Direkt zum Inhalt
Zur Übersicht

1 Jahr EU-Datenschutzgrundverordnung

Dr. Christine Knecht-Kleber LLM
Dr. Christine Knecht-Kleber LLM Aktualisiert am 17. Aug. 2020
MASSIVE ART Blog DSGVO

Am 25. Mai 2019 feierte die EU-Datenschutzgrundverordnung ihren ersten „Geburtstag“. Ein guter Anlass für eine kurze Bestandsaufnahme:

Die Panik vor den Millionenstrafen war unbegründet, hatte jedoch einen gewissen erzieherischen Effekt: Sie veranlasste die Unternehmen sich mit dem Thema Datenschutz ernsthaft zu befassen. Bislang gibt es – soweit ersichtlich – noch kein rechtskräftiges Straferkenntnis der Datenschutzbehörde. Die bislang in Österreich angedrohte höchste Geldbusse beläuft sich auf 4.800 Euro und betrifft eine unzulässige Videoüberwachung in einem Wettlokal. Ganz allgemein ist festzustellen, dass sich die Datenschutzbehörde recht häufig mit dem Thema Videoüberwachung zu befassen hat.

Auch die Anzahl der Beschwerden ist signifikant gestiegen. Die gute Nachricht aus unternehmerischer Sicht: Die Mehrzahl der Beschwerden bei der Datenschutzbehörde wurde aufgrund von Formalfehlern zurückgewiesen. Für einen Laien ist es offensichtlich nicht ohne weiteres möglich, eine juristisch korrekte Beschwerde zu formulieren. Im Übrigen behält sich die Datenschutzbehörde die Veröffentlichung von Entscheidungen vor.

Nachfolgend möchte ich ein paar praktische Fragestellungen erläutern:

Databreach – ist jede Datenpanne bei der Datenschutzbehörde zu melden oder gar der Betroffene zu unterrichten?

Eine Datenpanne liegt vor, wenn Daten unbefugt oder unabsichtlich offengelegt, verändert oder vernichtet werden oder der Verantwortliche selbst keinen Zugang mehr zu den Daten hat.

Nicht jede Datenpanne löst eine Informationspflicht aus. Wird ein verschlüsselter Datenträger zum Beispiel gestohlen, ist keine Meldung an die Datenschutzbehörde und keine Information des Betroffen erforderlich, solange 

  • die Daten „state of the art“ verschlüsselt und
  • Back-Ups vorhanden sind und der einzige Schlüssel intakt ist.
Dem Gegenüber löst eine Verletzung von Gesundheitsdaten und anderen sensiblen Daten (Art. 9 DSGVO) immer eine Meldepflicht bei der Datenschutzbehörde aus sowie die Benachrichtigungspflicht des Betroffenen.

Die rechtskonforme Einwilligung

Die Einwilligung ist eine von mehreren möglichen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Zu beachten ist, dass sie freiwillig abgegeben wird und der Verantwortliche in transparenter Weise über den Verarbeitungszweck informiert. Freiwilligkeit ist in der Regel gegeben, wenn der Betroffene eine Wahlmöglichkeit hat, beispielsweise, dass sein Foto nicht veröffentlicht wird. Zudem ist immer auf das Recht des jederzeitigen Widerrufs hinzuweisen.

Ausserdem ist das Kopplungsverbot beachtlich. Das heißt es darf keine Einwilligung verlangt werden, wenn bereits eine andere Rechtsgrundlage (z.B. die Vertragserfüllung) vorliegt.

PRAXISTIPP: Da die Einwilligung jederzeit widerrufen werden kann, ist es ratsam – soweit rechtlich möglich – die Datenverarbeitung auf eine andere Rechtsgrundlage zu stützen (z.B. die berechtigten Interessen oder die Erfüllung einer (vor-)vertraglichen Verpflichtung).

Newsletter-Versand – Einwilligung erforderlich?

Grundsätzlich ist der Versand von Newslettern zu Werbezwecken ohne vorherige Einwilligung nicht gestattet. Für die Einholung der Einwilligung sollte das Double-Opt-In Verfahren eingesetzt werden.

Aufgrund der umfassenden Dokumentationspflichten nach der DSGVO haben viele Unternehmen die Einwilligung vor dem 25.05.2018 sicherheitshalber neuerlich eingeholt.

Dies wäre in vielen Fällen gar nicht nötig gewesen wäre. Es gibt nämlich eine wichtige Ausnahme im Telekommunikationsgesetz (§ 107 Abs 3 TKG): Eine Einwilligung für den Versand des Newsletters ist nicht erforderlich, soweit alle nachfolgenden Kriterien erfüllt sind:

  1. Adressat ist bestehender Kunde (kein Interessent)
  2. Werbung für eigene, gleiche oder ähnliche, Waren/Dienstleistungen
  3. Möglichkeit des jederzeitigen Widerrufs („Unsubscribe“)
  4. Kunde ist nicht in der Robinsonliste eingetragen.

