Was tat die Datenschutz-Behörde in den ersten 6 Monaten? (NL 28b/18)

Ein interessantes Urteil zur maximalen Speicherdauer personenbezogener Daten liegt vor.
Es ist das erste Urteil seit dem 25.5.! Womit beschäftigte sich die Datenschutzbehörde in den ersten 6 Monaten sonst noch?

Vorgestern schlagzeilte DER STANDARD „Bislang vier Strafen wegen DSGVO-Verstößen seit Mai. 59 Prozent aller heimischen Unternehmen sollen immer noch bei der Umsetzung hinterherhinken.“

Wer nur die Überschrift las, hat sich wohl entspannt in den Sessel zurück fallen lassen und sich bestätigt gefühlt, das Thema zu ignorieren. Motto: Steht sich doch nicht dafür, dass ich mich mit dem Thema weiterhin beschäftige. Diese Einschätzung wird auch dadurch bestärkt, dass Österreich in seiner nationalen Umsetzung der DSGVO die Strafdrohungen merklich entschärft hat (wir erinnern uns an das Motto: „Mahnen statt strafen“). Zwar halten namhafte Juristen diese Vorgehensweise als bedenklich / für unzulässig und ein EU-Verfahren steht im Raum. Was aber durch die langsam mahlenden (EU-) Mühlen noch ein wenig dauern wird.

Also zurücklehnen? Nein, keinesfalls.
Vergessen Sie nicht, die DSGVO ist das erste EU-GESETZ überhaupt. Bisherige EU-Vorgaben waren EU-RICHTLINIEN, wo der EU-Gesetzgeber eine Mindestvorgabe definiert. In solchen Fällen kann der nationale Gesetzgeber die Umsetzung landesspezifisch gestalten, so lang er nicht die Mindestvorgaben verletzt.

Die DSGVO dagegen ist – nach einer 2-jährigen Übergangsfrist bis 25.5.2018 – sofort und unverändert in allen EU-Ländern anzuwenden. Und dort findet sich nichts von einem Ansatz „Mahnen statt strafen“, sondern das genaue Gegenteil. Es wurden ganz bewusst horrende Strafen von bis zu 20 Mio. Euro oder 4 % des Konzern-Umsatzes definiert, um die Ernsthaftigkeit des Anliegens und Wichtigkeit des Datenschutzes zu unterstreichen. Selbst wenn nur niedrigere Strafen zur Anwendung kommen würden, wäre dies für den Großteil der österreichischen Firmen durchaus existenzbedrohend.

Vergessen Sie weiters nicht, dass die Finanz- und Versicherungsbranche sehr viele personenbezogene und auch so manche heikle, sensible Daten der Kunden abspeichert (Gesundheitsdaten!). Es ist also nur eine Frage der Zeit, bis die Datenschutzbehörde DSB hier Detail-Prüfungen vor Ort vornehmen wird – auch wenn sich vielleicht noch kein Kunde beschwert hat.

Doch warum gab es in den ersten 6 Monaten erst so wenige (und noch dazu so geringe) Strafen?
Die geringe Höhe ist rasch erklärt. Es wurden bisher keine großen Verfahren mit gravierenden Verfehlungen beendet und die Bestraften haben aktiv mit der Behörde kooperiert, was sich positiv auf die Strafhöhe auswirkte. Daher wurden lediglich Strafen von 300 bis 4.800 Euro verhängt. Die bisher abgewickelten Verfahren haben sich hauptsächlich mit dem Themenkreis „unzulässige Videoüberwachung“ beschäftigt und dieses Vergehen wurde „human bestraft“.

Bevor wir auf ein sehr interessantes Urteil zur Begrenzung der Speicherdauer eingeben, noch ein paar weitere Fakten zu den Verfahren bei der DSB.

[Inhalt ist gesperrt]

Entschuldigung, der komplette Inhalt ist nur für Mitglieder sichtbar!
LOGIN FÜR MITGLIEDER – BITTE HIER KLICKEN >>

IVVA Mitgliedschaft jetzt beantragen >>

Ich möchte künftig topaktuell informiert werden. Senden Sie mir Ihre kostenlosen IVVA-News zu.

MITGLIEDER LOGIN