1. Bescheid zur DSGVO, was daraus lernen? (NL 16b/18)

Bescheid der Datenschutzbehörde: Zugang zu alten Bankdaten muss gratis sein!
Können wir daraus etwas „lernen“?

Wie schon angekündigt, ist mit dem 25.5. die DSGVO Vorbereitung NICHT erledigt. Viele Themen sind nur angerissen, aber nicht exakt definiert. Man muss nun warten, wie die Datenschutzbehörde konkret Themen definiert. Dazu wird sie Black- und White-Listen herausgeben, in denen definiert wird, was erlaubt und keinesfalls erlaubt ist. Und sie wird sich über Verhaltensweisen, die an sie herangetragen werden, ein Urteil bilden und dieses in Bescheiden festlegen.

Solche Entscheidungen sollte man nicht ignorieren, sondern nutzen, um zu prüfen, ob das bisher eigene Vorgehen richtig war und falls nein, dieses adaptieren.

RA Mag. Stephan Novotny, Foto: Stephan Huger

Vor wenigen Tagen berichtete DER STANDARD darüber, dass es einen ersten Bescheid der Datenschutzbehörde gebe. Zwar findet man den Bescheid noch nicht auf der Homepage der Behörde oder im RIS-System. Dennoch sind die Erst-Informationen dazu sehr interessant, auch über den Anlassfall und Branchengrenzen hinaus. Dazu unten mehr.

Auf jeden Fall kann man aus diesem Fall lernen, dass man Anfragen keineswegs ignorieren darf.
Und nach einer kurzen Beschreibung des Falls erinnern wir auch an das bis dato ziemlich unbeachtete „Recht auf Datenübertragbarkeit“ , das auch uns in der Praxis treffen kann.

Doch nun zum Anlassfall:

Ein Kunde hatte im Zuge eines Auskunftsbegehrens alte Kontoauszüge verlangt. Die Raiffeisenbank Wien-Niederösterreich wollte für jene Daten, die nicht mehr im Raiffeisen-Finanzportal ELBA angezeigt wurden, Kontoauszüge nur für 30 Euro pro Jahr liefern. Konkret interessierten den Kunden Kontobewegungen vor 5 Jahren, die Bank hätte ihm aber nur das aktuelle Jahr kostenlos angeboten, für jedes weitere Jahr 30 Euro verlangt.

Daraufhin stellte der Kunde ein Auskunftsbegehren. UND ERHIELT KEINE ANTWORT. Von so einem Vorgehen können wir Ihnen nur ABRATEN, wenn Sie Auskunfts- und Löschanfragen erhalten. Denn die Folge war, dass sich der Auskunftswerber bei der Datenschutzbehörde DSB beschwerte.

Über das korrekte Vorgehen (wann, in welcher Form, wie stellt man Identität fest, welche Formulare, etc.) haben wir in einem Artikel bereits genau berichtet. Zum Nachlesen hier klicken…. Und die benötigten Formulare können Sie hier herunterladen…

Nach Prüfung des Sachverhalts entschied die DSB, dass es sich hier um eine Verletzung des Rechts auf Auskunft handle. Die Bank müsse „die ersuchten Kontoauszüge innerhalb einer Frist von zwei Wochen zur Verfügung stellen – und künftig kostenlos Auskunft erteilen, wenn von dem Recht Gebrauch gemacht wird“ so zitiert DER STANDARD.

Und weiter: Alle Kontoauszüge zu verlangen sei nicht exzessiv!

Der Argumentation der Bank, dass personelle Ressourcen und damit Kosten entstehen würden, folgte die Behörde nicht. Die Bank muss also kostenlos Auskunft erteilen und auch historische Kontoauszüge zur Verfügung stellen.

Da uns der Bescheid nicht im Wortlaut vorliegt, können wir nur mutmaßen, ob neben dem Recht auf Auskunft nicht auch das Recht auf Übertragbarkeit bei der Urteilsfindung eine Rolle spielte. Da über letztes Recht erst ganz selten zu lesen war, möchten wir dieses in Erinnerung rufen, denn es könnte etwa dann eine Rolle spielen, wenn ein Kunde seine Versicherung wechselt.

Zur Erinnerung: Die DSGVO brachte bzw. verschärfte die Rechte der Betroffenen.
Es gibt das Recht auf Information (beim Erheben der Daten), auf Auskunft, auf Berichtigung, auf Löschen und Vergessenwerden. Weiters ein Recht auf Einschränkung der Verarbeitung (wenn sich das Löschen nicht sofort umsetzen lässt) und ein Recht auf Datenübertragbarkeit (etwa, um Daten von einer Versicherung zu einer anderen mitzunehmen).
Details zu den Betroffenenrechten können Sie hier nachlesen…

 

Foto: Stephan Huger

 

RA Mag. Stephan Novotny
1010 Wien, Weihburggasse 4/2/22
kanzlei@ra-novotny.at

Schreibe einen Kommentar