Videoüberwachung – Wann ist keine Datenschutzfolgen-Abschätzung notwendig?

Die DSGVO enthält keine Bestimmungen zur Videoüberwachung. Sie ist aufgrund einer Öffnungsklausel im österreichischen Datenschutzgesetz geregelt (§§ 12 ff DSG).

Bestimmte Datenverarbeitungen verlangen sogar eine Datenschutz-Folgenabschätzung („systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche“). Nach der „White list“ der Datenschutzbehörde ist für ausgesuchte Bildverarbeitungstätigkeiten inklusive Akustikverarbeitung keine Datenschutz-Folgenabschätzung nötig:

  • Überwachung von privaten Liegenschaften (bebaut oder unbebaut) zum Schutz von Personen oder Sachen, vorausgesetzt angrenzende öffentliche Verkehrsflächen werden bis max. 50 cm erfasst und die Speicherdauer beträgt max. 72 Stunden
  • Echtzeitaufnahmen (Bild und Ton) ohne Speicherung
  • Videoüberwachung zu Dokumentationszwecken ohne identifizierende Erfassung unbeteiligter Personen, die weder für straf- oder zivilrechtliche Zwecke verwendet werden.
Werden die obigen Voraussetzungen nicht erfüllt, etwa weil die Speicherfrist von 72 Stunden überschritten wird, ist eine Datenschutz-Folgenabschätzung durchzuführen.
 
Dessen ungeachtet erfordert jede Videoüberwachung eine Rechtsgrundlage, zum Beispiel in Form einer Einwilligung oder auf Basis der berechtigten Interessen des Unternehmers als Verantwortlichen.
 
PRAXISTIPP: Es ist tunlichst darauf zu achten, dass die Videoüberwachungsanlage möglichst nicht den öffentlichen Gehsteig oder die Strasse erfasst und sie sollte das gelindeste Mittel zur Erreichung eines bestimmten Zwecks sein.
 
Eine Videoüberwachungsanlage ist zum Beispiel ein untaugliches Mittel zur Messung von Lärm – so eine kürzlich ergangene Entscheidung des Obersten Gerichtshofs (6 Ob 231/16p).
 
Im Übrigen muss die Videoüberwachung entsprechend gekennzeichnet werden, idealerweise unter Verwendung eines Piktogramms nach DIN 33450.

Videoüberwachung – Zustimmung der Mitarbeiter erforderlich?

Werden durch eine Videoüberwachung Mitarbeiter erfasst, so ist die Einholung einer ausdrücklichen Zustimmung notwendig (soweit es keinen Betriebsrat gibt und eine Betriebsvereinbarung abgeschlossen wurde).

Auch hier treffen den Arbeitgeber umfassende Informationspflichten, die dem Mitarbeiter zur Verfügung zu stellen sind: Verwendungszweck, überwachte Bereiche, Installationspläne, Zutritts- und Berechtigungssystem, Protokollierung der Verwendungsvorgänge, Aufbewahrungsdauer, Löschfristen etc.)

Ausblick

Abschliessend ist festzustellen, dass die DSGVO – bei aller Kritik – wesentlich zu einem Umdenken und einer Sensibilisierung bei der Verarbeitung von Personendaten geführt hat. Das ist zu begrüssen. Viele Unternehmen haben ihre internen Prozesse noch nicht an die DSGVO vollständig angepasst. Wie lange die Schonfrist der Datenschutzbehörde dauern wird, ist schwer vorherzusagen. Die Zahl der amtswegigen Prüfverfahren steigt im Vergleich zum Vorjahr.

PRAXISTIPP: Abonnieren Sie daher den Newsletter der Datenschutzbehörde, um über die letzten Entwicklungen informiert zu sein.

Dr. Christine Knecht-Kleber LL.M.
Dr. Christine Knecht-Kleber LLM
Die Spezialistin für Informations- und Wirtschaftsrecht ist geprüfte Datenschutzbeauftragte. Sie berät Unternehmen in sämtlichen Rechtsfragen – vom Vertragsrecht über Datenschutz bis hin zum Markenrecht.

Mehr Blogartikel zum Thema

Alle Insights erhalten
Monitoring & Security
Google Fonts Abmahnwelle
Florian Preg Florian Preg 26. Aug.
Privacy Shield ist Rechtsgeschichte - Handlungstipps für Ihr Unternehmen
Das Privacy Shield ist Rechtsgeschichte: Handlungstipps für Ihr Unternehmen
Dr. Christine Knecht-Kleber LLM Dr. Christine Knecht-Kleber LLM 26. Okt.
Ist Ihre Website Barrierfrei Animation Overview
Ist Ihre Website barrierefrei?
Claudia Mangold Arias Claudia Mangold Arias 24. Sept.