Wer rastet, der rostet gilt auch im Datenschutzrecht. In diesem Sinne bietet der Jahresanfang die Möglichkeit, wichtige Eckpunkte anhand aktueller Entwicklungen und Entscheidungen wieder in Erinnerung zu rufen und die eigenen Prozesse mit dem mittlerweile etablierten Marktstandard abzugleichen. Unsere DORDA Datenschutzexperten geben Ihnen dafür wie gewohnt eine Guideline:
Positives Fazit der Branchenprüfung 2023
Im Rahmen ihrer Schwerpunktprüfung untersuchte die Datenschutzbehörde 2023 ausgewählte Kreditinstitute. DORDA hat einige von ihnen im Verfahren begleitet und bei der intensiven Aufarbeitung im Unternehmen unterstützt. Besonders im Fokus stand als Teil der europaweiten Erhebung über den EDSA dabei unter anderem die Stellung der Datenschutzbeauftragten. Abseits davon wurden die wesentlichen Finanzdienstleistungen, Löschkonzepte, Datentransfer in Drittstaaten und DSMS genauer unter die Lupe genommen. Ein besonderer Fokus lag dabei vor allem auf Bonitätsbewertungen, Einsatz von AI sowie automatisierten Einzelentscheidungen. Das Fazit der Behörde zur Prüfung ist dabei durchwegs positiv: "Die DSGVO ist in der Praxis angekommen", resümiert Matthias Schmidl, seit 1.1.2024 neuer Leiter der Datenschutzbehörde. Grobe Verfehlungen wurden keine entdeckt, die Verfahren bereits eingestellt. Nach der Branchenprüfung ist jedoch vor der Branchenprüfung. Denn auch im Jahr 2024 ist wieder eine Schwerpunktprüfung der DSB geplant, wobei der Sektor erst knapp nach deren Beginn veröffentlicht werden wird. Wir halten Sie wie gewohnt im Rahmen unserer Clarity Talks dazu am Laufenden.
Abschluss von Verwaltungsstrafverfahren bringen neue Erkenntnisse
Wie in unserem letzten Newsletter berichtet, ist nun die Relevanz des Verschuldens iZm DSGVO-Verstößen durch den EuGH geklärt: Voraussetzung für eine Geldbuße ist eine Verletzung der DSGVO, die schuldhaft von einem im Namen der juristischen Person handelnden Menschen verursachte wurde. Das im österreichischen Verwaltungsstrafrecht bisher übliche Abstellen auf einen Sorgfaltsverstoß der Geschäftsführung bzw des Vorstands ist dagegen nicht mehr zwingend erforderlich. Die Datenschutzbehörde hat unmittelbar nach der Entscheidung zahlreiche anhängige, bisher aber unterbrochene Verwaltungsstrafverfahren fortgesetzt. Die ersten Bescheide dazu wurden bereits im RIS veröffentlicht (siehe hier, hier und hier) und bieten einen Ausblick auf die zukünftige Behördenpraxis iZm Verwaltungsstrafen. Sachlich standen dabei die Rechtsgrundlage der Verarbeitung, die Pflichten des Verantwortlichen und, wie so oft, die Betroffenenrechte im Fokus:
- So stützte ein Lokalbetreiber die Rechtmäßigkeit seiner Videoüberwachung auf eine unwirksame – weil unfreiwillige – Einwilligung seiner Mitarbeiter im Arbeitsvertrag. Zusätzlich verstieß er mit einer Speicherdauer der Aufnahmen von 14 Tagen auch gegen den Grundsatz der Datenminimierung gem Art 5 Abs 1 lit c DSGVO. Darüber hinaus hatte der Verantwortliche kein Verarbeitungsverzeichnis. Die Behörde verhängte dafür eine Gesamtgeldbuße von EUR 20.000.
- Die DSB kontaktierte einen Verantwortlichen mehrmals im Rahmen eines Beschwerdeverfahrens eines Betroffenen, zuletzt auch direkt den Datenschutzbeauftragten. Jedoch erfolgte keinerlei Mitwirkung am Beschwerdeverfahren. Die Folge war eine Geldbuße in der Höhe von EUR 10.000.
- Bei der Umdeutung eines Auskunftsbegehrens in einen Antrag auf Löschung durch den Datenschutzbeauftragten nahm die DSB Fahrlässigkeit an und verhängte eine Geldbuße von EUR 9.500.
In allen drei Fällen wurde das Verschulden auf Basis der Handlungen von Mitarbeitern der juristischen Person angenommen. Dies zeigt die Wichtigkeit von internen Datenschutz-Schulungen für alle Mitarbeiter.
Auskunftsrecht der Betroffenen als Dauerbrenner
Das Auskunftsrecht bleibt das meistgenutzte Betroffenenrecht und sorgt gleichzeitig weiterhin für viel Unsicherheit und Kopfzerbrechen in der Praxis. Aktuelle Entscheidungen verdeutlichen die in der Praxis essenziellen Eckpfeiler zum rechtskonformen Umgang mit den weiterhin zunehmenden Anfragen:
- Die Zusammenarbeit mit der Behörde iZm mit Beschwerdeverfahren von Betroffenen ist gem Art 31 DSGVO eine zentrale Aufgabe des Verantwortlichen. Bei Verletzung dieser Mitwirkungspflicht kann eine empfindliche Verwaltungsstrafe drohen, wie der oben beschriebene Strafbescheid zeigt.
- Als Erinnerung: Die Auskunftserteilung ist gem § 24 Abs 6 DSG auch noch während dem laufenden Verfahren möglich. Diesfalls stellt die Behörde das Verfahren ein, wie nicht nur die bisherige Linie der DSB, sondern nun auch eine aktuelle Bestätigung durch das BVwG zeigt.
- Bei vollständiger Erteilung der Auskunft vor Abschluss des Verfahrens hat der Betroffene kein subjektives öffentliches Recht auf Feststellung einer (vergangenen) Verletzung in seinen Rechten. Dies streicht das BVwG in einer jüngst ergangenen Erkenntnis explizit hervor. Dadurch kann sich der Betroffene in einem etwaigen nachgelagerten Schadenersatzprozess nicht auf die Bindungswirkung der Feststellung einer Rechtsverletzung stützen. Das wirkt sich entsprechend auf die Beweislast für den Schaden und dessen verschuldete Verursachung aus.
Gerne laden wir Sie zu unserem ersten DSGVO Clarity Talk im neuen Jahr, am 20.3.2024 ein, um diese Erkenntnisse und weitere lessons learnt im Detail zu besprechen.