – keine personelle
Überschneidung mit Administrativverfahren
Allgemeines
• Verfahren nach § 30 DSG 2000 sind als
Beschwerdeverfahren/amtswegige Prüfverfahren fortzuführen bescheidmäßige Erledigung
• Verfahren nach § 13 DSG 2000 (Internationaler Datenverkehr) im Regelfall Einstellung, weil keine Genehmigung mehr
erforderlich ist
• Verfahren nach § 31 DSG 2000 Weiterführung als Beschwerdeverfahren
• Verfahren nach §§ 46, 47 DSG 2000 Weiterführung als Verfahren nach §§ 7, 8 DSG
• Verfahren nach § 52 DSG 2000 Übernahme von BVBen und ggf.
Fortführung unter Berücksichtigung des Günstigkeitsprinzips
Besondere
Rechtsfragen
Besondere Rechtfragen – 1
•
Übergangsbestimmungen
•
Unterschiedliche Auslegung von § 69 Abs. 4 DSG durch DSB und BVwG
(DSB-D122.954/0010-DSB/2018 vs. W253 2140428-1
Revision beim VwGH anhängig)
•
§ 69 Abs. 5 DSG
Günstigkeitsprinzip und
Behördenzuständigkeit (siehe dazu auch
VwSlg 17.931 A/2010 und VwSlg 19.453 A/2016)
Besondere Rechtfragen – 2
• Grundrecht auf Datenschutz nach § 1 DSG (2000) (DSB- D123.089/0002-DSB/2018, Bescheid vom 19.07.2018, und DSB-D216.713/0006-DSB/2018, Bescheid vom 13.09.2018)
• Subjektive Rechte nach der DSGVO und § 1 DSG – nur Kapitel III? DSB-D122.931/0003-DSB/2018, Bescheid vom
30.11.2018
• Sprache der Eingabe in grenzüberschreitenden Fällen: DSB- D130.092/0002-DSB/2018, Bescheid vom 21.09.2018
• Unmittelbare Strafbarkeit der jur. Person: W210 2138108-1, Erkenntnis BVwG vom 25.06.2018 Revision der FMA an VwGH erhoben
Zum Recht auf
Geheimhaltung
Geheimhaltung – 1
• DSB-D213.600/0001-DSB/2018, Bescheid vom 01.06.2018: Rückabwicklung einer Übergabe von Patientenkarteien (nicht rk.)
• DSB-D213.658/0002-DSB/2018, Bescheid vom
08.08.2018: GPS-Überwachung von Unternehmens-KFZ;
Anpassung der Rechtsgrundlage; keine Freiwilligkeit (nicht rk.)
• DSB-D123.204/0005-DSB/2018, Bescheid vom 05.10.2018: Digitaler Türspion in einem
Mehrparteienhaus; Verletzung im Recht auf Geheimhaltung; Untersagung (nicht rk.)
Geheimhaltung – 2
• DSB-D123.032/0003-DSB/2018, Bescheid vom 12.11.2018: Sportverband; Anführung von
Mannschaftsführern und deren Kontaktdaten auf der öffentlichen Website (rk.)
• DSB-D122.931/0003-DSB/2018, Bescheid vom 30.11.2018: Keine Verletzung im Recht auf
Geheimhaltung durch Einwilligung in Cookie-
Verwendung bei Besuch der Website einer Zeitung (rk.)
Zum Recht auf Auskunf
Auskunf
• DSB-D122.844/0006-DSB/2018, Bescheid vom 21.06.2018: Auskunft über Kontobewegungen;
Verhältnis zu anderen Auskunfts- und Einsichtsrechten (nicht rk.)
• DSB-D037.500/0194-DSB/2018, Bescheid vom 19.12.2018: Keine „Vorabbescheinigung“ der Rechtskonformität einer Auskunft (rk.)
• DSB-D123.223/0007-DSB/2018, Bescheid vom 26.11.2018: Kein Recht auf Feststellung, dass Auskunft verspätet erteilt wurde (rk.)
Zum Recht auf Löschung
und Berichtigung
Löschung/Berichtigung – 1
• DSB-D216.580/0002-DSB/2018, Bescheid vom 28.05.2018: Löschung mit Leistungsauftrag (rk.)
• DSB-D216.471/0001-DSB/2018, Bescheid vom
28.05.2018: Löschung mit Leistungsauftrag (Telekom- Unternehmen; Stamm- und Verkehrsdaten; rk.)
• DSB D123.211/0004 DSB/2018‑ ‑ , Bescheid vom
5.12.2018: überschießende Löschung aus Datenbank einer Kreditauskunftei und Antrag auf Berichtung
(nicht rk.)
Löschung/Berichtigung – 2
• DSB D123.193/0003-DSB/2018‑ , Bescheid vom
7.12.2018: Löschfrist für negative Zahlungsdaten in Datenbank einer Kreditauskunftei; Abgehen von Rsp der DSK (nicht rk.)
• DSB-D123.270/0009-DSB/2018, Bescheid vom 5.12.2018: Anonymisierung statt Löschung (rk.)
