Was tat die Datenschutz-Behörde in den ersten 6 Monaten? (NL 28b/18)

Ein interessantes Urteil zur maximalen Speicherdauer personenbezogener Daten liegt vor.
Es ist das erste Urteil seit dem 25.5.! Womit beschäftigte sich die Datenschutzbehörde in den ersten 6 Monaten sonst noch?

Vorgestern schlagzeilte DER STANDARD „Bislang vier Strafen wegen DSGVO-Verstößen seit Mai. 59 Prozent aller heimischen Unternehmen sollen immer noch bei der Umsetzung hinterherhinken.“

Wer nur die Überschrift las, hat sich wohl entspannt in den Sessel zurück fallen lassen und sich bestätigt gefühlt, das Thema zu ignorieren. Motto: Steht sich doch nicht dafür, dass ich mich mit dem Thema weiterhin beschäftige. Diese Einschätzung wird auch dadurch bestärkt, dass Österreich in seiner nationalen Umsetzung der DSGVO die Strafdrohungen merklich entschärft hat (wir erinnern uns an das Motto: „Mahnen statt strafen“). Zwar halten namhafte Juristen diese Vorgehensweise als bedenklich / für unzulässig und ein EU-Verfahren steht im Raum. Was aber durch die langsam mahlenden (EU-) Mühlen noch ein wenig dauern wird.

Also zurücklehnen? Nein, keinesfalls.
Vergessen Sie nicht, die DSGVO ist das erste EU-GESETZ überhaupt. Bisherige EU-Vorgaben waren EU-RICHTLINIEN, wo der EU-Gesetzgeber eine Mindestvorgabe definiert. In solchen Fällen kann der nationale Gesetzgeber die Umsetzung landesspezifisch gestalten, so lang er nicht die Mindestvorgaben verletzt.

Die DSGVO dagegen ist – nach einer 2-jährigen Übergangsfrist bis 25.5.2018 – sofort und unverändert in allen EU-Ländern anzuwenden. Und dort findet sich nichts von einem Ansatz „Mahnen statt strafen“, sondern das genaue Gegenteil. Es wurden ganz bewusst horrende Strafen von bis zu 20 Mio. Euro oder 4 % des Konzern-Umsatzes definiert, um die Ernsthaftigkeit des Anliegens und Wichtigkeit des Datenschutzes zu unterstreichen. Selbst wenn nur niedrigere Strafen zur Anwendung kommen würden, wäre dies für den Großteil der österreichischen Firmen durchaus existenzbedrohend.

Vergessen Sie weiters nicht, dass die Finanz- und Versicherungsbranche sehr viele personenbezogene und auch so manche heikle, sensible Daten der Kunden abspeichert (Gesundheitsdaten!). Es ist also nur eine Frage der Zeit, bis die Datenschutzbehörde DSB hier Detail-Prüfungen vor Ort vornehmen wird – auch wenn sich vielleicht noch kein Kunde beschwert hat.

Doch warum gab es in den ersten 6 Monaten erst so wenige (und noch dazu so geringe) Strafen?
Die geringe Höhe ist rasch erklärt. Es wurden bisher keine großen Verfahren mit gravierenden Verfehlungen beendet und die Bestraften haben aktiv mit der Behörde kooperiert, was sich positiv auf die Strafhöhe auswirkte. Daher wurden lediglich Strafen von 300 bis 4.800 Euro verhängt. Die bisher abgewickelten Verfahren haben sich hauptsächlich mit dem Themenkreis „unzulässige Videoüberwachung“ beschäftigt und dieses Vergehen wurde „human bestraft“.

Bevor wir auf ein sehr interessantes Urteil zur Begrenzung der Speicherdauer eingeben, noch ein paar weitere Fakten zu den Verfahren bei der DSB.

Die DSGVO ist nun seit 6 Monaten in Kraft. Die DSB hat in dieser Zeit rund 900 Beschwerden erhalten (Quelle: DER STANDARD) und muss nun diese Verstöße überprüfen. Da es im gesamten Jahr 2017 laut Andrea Jelinek, Leiterin der Datenschutzbehörde, nur 530 Meldungen potenzieller Verstöße gegeben hat (laut TREND-Bericht) bedeutet das immerhin eine gute Verdreifachung der Beschwerden. Dass es nicht viel mehr sind, liegt auch daran, dass die Regierung im Begleitgesetz zur DSGVO verhindert hat, dass private Datenschutzorganisationen für Dritte Schadenersatz bei etwaigen Verstößen vor Gericht einklagen können. Viele sehen das als Maßnahme gegen den Noyb-Verein, den der österreichische Datenschützer Max Schrems gegründet hat (noyb steht für none of your business, auf Deutsch „Das geht sie nichts an“ – gemeint sind natürlich die persönlichen Daten). Daher konzentriert sich Noyb jetzt auf die großen Datenkraken und hat Beschwerden gegen Google (max. Strafhöhe 3,7 Mrd. €), Instagram (1,3 Mrd. €), WhatsApp (1,3 Mrd. €) und Facebook (1,3 Mrd. €) eingebracht. Details dazu unter www.noyb.eu. Klar ist, JEDES Urteil wird neue Klarstellungen bringen, die auch die Klein- und Mittelbetriebe berücksichtigen müssen.

Sehr bedenklich ist auch der zweite Teil der Überschrift des STANDARDS, wonach 59 % der österreichischen Unternehmer die DSGVO noch nicht (vollständig) umgesetzt hätten (das teilte der Gläubigerschutzverband KSV1870 in einer Aussendung kürzlich mit).

Fakt ist, dass Vieles nach wie vor nicht ganz klar ist, trotzdem die DSGVO seit 25.5.18 gilt. Das aber als Ausrede herzunehmen, um nicht oder nur im geringen Maße die DSGVO umzusetzen ist unserer Ansicht nach grob fahrlässig. Denken Sie nur an die Möglichkeit, dass ein unzufriedener Kunde eine (berechtigte oder auch nicht berechtigte) Beschwerde bei der DSB einbringen kann und diese dann als Anlass nimmt, um Sie zu überprüfen!

Und die noch bestehenden Unklarheiten werden in den nächsten Monaten, Jahren durch sukzessive Klarstellungen der Datenschutzbehörde DSB (was ist erlaubt, wie hat Umsetzung auszusehen, was geht keinesfalls, etc.) oder durch Gerichtsurteile beseitigt werden.

Daher werden wir Sie, werte Leserin, werter Leser auch in den nächsten Monaten immer wieder auf derartige Klärungen hinweisen, damit Sie überprüfen können, ob dieses Urteil, diese DSB-Entscheidung auch für Ihr Unternehmen zutrifft und Sie womöglich Ihr Vorgehen ändern müssen.

Urteil der DSB zur maximalen Speicherdauer von personenbezogenen Daten

  • Was steht genau in dem Urteil und unter welchen Voraussetzungen wurde es getroffen?
  • Warum ist es für unsere Branchen sehr bedenklich, man könnte auch sagen gefährlich?
  • Was bedeutet es nun für Ihre tägliche Praxis? Wie sollten Sie sich künftig verhalten?
    Dazu haben wir mit Mag. Stephan Novotny gesprochen. Mehr dazu erfahren Sie hier…

Quellen: Mag. Stephan Novotny (Fachanwalt für Versicherungsrecht und DSGVO, Mag. Günter Wagner, B2B-Projekte für Finanz- und Versicherungsbranche, Der Standard, DER TREND