• DSB-D123.527/0004-DSB/2018, Bescheid vom
15.01.2019: Veröffentlichung von Daten eines Arztes auf einer Bewertungsplattform im Internet;
Abweisung (rk.)
Sonstiges
Sonstiges – 1
• DSB-D213.642/0002-DSB/2018, Bescheid vom 31.07.2018: Anpassung einer
Einwilligungserklärung (rk.)
• DSB-D485.000/0001-DSB/2018, Bescheid und Empfehlung vom 09.07.2018: Warnung
betreffend Dashcams (rk.)
Sonstiges – 2
• DSB-D123.051/0002-DSB/2018, Bescheid vom 06.07.2018: Ablehnung der Behandlung einer Beschwerde (nicht rk.)
• DSB-D123.077/0003-DSB/2018, Bescheid vom 13.08.2018: Onlinepostings; Medienprivileg für
Bürgerjournalismus; keine Zuständigkeit der DSB (rk.)
• DSB-D123.461/0004-DSB/2018, Bescheid vom
16.10.2018: Zuständigkeit der DSB gegenüber einer StA (nicht rk.)
Sonstiges – 3
• DSB-D123.800/0001-DSB/2018, Bescheid vom 28.11.2018: Keine Zuständigkeit der DSB für
behauptete Rechtsverletzungen des
Nationalrates (hier: Veröffentlichung von Protokollen eines U-Ausschusses) (rk.)
• DSB-D213.692/0001-DSB/2018, Bescheid vom 16.11.2018: umfangreiche Feststellung von
Verletzungen nach Kapitel IV DSGVO (rk.)
Sonstiges – 4
• DSB-D123.264/0007-DSB/2018, Bescheid vom
4.1.2019: keine parallele Verfahrensführung vor
DSB und Gericht in ein- und derselben Sache (nicht rk.) siehe aber OGH, 20.12.2018, 6Ob 131/18k
• DSB D123.848/0001 DSB/2019‑ ‑
, Bescheid vom 22.1.2019, und DSB-D123.937/0001-DSB/2018, Bescheid vom 04.02.2019: Auslegung des Begriffs
„justizielle Tätigkeit“; keine Zuständigkeit der DSB
(Bescheid vom 22.01. rk.)
Verwaltungsstraf-
verfahren
Verwaltungsstrafverfahren
• DSB-D550.038/0003-DSB/2018, Straferkenntnis vom 12.09.2018: Unzulässige VÜ durch den Betreiber eines Glücksspiellokals; Strafe: EUR 4.800,00 (nicht rk.)
• DSB-D550.048/0004-DSB/2018, Straferkenntnis vom 18.10.2018: Unzulässige VÜ durch den Betreiber eines Kebabstandes; Strafe: 1.800,00 EUR (nicht rk.)
• DSB-D550.084/0002-DSB/2018, Straferkenntnis vom 27.09.2018: Verwendung einer Dashcam; Strafe:
300,00 EUR (rk.)
Verwaltungsstrafverfahren
• DSB-D550.033/0004-DSB/2018, Ermahnung vom 13.11.2018: Verwendung einer
Übersichtskamera (nicht rk.)
• DSB-D550.025/0001-DSB/2019,
Straferkenntnis vom 19.02.2019: Verdeckte VÜ über einen Zeitraum von 15 Monaten durch
einen Berufsdetektiv; Strafe: 6.700,00 EUR
(nicht rk.)
Weiterführende Informationen
• Website der DSB: www.dsb.gv.at
• Website des EDSA: https://edpb.europa.eu/
• Newsletter der DSB: erscheint vierteljährlich und kann unter dsb@dsb.gv.at bestellt werden
• Datenschutzbericht 2018: demnächst abrufbar auf der Website der DSB
• Leitlinien zur DSGVO: Abrufbar auf der Website der Art. 29- Gruppe (erreichbar über DSB-Website bzw. EDSA-Website)
• Leitfaden der Datenschutzbehörde zur DSGVO (abrufbar über DSB-Website)
Literatur und weiterführende Informationen zur DSGVO
Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):
• Ehmann/Selmayr, Datenschutz-Grundverordnung (Kommentar)
• Feiler/Forgó, EU-Datenschutz-Grundverordnung (Kommentar)
• Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg.), Kommentar zur Datenschutz-Grundverordnung
• Gola (Hrsg.), Datenschutz-Grundverordnung (Kommentar)
• Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung (Kommentar)
• Knyrim (Hrsg.), Datenschutz-Grundverordnung (Praxishandbuch)
• Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung (Kommentar)
• Pollirer/Weiss/Knyrim/Haidinger, DSGVO (Textausgabe)
• Sydow (Hrsg.), Europäische Datenschutzgrundverordnung (Kommentar)
Literatur und weiterführende Informationen zum DSG
Stand: März 2019 (alphabetische, nicht vollständige Aufzählung):
• Bergauer/Jahnel, DSGVO und DSG (Textausgabe)
• Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG (Kommentar)
• Jelinek/Schmidl/Spanberger, Datenschutzgesetz (Kommentar)
• Knyrim, DatKomm
• Pollirer/Weiss/Knyrim/Haidinger, DSG (Textausgabe mit Erläuterungen)